Télécharger
Contents
1. G n ral E Algorithme lt amp Chiffrement Lecteurs de disquettes 8ES 256 Les utilsateurs P riph riques amovibles 4ES 256 Disques durs 8ES 256 E Cl Lecteurs de disquettes La cl Non d finie P riph riques amovibles La cl Non d finie Disques durs La cl D finie B Lecteurs Lecteurs de disquettes La cl Non d finie P riph riques amovibles La cl Non d finie Disques durs Aucun Chiffrer Cliquez sur Appuyez sur F1 pour obtenir de l aide Par partition pas de lecteur chiffr NUM L 4 La bo te de dialogue Sp cifie les lecteurs chiffr s s ouvre Sp cifie les lecteurs chiffr s xj Chiffrement du lecteur Veuillez sp cifier les lecteurs chiffrer 6370 NTFS Une cl symbolique appara t si vous double cliquez sur une lettre de lecteur Ceci indique que le lecteur la partition est chiffr Les types de disques durs et le nombre de partitions pouvant tre chiffr s d pendent du mode de chiffrement configur Le mode de chiffrement voir Mode chiffrement d une station de travail est d fini pendant l installation ou lorsqu un fichier de configuration avec l attribut Install est g n r et vous ne pourrez plus le changer par la suite 5 Si vous voulez d sactiver le chiffrement double cliquez de nouveau sur les lettres des lecteurs La cl symbolique dispara t et le chiffrement est d sactiv 146 11 3 Cl s S2. 510 tat Hors connexion 510 tat Push on 519 L tat Push off 513 Commutation du client SGE en mode hors CONNEXION reines S 29 31 9 6 Cr ation de mises jour pour clients hors connexion dans la console d administration 515 31 9 7 Chargement de mise jour de configuration sur client Hors connexion avec SGETRANS 518 31 10 Sauvegarde automatique du noyau syst me 519 31 10 1 Stockage du ou des noyaux syst me dans le r pertoire BACKUPS 5920 31 10 92 Indication d un nouveau r pertoire 521 31 10 3 Exportation de sauvegarde du noyau SYST ME dessinateurs DT 32 Administration distance 593 39 1 Conditions D24 32 2 Installation de l administration a distance uit 506 33 Erreurs mr esmoss 131 1 Aper u Les ordinateurs individuels contiennent fr quemment des donn es sp cifiques des personnes des informations confidentielles relatives une entreprise ou d autres donn es sensibles Le vol d ordinateurs portables par exemple est un risque qu il ne faut pas sous estimer Les informations ultra confidentielles de clients sur l ordinateur portable de type Notebook d un collaborateur du service de distribution pourraient par exemple tomber entre les mains d un concurrent et tre dommageables l entreprise SafeGuard
3. 406 27 5 3 D sinstallation d urgence de SafeGuard Easy 407 27 5 4 Remarques 409 27 6 Acc s aux donn es chiffr es lors du red marrage partir d un support externe 410 27 6 1 CONditiONS ssssss ss 411 27 6 2 Comment proc der 412 27 6 3 Remarques 413 27 6 fai i 1 7 6 4 Que faire Si 414 Affichage de l tat syst me de SafeGuard Easy 415 28 1 G n ration de rapports 415 28 2 Param tres ss 416 29 1 Domaines d application 418 29 9 Installation d Auditing 419 29 3 Configuration ss 420 30 29 4 29 4 1 29 4 2 29 4 3 29 4 4 29 5 29 5 1 29 5 2 29 6 29 6 1 29 6 2 29 7 Configuration de la journalisation des V NEMENTS ses 421 D finition des destinations 491 Cr ation d une destination 493 Suppression des destinations 424 Copie de destinations 424 S lection d v nements 425 Configuration de tous les v nements 428 Changement d affichage 499 Visualisation des v nements audit s 430 Observateur d v nements 431 Fichier journal Logfile 433 REMArQUES ss ssessessssssssososssssssssossses EA Administration centrale 437 30 1 30 1 1 30 1 2 30 1 3 30 1 4 30 2 30 2 1 30 2 2 30 2 3 30 3 30 3 1 Mode de fonctionnement 438 Serveur SGE Bas
4. He N Action Nouveau Mot de Passe MdP SYSTEM ID Utilisateur Action Actions ex cuter D sinstaller SGE Nouveau Mot de passe d utilisateur Ouverture de session unique Activer D sactiver chiffrement de disquette Permission d initialiser un token Authentification sans le token po N authentific Si un utilisateur utilisateur supprim a besoin d aide il doit g n rer un code de requ te Ce code de requ te est affich sur l ordinateur de l utilisateur sous forme de cha ne de caract res ASCII L utilisateur appelle ensuite son administrateur helpdesk et lui fournit ses informations personnelles et le code de requ te Le personnel d assistance ouvre l assistant de d blocage distance SafeGuard Easy et g n re le code de r ponse Ce personnel fournit le code de r ponse l utilisateur via t l phone ou SMS Apr s saisie de ce code de r ponse l utilisateur peut red finir son mot de passe 378 En r gle g n rale les droits sp ciaux suivants peuvent tre octroy s via Requ te R ponse d finition d un nouveau mot de passe d utilisateur SafeGuard Easy quand l ancien a t oubli d sinstallation de SafeGuard Easy ouverture de session unique par ex pour travaux de maintenance attribution temporaire du droit de commutation du chiffrement de disquettes pendant la dur e d une ouverture de session Ouverture de session sans jeton pour X sessions aut
5. Strat gie Ordinateur local E Composants Windows E Configuration ordinateur ElSyst me Param tres logiciel ER seau D Param tres Windows E Imprimantes i a pere amp jout Suppression de mod les E Syst me Toutes les t ches gt R seau CA Imprimantes Affichage fe Configuration utilisateur la list Exporter B E Param tres logiciel 4 Outre les dossiers pr c dents le dossier SafeGuard appara t dans la rubrique Configuration ordinateur de la MMC Action Affichage Ale Arbre j Strat gie Ordinateur local Esgeasy Configuration ordinateur Authentication Param tres logiciel 4 Param tres Windows Mod les d administration E Composants Windows Syst me E R seau CA Imprimantes Configuration utilisateur E 6 E 1 Param tres logiciel D Param tres Windows 122 5 Avec les mod les non Windows la vue pr alablement configur e pose un probl me Par cons quent le param tre suivant doit tre d sactiv pour les strat gies individuelles Windows 2000 S lectionnez Mod les administratifs s lectionnez le menu Affichage et d sactivez Afficher uniquement les strat gies de Windows XP Windows Server 2003 S lectionnez Mod les administratifs s lectionnez le menu Affichage puis Filtra
6. 20 4 Configuration de la mise en veille prolong e Pour garantir la plus haute s curit possible l activation de la mise en veille prolong e nous recommandons la configuration ci dessous 1 Dans le menu de d marrage de Windows appelez successivement Param tres Panneau de configuration Options d alimentation Sous l onglet Mise en veille prolong e cochez la case Activer la prise en charge de la mise en veille prolong e Power Schemes Advanced Hibemate UPS T When your computer hibemates it stores whatever it has in memory on your hard disk and then shuts down When your computer comes out of hibemation it retums to its previous state m Hibemate IV Enable hibemate support rm Disk space for hibernation Free disk space 2 520 MB Disk space required to hibernate 255 MB 2 Si deux utilisateurs partagent un ordinateur g r par SafeGuard Easy ouvrez l onglet Avanc Dans cet onglet s lectionnez le champ Mot de passe pour sortir d une mise en veille prolong e 3 D marrez l utilitaire d administration de SafeGuard Easy 4 Activez l authentification avant amor age PBA si ce n est pas d j fait dans General Password settings Password G n ral Choix des mots de passe Mot de passe lors du d marrage du syst me 5 Chiffrez la partition du syst me d exploitation avec Encryption Drives Hard disk drive Chiffrement Lecteurs Disque dur Pour prot ger vot
7. Cette commande vous permet alors d appeler le fichier de configuration cr Ne laissez pas d espaces entre f et le nom de dossier du fichier delta 114 8 4 7 diter un fichier de configuration Les param tres des fichiers de configuration avec la propri t Installer peuvent tre ult rieurement modifi s m me une fois enregistr s Pour modifier un fichier de configuration veuillez proc der comme suit 1 D marrez l assistant de configuration pour le d ploiement Choisissez le type de fichier Installer et chargez le fichier diter dans la bo te de dialogue Configuration de base Vous chargez la configuration en cliquant sur Suivant Les param tres qui y sont enregistr s sont affich s et peuvent tre modifi s Si vous essayez d appeler un fichier avec la propri t Modifier ou D sinstaller un message d erreur est affich 8 5 G n ration d un fichier de configuration partir de la ligne de commande Si vous souhaitez g n rer un fichier de configuration partir de la ligne de commande utilisez le programme CfgWiz CfgWiz est situ dans le dossier SafeGuard Easy CfgWiz peut tre appel avec les param tres suivants cmd install change uninstall Cette option remplace la bo te de dialogue du type de fichier de configuration base lt nom fichier gt Cette option d finit le nom de la configuration de base utiliser
8. 4 Distribuez le fichier chiffr avec les paquets SafeGuard Easy aux clients Le fichier avec le mot de passe d administrateur doit se trouver dans le r pertoire d installation de SafeGuard Easy Juste avant la g n ration de cl s RSA SafeGuard Easy d marre un moniteur qui charge le mot de passe d administrateur du fichier remplit automatiquement la bo te de dialogue de mot de passe du ESS CSP et efface ensuite le fichier Apr s l installation de SafeGuard Easy la paire de cl s RSA est automatiquement g n r e et l utilisateur n a plus d finir d autres param tres de configuration Param tres pour Client Security Software gt 6 0 compter de la version 6 0 de CSS le mot de passe d administration de la puce n est pas requis et la paire de cl s RSA est g n r e de fa on interactive Par cons quent il n est pas n cessaire de cr er et d ployer un fichier chiffr avec l outil SafeGuard Easy fourni comme ce fut le cas lorsque CSS lt 5 40 Voici comment g n rer des paires de cl s RSA avec puce TPM 1 Pr parez l utilisation de la puce sur le client serveur voir Pr paration de l utilisation de la puce 2 Dans le registre Windows du client serveur cr ez les entr es suivantes sous HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy Cryptographic Service Provider STRING La valeur entrer est ThinkVantage Client Security Solution CSP ForceCSPUsage D WORD La valeur doit
9. REMARQUES Tous les param tres doivent tre saisis en majuscules dans la syntaxe de ligne de commande AUTOBACKUP 0 1 Indique si l assistant de cr ation d une disquette de secours pour la sauvegarde du noyau syst me doit tre d marr une fois une installation effectu e avec succ s Dans la configuration de base il d marre automatiquement AUTOBACKUP 1 CFGFILE lt fichier de configuration migration gt Ce param tre d finit le nom complet d un fichier de configuration SafeGuard Easy pour une installation migration Pa ERNELDRV lt nom du lecteur C D gt D termine le lecteur sur lequel le noyau syst me SafeGuard Easy va tre enregistr Dans la configuration de base c est le lecteur d amor age de Windows D signer un lecteur pour enregistrer le noyau syst me est par exemple utile quand vous souhaitez restaurer la partition syst me Windows avec des outils comme par ex Ghost La restauration supprimerait sinon le noyau syst me SafeGuard Easy tant donn que celui ci est toujours enregistr par d faut sur la partition syst me Le lecteur cible doit se trouver sur le premier disque dur 60 NOACTIVATION 0O 1 Avec le r glage NoActivation 1 les fichiers SafeGuard Easy sont copi s sur l ordinateur sans activer le programme Cette absence d activation a les cons quences suivantes le MBR n est pas remplac et le noyau sy st me de SafeGuard Easy n est pas in
10. 350 23 6 2 chec de l int gration des ordinateurs SafeGuard Authentication Machine Binding Failed PIEP M E E T utimaco The machine binding verification has failed This can happen if either the local hard drive is used in a different computer as it has been registered for or if the configuration of the local security hardware has changed or been corrupted Please contact your IT security administrator for additional support Recovery Les situations suivantes ont pour cons quence un chec de la v rification des signatures m Le mat riel Module de s curit est d sactiv m Le mat riel Module de s curit est endommag m La cl principale du module de s curit a t modifi m La signature de r f rence a t modifi e m La signature de r f rence manque m La paire de cl s n cessaire pour l op ration de signature a t modifi e m Le CSP utiliser ne fonctionne pas ou a t modifi m La configuration CSS a t modifi e Pour acc der au syst me en cas d chec de l int gration vous disposez d une fonctionnalit de restauration dans cette bo te de dialogue Pour restaurer le syst me l aide d une sauvegarde d ESS Embedded Security System veuillez vous reporter votre documentation Lenovo 23 6 3 Restauration apr s int gration Pour pouvoir acc der nouveau au syst me en cas d chec d int gration cliquez sur le bouton Restaurer Sa
11. Non autoris AM ge autoris partir de support es utoris Modifier la temporisation de verrouillage de poste Non autoris Modifier les param tres de poste de travail Non autoris Modifier les param tres de MBR Non autoris 4 Annuler 322 21 2 Commutation du chiffrement L tat de chiffrement est commut via l Explorateur Windows Par cons quent SafeGuard Easy ajoute un l ment de menu appel Encryption Chiffrement dans le menu contextuel de l Explorateur Windows Si vous cliquez avec le bouton de droite de la souris sur un lecteur chiffr une commande d activation d sactivation du chiffrement de disquette ou de p riph riques amovibles est affich e oste de travail 0 lol x Fichier Edition Affichage Favoris Outils Pr c dente gt 2 rechercher h Dossiers Historique DE LE XxX 1 Ea Er Adresse e Poste de travail z ex Dossiers w Bureau af SEE Dicouiatte 216 POUCES A Mes documents E Disque local C Explorer 15 a Poste de travail Disque compact C Ouvrir t Disquette 344 A Panneau de confie Rechercher e Disque local C Documents and Setti 3 Administrateur amp Chiffrement Activer D sactiver Formater Cr er un raccourci Renommer REMARQUES L tat
12. SafeGuard Easy au cas o le premier ne serait pas reconnu par ex en cas de blessure 15 L association avec les doigts est maintenant tablie A chaque red marrage de l ordinateur il suffit d ins rer un des doigts enregistr s pour tablir son identit dans SafeGuard Easy et Windows 260 REMARQUES L utilisateur abandonne l authentification par empreinte digitale avec la touche chap et s identifie en entrant le nom d utilisateur et le mot de passe SafeGuard Easy L abandon via chap est n cessaire dans les cas suivants m l authentification par empreinte digitale a t install e mais aucun lecteur d empreinte digitale n est connect l ordinateur m l utilisateur n est pas en mesure de s authentifier par empreinte digitale ou le lecteur d empreinte est d fectueux La touche chap permet de revenir l authentification au d marrage L utilisateur peut alors s authentifier par la proc dure habituelle de saisie du nom d utilisateur et de mot de passe SafeGuard Easy 16 4 Modifier le mot de passe SafeGuard Easy L utilisateur peut modifier son mot de passe dans l cran m d authentification au d marrage de l application m SafeGuard Easy Administration La proc dure de modification du mot de passe lors de l authentification avant amor age est la suivante 1 D marrez l ordinateur L cran d authentification Fingerprint appara t 2 Appuyez sur
13. 283 Modification du mot de passe Windows quand la synchronisation de mot de passe est actiV e ssssnnnsrtianiiess 287 Modifier le mot de passe SafeGuard Easy 289 Annulation de la bo te de dialogue de synchronisation du mot de passe 289 Restrictions issus 290 QUE faire Slssssssssssssssssssssseesessisenseesssssseses 299 18 19 17 3 17 3 1 17 3 2 17 3 3 17 3 4 17 3 5 Options suppl mentaires de connexion sous WINDOWS ssssiisiriesi siias a n 293 Personnalisation de l cran de connexion de WINDOWS sirssisssrirsrisessrsrsans rasia n 294 Verrouillage du poste 298 CONOMISQUT d cran ss 300 R paration de la GINA 303 Ouverture de session Novell 304 Mode de chiffrement SafeGuard Easy Verrouillage du poste 305 18 1 18 2 18 3 Activation de l conomiseur d cran de Windows avec protection par mot de passe 307 D sactivation du verrouillage de poste de travail SafeGuard Easy 308 Activation distance Wake On LAN S CUNISCS spmeromdhibenecims DT 19 1 19 2 19 3 19 4 19 5 Verrouillage de l ouverture de session WINDOWS ss ssssssccssssssessssssessessrssssssesss ssees 313 Adapter le message WOL 314 Annulation temporaire du verrouillage d activation distance 315 Configuration de l activation distance 316 14 20 Mise en veill
14. Base de donn es de pilotes introuvable Erreur survenue la lecture de la base de donn es de pilotes La base de donn es de pilotes est vide Entr e ill gale ou invalide dans la base de donn es de pilotes Acc s impossible au lecteur d installation La demande d informations de partition a chou La tentative d acc s la partition d amor age a chou Option de processus invalide D finition d un syst me de fichiers inconnu ou invalide Diff rence not e entre le type de syst me de fichiers actuellnet le type de syst me de fichiers d fini Diff rence not e entre la taille de cluster actuelle et nla taille de cluster d finie Cluster de d marrage invalide pour la zone de noyau Secteur de d marrage invalide pour la zone de noyau Type de partition invalide Clusters libres introuvables pour le noyau Impossible de marquer les clusters comme utilis s Impossible de marquer les clusters comme corrects Impossible de marquer les clusters comme non utilis s Impossible de marquer les clusters comme incorrects 1316 1317 1318 1319 Erreurs SGOCA 1401 1402 1403 1404 1405 1406 Erreurs SGUICL Les informations sur les clusters sont alt r es Zones marqu es comme incorrectes introuvables Taille de zone de noyau invalide Impossible de remplacer le secteur MBR sur le 1er disque dur Les informations requises pour la zone de com
15. Erreurs Interface 3001 3002 L criture de donn es dans la base de donn es a chou La lecture de donn es de la base de donn es a chou La cr ation d une entr e dans la base de donn es a chou La suppression d une entr e de la base de donn es a chou La base de donn es est inaccessible Impossible de chiffrer l interface COM sp cifi e nNom de l interface 1 nNum ro d erreur 2 n nD tails n 3 L ex cution d une m thode d interface a chou Les d tails suivants sont disponibles nNum ro d erreur 1 nhR sultat 2 nDescription 3 ninterface 4 Veuillez contacter votre administrateur syst me Erreurs Client Server 3201 Le serveur ou client est actuellement occup et n est pas capable d ex cuter la requ te Erreurs Administration Console 3301 3302 La liaison avec la base de donn es a chou Interface de console serveur introuvable 3303 Interface d administrateur distance introuvable 3304 Impossible de trouver l interface de l assistant de configuration des fichiers 559
16. Scancode est un num ro de code Scancode hexad cimal que le clavier transmet l ordinateur l appui sur une touche Ce code est ind pendant des lettres chiffres ou symbole illustr s sur la touche Il repr sente un caract re sp cial pour la touche proprement dite et il est toujours le m me pour une touche donn e 13 3 1 Diverses configurations de clavier SafeGuard Easy enregistre toutes les s quences de caract res en format Scan Code Cela signifie que par exemple system sur un clavier fran ais donne encore un autre Scan Code 1f 15 1f 14 12 27 41 24 3 4 54 6J 74 8j 9j of j at f a wf ed f tif vd u id of o e a o Col od ad ad sd ad nd 14 ed od ad A ET 4 all do fl 1 4 La s quence Scan Code pour system avec un clavier allemand est 1f 2d 1f 14 12 32 Sul 2j 34 a 5 6j z 8j oJ of sf feasa T af wall ef ff 2 ui of p a Ene als af 6j of nf 4 e a of af sf shit _ lt yd x of vd of nflm 4 a Contrat A REMARQUES Y et le Z sont permut s L utilisateur doit taper szstem pour s authentifier avec succ s System sur un clavier anglais donne le Scan Code suivant 1 f 15 1f 14 12 27 Sur un clavier fran ais l utilisateur doit donc taper syste pour s authentifier avec succ s Vous trouverez d autres configurations de clavier l adresse http www microsoft com qlobaldev reference keyboards mspx 13 3 2 Cr ations de donn e
17. dans le r pertoire de destination Distribuer le fichier Install cfg 120 Exemple 9 Sur la base du fichier Install cfg de l exemple 1 l utilisateur User doit maintenant pouvoir modifier de fa on temporaire la cl de disquette sur tous les postes de travail Conform ment aux structures d administration sp cifi es ce droit est octroy par l utilisateur SUBADMIN Pour ce faire le SUBADMIN doit cr er un fichier de configuration de type Modifier et le distribuer aux postes de travail concern s Comment proc der 1 D marrer l assistant de configuration pour le d ploiement S lectionner le type de fichier de configuration Modifier Choisir Install cfg comme fichier de configuration de base Lors de l authentification avec fichier de configuration ouvrir une session avec SUBADMIN mot de passe subadmin Dans les param tres d utilisateur m Double cliquer sur l option Droits sous USER m Activer le chiffrement de disquettes Enregistrer le fichier Change cfg dans le r pertoire de destination Distribuer Change cfg aux ordinateurs d utilisateurs 8 6 Modification des param tres de registre fr quemment utilis s via le mod le d administration Pour am liorer le confort lors de la configuration Utimaco a g n r un mod le d administration sp cifique pour l diteur de strat gies de groupes Gpedit msc Ce mod le nom de fichier Sguard
18. 2 Lors de la configuration de CSS veillez ce que la case Remplacer l ouverture de session Windows normale par l ouverture de session du client Lenovo Security s curis soit coch e Non requis partir de la version CSS 6 0 3 Installez SafeGuard Easy Lors de l installation de SafeGuard Easy veillez ce que l option Int gration Client Security soit active i SafeGuard Easy 4 20 0 Installation Fonctionnalit s s lectio Veuillez s lectionner les fonctionnalit s que vous souhaitez installer Description de la fonction Cette fonctionnalit sera install e sur le disque dur local Ce composant requiert 309Ko sur votre disque dur 2 sur 2 sous composants sont s lectionn s Ces sous composants requi rent 14Mo sur votre disque dur Emplacement actuel z Parcourir C ProgrammeUtimacos _Pacouit_ Utimaco Safeware AG Besoin en disque R nitalser lt Pr c dent Annuler Pour le reste aucun autre param tre de configuration sp cial n est n cessaire dans SafeGuard Easy 4 Apr s le red marrage vous obtenez un cran d ouverture de session modifi qui requiert la phrase mot de passe au lieu du mot de passe Windows normal Begin Logon BI Ei n utimaco User Name Moneypenny Domain HEADQUARTER X Shutdown Help Int gration CSS et fonction d ouverture de session automatique s
19. A SafeGuard Sgeasy E SGEasy Authentication H E System C Non configur e EH Network O a p am m Printers g fciv e Configuration utilisateur C D sactiv e Param tres logiciel Param tres Windows Mod les d administration FN Ouverture de session automatique s curis e Boite de dialogue asy po annulenle verrouillage de naste de tra QE haetaa do Tna aa araa rhum mains Ouverture de session automatique secunsee avec caites puce Ulim N R initialisation de param tres de chiffrement temporaires la fermeture Utiisation CPU standard pour le chiffrement T00 FN Utilisation CPU modifiable pour le chiffrement Intervalle d interrogation du client en heures 6 a Nom du serveur server03 E 3 5 Installation de SafeGuard Easy sur des PC dot s de plusieurs syst mes d exploitation Pour la protection des donn es SafeGuard Easy peut tre utilis sur un ordinateur quand plusieurs syst mes d exploitation sont install s dans des partitions diff rentes Pour vous assurer que les syst mes d exploitation peuvent tre d marr s correctement apr s l installation de SafeGuard Easy vous devez proc der une installation compl te de SafeGuard Easy sur l un des syst mes d exploitation Sur les autres syst mes d exploitation installez un syst me d ex cution Le syst me ex cutable est d marr partir du r pertoire CD RUNTIME
20. Aladdin eToken Pro Aladdin Pro 16K Aladdin Pro 32K Aladdin Pro 64K OTP SafeGuard Easy prend en charge la puce de cryptage mais pas la fonction de mot de passe unique OTP One Time Password du jeton Aladdin eToken NG FLASH et NG OTP Le mot de passe pour Aladdin eToken vide est 1234567890 VeriSign USB Token Version OEM Aladdin eToken Le num ro de s rie du jeton USB doit commencer par ALPR Token RSA SecurlD 800 SafeGuard Easy prend en charge la puce de cryptage mais pas la fonction de mot de passe unique OTP One Time Password du jeton AVERTISSEMENT Vous devez poss der une version pr cise de RSA Authenticator Client Pour de plus amples informations contactez le fabricant de votre jeton La version 4 50 de SafeGuard Easy ne prend plus en charge RSA Authenticator Utility Le mot de passe par d faut est PIN_CODE 15 3 Fonctions du jeton Action Aladdin eToken RSA SecuriD Lecteur VeriSign USB 800 Token d empreinte Token digitale de Lenovo Authentification avant X X X amor age Authentification pour x x2 acc der SafeGuard Easy Administration Authentification pour x x2 i acc der aux fichiers de configuration Authentification pour x x x acc der Windows Verrouiller le poste de x x2 travail Windows Rapidit accrue du x x2 S changement d utilisateur SafeGuard Easy 1 Uniquement avec Aladdin Runt
21. apr s le Remarque vous devez entrer le param tre de cl entre guillemets si vous utilisez des blancs dans la cl Exemples Active le chiffrement du lecteur et d finit la cl abcde SGECRYPT DRIVE 4 ON FLOPPYKEY abcde Active le chiffrement du lecteur B et d finit la cl a b c d e SGECRYPT DRIVE B 0FF FLOPPYKEY a b c d e D sactive le chiffrement du lecteur F et d finit la cl par default de p riph rique SGECRYPT DRIVE F 0FF DEVICEKEY 21 5 Remarques m Cl et algorithme Un support de donn es est chiffr la fois avec une cl et un algorithme Veuillez vous enqu rir des algorithmes qui sont utilis s pour les disquettes et ou p riph riques amovibles de votre poste de travail Exemple les disquettes d un poste de travail sont chiffr es avec l algorithme DES Vous enregistrez les donn es importantes sur une disquette pour pouvoir les charger ensuite dans un autre ordinateur Si les donn es y sont chiffr es avec IDEA l acc s aux donn es est refus m Lecture de supports chiffr s Il convient de proc der galement avec pr caution lorsque vous essayez de charger des supports de donn es chiffr s dans un lecteur non chiffr et inversement Quand un support amovible chiffr est ins r dans un lecteur non chiffr le syst me affiche un message vous informant que le syst me de fichiers de votre support chiffr est invalide Si suite ce message vous essayez
22. m le mot de passe synchronis a d j t utilis selon l historique de mots de passe SafeGuard Easy R solution du probl me D finissez un nouveau mot de passe synchronis n entrant pas en conflit avec les r gles Windows SafeGuard Easy VOUS ne savez pas comment sont d finies les strat gies pour le mot de passe synchronis mot de passe Windows Dans le menu de d marrage de Windows appelez Param tres Panneau de configuration Outils d administration Param tres de s curit locaux Sous Strat gies de comptes gt Strat gie de mot de passe tous les r glages possibles sont disponibles Param tres de s curit locaux nn F El Action affichage Il e3 alm x Arbre Strat gie _ Param tre local conserver l historique des mots de 0 mots de passe m EXjpur e de vie maximale du mot de 42 Jours Dur e de vie minimale du mot de P OJours lMe Les mots de passe doivent respect D sactiv Longueur minimale du mot de passe 0 Caract res BStocker le mot de passe en utilisan D sactiv i9 Param tres de s curit Er C8 Strat gies de comptes ra Strat gie de mot El Ca Strat gie de verrouillage du compte H Strat gies locales H E Strat gies de cl publique E a Strat gies de s curit IP sur Ordinateur local de passe ooooas olv 299 17 3 Options suppl mentaires de connexion sous Windows Vous pouvez utiliser le mod le d adm
23. modifi e Avant de pouvoir ex cuter nouveau l identification de la machine vous devez 1 imp rativement effacer les valeurs suivantes dans le registre m Machine Binding m Recovery sous la cl HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGLogon Embedded Security System Attention Ces valeurs doivent imp rativement tre supprim es avant de pouvoir relancer l int gration Si ces valeurs existent encore quand l identification de la machine est relanc e des situations dans lesquelles vous n avez plus aucun acc s au syst me peuvent se produire 2 Les donn es pr sentes sur la puce de s curit Security Chip doivent tre r initialis es l aide des outils Lenovo La nouvelle identification initiale de la machine d bute automatiquement au prochain d marrage du syst me 354 23 6 4 Configuration du mode de restauration A c t de la bo te de dialogue standard pour la restauration du syst me SafeGuard Authentication Support TPM fournit une seconde bo te de dialogue pour autorisation de la restauration Dans cette bo te de dialogue le nom et le mot de passe et le nom de domaine facultatif sont utilis s pour r cup rer l acc s au syst me Sur cet ordinateur l utilisateur doit poss der des droits d administrateur La bo te de dialogue utiliser peut tre sp cifi e via un mod le ADM install l utilisation du support TPM Le param tre se trouve dans la console de gestion so
24. partir de supports Permet de d marrer un syst me prot g par SafeGuard Easy partir externes de la disquette CD cl USB Modification Permet de modifier les param tres g n rale g n raux suivants Token Wake On LAN Modifier mot de passe au d marrage du syst me Saisie de mot de passe masqu e Identification Modifier les param tres MBR Permet de modifier tous les param tres pour le Master Boot Record 172 12 7 1 Octroi de droits d utilisateurs Apr s un double clic sur Droits de l utilisateur tous les droits attribuables sont affich s Le double clic sur un droit commute l tat pr alable Autoris en tat Non autoris et inversement Droits de l utilisateur x Veuillez choisir les droits que vous voulez assigner ou non pour l utilisateur s lectionn Utilisateur s lectionn User Modifier temporairement la cl de p riph rique am M Autoris Modifier temporairement la cl de disquette vi Autoris G Commuter le chiffrement de lecteur de disquettes V Autoris Q Commuter le chiffrement de p riph riques amovibl V Autoris G Modifier les cl s de chiffrement Non autoris Modifier les param tres de chiffrement Non autoris Modifier les r gles de mot de passe Non autoris Modifier les param tres d utilisateur Non autoris Modifier les param tres du gestionnaire d amor age Non autoris D si
25. tre 1 ForceCSPUsage prend galement en charge la g n ration de cl s al atoires 346 REMARQUE La g n ration de paires de cl s l aide d une puce TPM est beaucoup plus lente que lorsque cette op ration se fait l aide d une solution logicielle Ceci peut avoir un impact sur les temps de r ponse Celles ci sont caus es par la proc dure d authentification du client et du serveur pas par les op rations de chiffrement 23 6 Param tres requis pour l int gration de machine L int gration de machine g n re une liaison claire entre l ordinateur et le disque dur raccord Ceci se fait via une signature dont la concordance avec la signature g n r e l ex cution de l int gration initiale est v rifi e Cette signature de r f rence est ensuite stock e dans le Registre Le processus de d marrage ne peut alors aboutir que si les deux signatures sont identiques Dans le cas contraire le processus d initialisation est interrompu Voici comment combiner Int gration de la machine et SafeGuard Easy 1 Pr parez l utilisation de la puce 2 Installez SafeGuard Easy Lors de l installation de SafeGuard Easy veillez ce que l option Indentification de la machine soit active 1 SafeGuard Easy 4 10 0 Installation Fonctionnalit s s lectio 10 xl Veuillez s lectionner les fonctionnalit s que vous souhaitez installer utimaco ET Sg
26. tre d chiffr via la disquette de secours et l utilitaire DOS Sgeasy exe d sinstallation de SafeGuard Easy Le disque dur est alors de nouveau disponible en texte clair et peut tre trait avec les outils de sauvegarde de fichiers normaux Si l utilisateur n est pas autoris d sinstaller SafeGuard Easy en raison de droits insuffisants la proc dure Requ te R ponse de SafeGuard Easy peut tre activ e pour accorder un droit provisoire cet effet l utilisateur le disque dur est physiquement endommag Si le disque dur est physiquement endommag et ne peut pas tre d chiffr m me avec Sgeasy exe Utimaco contacte la demande des partenaires sp cialis s dans le sauvetage de disques durs physiquement endommag s le noyau syst me SafeGuard Easy est endommag Avec les d fauts minimes comme un MBR cras Sgeasy exe r pare le MBR ou charge une sauvegarde du noyau syst me pr alablement enregistr e 374 95 Compatibilit avec le logiciel Absolute Computrace Lenovo prot ge ses nouveaux ordinateurs portables Thinkpad avec de nombreuses fonctions de s curit entre autres SafeGuard Easy et SafeGuard PrivateDisk et garantit ainsi leurs utilisateurs une s curit mobile lev e En compl ment de ces produits de la famille SafeGuard Computrace d Absolute Software Corp est galement install en usine sur les ordinateurs portables Lenovo Computrace aide retrouv
27. 28 Affichage de l tat syst me de SafeGuard Easy SafeGuard Easy dispose d un outil de ligne de commande SGEState qui indique l tat de l installation SafeGuard Easy sur l ordinateur de l utilisateur version mode de chiffrement chiffr non chiffr etc Cet outil convient particuli rement aux installations dans un environnement tendu en permettant un administrateur d interroger simplement l tat d une installation SafeGuard Easy On peut galement utiliser SGEState pour ex cuter certaines op rations ou proc dures lorsque l installation ou le chiffrement de SafeGuard Easy est termin e Apr s l installation de SafeGuard Easy Client vous trouverez SGEState dans le r pertoire Programmes 28 1 G n ration de rapports SGEState peut galement servir la g n ration de rapports m Le code de retour de SGEState peut tre valu c t serveur par les outils de gestion de fournisseurs tiers m SGEState LD renvoie une sortie format e pour LANDesk et autres produits Cette sortie est dirig e vers un fichier et peut tre envoy e au serveur pour valuation 416 SGEState peut tre appel avec les param tres suivants SGESTATE Q L LD E Mvalue Dvalue R EF SGEState donne une vue d ensemble de tous les param tres de ligne de commande disponibles Q Quiet mode No output program ends with return code not installed installe
28. 296 4 Enregistrer les param tres Vous pouvez d sormais utiliser un jeton pour vous connecter aux outils d administration de SafeGuard Easy 298 15 9 3 Interface universelle de jeton L interface universelle de jeton est une API qui est utilis e par les applications Utimaco pour communiquer avec diff rents jetons Elle offre des fonctions pour acc der lecture criture aux donn es priv es enregistr es sur le jeton De plus elle permet de chiffrer d chiffrer signer et v rifier les donn es en utilisant la paire de cl s RSA stock e dans le jeton L interface Universal Token est pr sent e si Administration Token support est install Les param tres de l interface universelle pour le Token se trouvent dans la MMC sous Configuration Ordinateur Param tres Windows SafeGuard Universal Token Interface Action Affichage Il e alm e Arbre Strat gie Ordinateur local E Services indisponible Configuration ordinateur Index du slot pr ferr 0 H Param tres logiciel Protection renforc e de la D sactiv e Param tres Windows X Module PKCS 11 non d fini SafeGuard 3 M canisme crypto RSA Chiffrement RSA direct Q Audit lalgorythme sym trique pa 3DES BEUniversal Token Int lalgorythme du hash MDS cripts d marrage arr Bcs par d faut Param tres de s curit Ecs du token w Mod les d administration
29. Connexion automatique ave authentification avant le boot Cette fonctionnalit sera install e sur le disque dur local Assistant de configuration pe Ce composant requiert 15Mo sur votre disque Assistant de d blocage dis dur 4 sur 4 sous composants sont Administration Token Suppo w s lectionn s Ces sous compasants requi rent 3854Ko sur votre disque dur Utimaco Safeware AG Composants installables avec Sgeasy msi Param tre Composant parent Description Sgeasy installe tous les fichiers requis pour l application de SafeGuard Easy Aucune fonctionnalit n est active au cours d un red marrage automatique Ces fonctionnalit s peuvent tre activ es tout moment sans interaction de l utilisateur ou manuellement par l interm diaire de Panneau de configuration Ajout suppression de programmes Encryption Sgeasy installe une version fonctionnelle de SafeGuard Easy ce qui inclut SafeGuard GINA SGSAL Encryption installe SAL ouverture de session automatique s curis e ServerCon Encryption Installe la connexion au serveur agent de r seau pour l administration centrale SCSAL Encryption installe SAL avec carte puce FIPS Encryption Installe le mode FIPS 56 AdmTools Sgeasy installe les utilitaires d administration par exemple assistant de configuration pour le d ploiement assistant de d
30. E M15 produces return code 11 lt hex b Dualue value for desired return code 6 127 The return code is computed until the desired one is reached Calculation can be stopped by pressing any key R the return code is stored in the registry The input charaters are not case sensitive 29 Audit L enregistrement d v nements int ressant la s curit est la condition pour une analyse approfondie du syst me Sur la base des v nements audit s des op rations effectu es sur une station de travail ou dans un r seau peuvent tre suivies de mani re plus exacte L audit permet de prouver par exemple des violations de droits par des tiers non autoris s L audit offre galement l administrateur une aide pour retrouver ou corriger des droits d utilisateur refus s par erreur L audit enregistre les v nements d clench s par des produits SafeGuard install s tels qu une connexion par carte puce modification d un code confidentiel certificat expir etc L utilisateur poss dant les droits appropri s peut soit visualiser les v nements audit s directement via l observateur d v nements de Windows soit les exporter dans un fichier personnalis des fins d archivage Les donn es sont soit enregistr es localement soit transmises distance une station de travail centrale Outre l audit pour des donn es il existe un m canisme de filtrage qui gr ce une s lection cibl e des v nements
31. Restaurer une r paration s effectue galement sans copie de sauvegarde du noyau syst me La fonction de r paration parcourt la totalit du disque dur la recherche du noyau syst me SafeGuard Easy et essaie de le restaurer succ s non garanti Cette fonction est requise uniquement m quand il n existe pas de sauvegarde du noyau syst me m quand la sauvegarde du noyau syst me ne correspond plus sa version actuelle C est le cas quand l tat de chiffrement du ou des disques durs a t modifi entre la sauvegarde et l apparition de la panne syst me Apr s s lection de la fonction R parer une routine de diagnostic essaie de localiser le noyau syst me et de le r activer Ceci peut durer plusieurs minutes Le d roulement est indiqu par une barre de progression Le syst me vous indique ensuite si la r paration s est effectu e avec succ s REMARQUE Les tentatives de r solution de panne syst me avec la fonction R parer n ont pas toujours le succ s escompt Il est donc recommand de toujours disposer d une sauvegarde r cente du noyau syst me 27 5 3 D sinstallation d urgence de SafeGuard Easy Quand l erreur syst me ne peut tre limin e ni avec Restaurer ni avec R parer il ne reste plus que la variante trois le d chiffrement du disque dur et la d sactivation de la PBA Apr s la d sinstallation le poste de travail est red marr automatiquement deux f
32. SafeGuard Easy Les param tres du Master Boot Record sont d finis sur la page de configuration G n ral 132 10 1 Protection MBR La protection du MBR est un m canisme de s curit contre les virus attaquant le secteur de partition Si vous n avez pas d fini Ignorer les changements des alt rations ventuelles du MBR sont v rifi es chaque d marrage du syst me Ignorer les changements Quand ce param tre est d fini une modification ventuelle du MBR est accept e Le processus d amor age n est pas interrompu Afficher le menu Quand le MBR est modifi un menu dans lequel vous pouvez choisir une des actions suivantes est affich Action par d faut Restaurer Ignorer les changements Conserver les modifications S lectionnez Action par d faut pour ex cuter l action par d faut R glage par d faut permet l utilisateur de s lectionner l action pr d finie Restaurer autorise la restauration du MBR partir de la copie de sauvegarde Ignorer permet d ignorer les modifications et Valider d accepter le MBR actuel Si vous s lectionnez Conserver les modifications le MBR en cours reste inchang et la sauvegarde interne est mise jour La v rification a lieu avant la connexion de l utilisateur Le menu n est toutefois affich qu apr s une ouverture de session valide Il est ainsi exclu qu un utilisateur non autoris puisse d cider de la mani re de proc der dans un
33. age lt Pr c dent Annuler hide 7 A l tape suivante nous allons voir les param tres de configuration sp cifiques Vous en trouverez une description d taill e aux chapitres correspondants 32 REMARQUES L option Token obligatoire G n ral Type d Authentification Mode d Authentification indique que SafeGuard Easy impose l ouverture de session avec jeton pour tous les utilisateurs SGE d un poste de travail Des utilisateurs ne peuvent ouvrir de session dans ce mode dans le PBA que si les donn es SafeGuard Easy existent d j sur le jeton Avec un jeton vide vous ne pourrez plus ouvrir de session sur votre ordinateur 8 L tape suivante consiste indiquer les mots de passe correspondant aux profils pr d finis des utilisateurs de SafeGuard Easy savoir le syst me SYSTEM et un utilisateur user Ces mots de passe doivent respecter les r gles de SafeGuard Easy concernant la composition des mots de passe Sp cifier le mot de passe de l utilisateur 4 x Mot de passe de l utilisateur Veuillez saisir le nouveau mot de passe pour l utilisateur sp cifi Afin de pr venir contre une mauvaise saisie vous devez saisir le mot passe deux fois L utilisateur s lectionn User Mot de passe EEA Mot de passe confirmation Annuler REMARQUES Veuillez retenir les mots de passe que vous saisissez Lorsque l option Password at system start Mot
34. automatiquement lorsque le syst me est activ sauf si l utilisateur s lectionne un autre lecteur de d marrage pendant une p riode d finie Cette dur e est d finie dans le champ Timeout S il n y a pas de disque par d faut le syst me d exploitation amorce la premi re partition primaire 198 14 5 2 Lecteurs d amor age Apr s un double clic sur les lecteurs d amor age ouvre la bo te de dialogue du m me nom Les propri t s du gestionnaire d amor age y sont d finies Sp cifier le lecteur d amor age E x Lecteurs d amor age Veuillez sp cifier les lecteurs partir desquels vous voulez amor er le syst me La liste affiche tous les lecteurs qui sont amor ables Disque Volume Nom DefautfAmor abie 0 1 Private 4 E 0 2 Business a a 0 3 E E 0 4 C Annuler Une liste affichant toutes les partitions primaires de l ordinateur appara t Pour diff rencier les diff rents lecteurs amor ables dans le menu gestionnaire d amor age il est recommand d entrer tout d abord des noms d d amor age sans quivoque maximum de 40 caract res par ex Priv Les noms sp cifi s sont plus tard affich s dans le menu de s lection du gestionnaire d amor age Pour qu un disque puisse tre affich dans le gestionnaire d amor age SafeGuard Easy il doit tre marqu comme amor able Un des lecteurs affich s doit en outre tre sp cifi comme lecteur par d faut automa
35. chap L cran d authentification au d marrage s affiche 3 Saisissez vos donn es d acc s SafeGuard Easy 4 Appuyez sur F10 et modifiez le mot de passe L ordinateur d marre sans exiger l empreinte digitale 5 Red marrez l ordinateur L cran d authentification Fingerprint appara t 6 Ins rez le doigt dans le lecteur L cran d authentification au d marrage s affiche 7 Saisissez votre nom d utilisateur et le nouveau mot de passe 8 Confirmez avec la touche Entr e L cran d authentification Fingerprint appara t 9 Ins rez le doigt dans le lecteur Les donn es de SafeGuard Easy sont associ es au doigt et l authentification est op r e Le mot de passe a t red fini 269 Modifiez le mot de passe dans SafeGuard Easy Administration selon la proc dure suivante 1 Lancez l application Administration via Programmes Utimaco SafeGuard Easy Administration 2 S lectionnez le dossier Utilisateurs et modifiez votre mot de passe dans Configuration du mot de passe 3 Red marrez l ordinateur L cran d authentification Fingerprint appara t 4 Ins rez le doigt dans le lecteur L cran d authentification au d marrage appara t et indique que les donn es ne concordent pas 5 Saisissez vos donn es d acc s SafeGuard Easy nouveau mot de passe L authentification est effectu e Les nouvelles donn es d acc s SafeGuard Easy sont associ es l e
36. de registre D WORD HKEY_LOCAL_ MACHINE SOFTWARE Utimaco SGEasy Default CPUUsage lt pourcentage gt Quand la cl est pr sente l op ration de chiffrement se poursuit avec la valeur en pourcentage sp cifi e au red marrage La valeur en pourcentage peut toutefois tre augment e ou r duite au moyen du curseur D finition d une vitesse de chiffrement maximale La vitesse de chiffrement maximale 100 par d faut peut tre r duite Pour ce faire entrez une nouvelle cl de registre D WORD et entrez un pourcentage par exemple 75 HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy MaxCPUUsage lt pourcentage gt D sactivation du r gulateur Pour que les utilisateurs ne puissent pas modifier la vitesse de chiffrement il est possible de d sactiver le r gulateur en g n rant la cl de registre DWORD HKEY_LOCAL_MACHINE SOFTWARE Utimaco Sgeasy ChangeCPUUsage et de lui donner la valeur 0 Le r gulateur est alors affich en gris Modification de la vitesse de chiffrement dans le mod le administratif Les param tres de l unit centrale CPU peuvent tre galement activ s ou d sactiv s l aide d une strat gie du mod le d administration Utimaco voir aussi Modification des param tres de registre fr quemment utilis s via le mod le d administration Modification des param tres de registre fr quemment utilis s via le mod le d administration
37. der 1 D marrez la console d administration et ouvrez une session dans la base de donn es 2 Cochezles clients groupes s lectionn s 3 S lectionnez l option Postes de travail Enregistrer en autre serveur f Console d Administration de SafeGuard Easy Serveur SERYERO3 Fichier Edition Affichage Poste de Travail Extras Aide Afficher la Configuration Changer la Description Eu Configurer la Relation pour les Groupes RIRES Afficher les d tails de la Queue Ouvrir l dministration a Distance Assigner aux Groupes Supprimer des Groupes Changer l tat a gt D finir les Changements gt Enre en aul eur Supprimer des Postes de Travail Suppr Exporter Sauvegarde du Noyau Exporter Fichier de Reau te Groupes Postes de Tra tion 490 4 Une bo te de dialogue appara t demandant le nom du nouveau serveur SGE et les donn es d authentification pour ce client Le nom et la description de la requ te doivent tre sans quivoque Le profil de l utilisateur SafeGuard Easy entr doit exister sur le client SGE mais peut ne pas poss der de droits SafeGuard Easy particuliers Enregistrer en autre Serveur i xj Nom de requ te Enregistrer en autre Serveur 1110379387 Description de requ te Enregistrer en autre Serveur 9 03 2005 15 43 07 Information d enregistrement Nom du serveur SERVERNEW Authentification de SafeGuard Easy en postes de tra
38. la case Ne plus afficher ce message est coch e l action de l utilisateur est enregistr e dans le registre et cette Valeur est utilis e au prochain red marrage Utiliser la GINA Microsoft d origine La GINA Microsoft d origine est plac e en premi re position de la cha ne GINA Utiliser la GINA inconnue La GINA inconnue est plac e en premi re position de la cha ne GINA 17 3 5 Ouverture de session Novell Peut uniquement tre utilis en combinaison avec la fonction de signature unique de SafeGuard Advanced Security Cette r gle permet SafeGuard Single Sign On de d tecter les bo tes de dialogue de connexion de Novell lorsqu une version multilingue est utilis e SafeGuard Single Sign On d tecte le titre de la bo te de dialogue Novell par d faut et de la bo te de dialogue de connexion entr ici et les compl te avec les informations de connexion Novell qui figurent sur le jeton Cette strat gie se trouve dans le mod le d administration de SafeGuard Easy sous Configuration ordinateur Mod les d administration SafeGuard Authentification Options d ouverture de session Ouverture de session Novell 304 18 Mode de chiffrement SafeGuard Easy Verrouillage du poste SafeGuard Easy peut remplacer le verrouillage de poste de travail Windows normal par sa propre bo te de dialogue Quand l ordinateur est en mode veille seul l utilisateur l ayant verrouill peut r activer l interface utilis
39. la cl de d chiffrement d un disque dur chiffr requise pour l amor age est calcul e Le mot de passe SafeGuard Easy doit tre choisi avec circonspection Les utilisateurs pr f rent g n ralement utiliser les m mes mots de passe ou mots de passe faibles tels que leur pr nom ou nom leur nom de soci t les s quences de lettres ou de num ros etc Lorsqu un mot de passe SafeGuard Easy est trop vident il risque d tre d couvert facilement par une personne malveillante Pour d finir des restrictions l attribution de mots de passe il convient donc de bien r fl chir et d essayer 13 1 R gles g n rales de mot de passe internes dans SafeGuard Easy Pour des raisons de s curit certaines r gles pour tous les mots de passe des utilisateurs sont prescrites apr s l installation Un mot de passe SafeGuard Easy doit m comporter au maximum 16 caract res Un mot de passe SafeGuard Easy ne doit en aucun cas m comporter 50 ou plus de caract res identiques par ex aaabba 222122 m comporter de caract res et ou chiffres cons cutifs par ex abcdef 1234567 m comporter de s quences de clavier par ex asdfghij m tre identique avec les noms d utilisateurs SafeGuard Easy exception mot de passe pour l utilisateur SYSTEM m tre similaire aux noms d utilisateurs SafeGuard Easy exception mot de passe pour l utilisateur SYSTEM
40. marrage et d marrez l ordinateur 2 Le programme des secours Sgeasy exe est lanc automatiquement 3 Entrez le mot de passe SafeGuard Easy Confirmez la saisie en cliquant sur OK SafeGuard Easy ID d utilisateur RERSSEESEEEEN 404 4 Un menu avec les rubriques D sinstaller Sauvegarder Restaurer et R parer appara t SafeGuard Easy Outils de secours D sinstaller D chiffrer et d sinstaller le noyau de s curit Sauvegarder le noyau de s curit dans un fichier Restaurer un noyau pr alablement sauvegard Essayer de r parer un noyau endommag 27 5 1 Restauration du noyau syst me La restauration du noyau syst me requiert la pr sence d un noyau syst me valide sur le poste de travail Lorsqu il existe une sauvegarde le MBR et le noyau syst me SafeGuard Easy peuvent tre ais ment restaur s sur le poste de travail partir de cette sauvegarde Cette fonction ne doit pas tre ex cut e si m SafeGuard Easy a t pr c demment d sinstall m la sauvegarde du noyau syst me ne correspond plus sa version actuelle C est le cas quand par exemple l tat de chiffrement du ou des disques durs a t modifi entre la sauvegarde et la restauration du noyau syst me Tous les utilisateurs de SafeGuard Easy et pas seulement l utilisateur SYSTEM peuvent restaurer le noyau syst me 406 27 5 2 R paration du noyau syst me Contrairement la fonction
41. me SafeGuard Easy Cr ation d une disquette de secours _ x m Rappel Les l ments requis ont t cr s avec succ s Si vous avez sauvegard le noyau sur une disquette ou sur un p riph rique amovible tiquetez ceux ci de mani re appropri e et conservez les dans un endroit s r Il est fortement recommand de sauvegarder r guli rement le noyau de s curit SafeGuard Easy Si vous ne le faites pas vous perdrez ventuellement toutes les donn es chiffr es en cas d e du noyau z moi ceci tous les 30 4 jours lt Pr c dent Annuler Dans la mesure o il est essentiel que vous disposiez de la version la plus r cente du noyau syst me en cas d erreur syst me nous recommandons fortement de proc der toujours des sauvegardes r guli res 27 1 2 Sauvegarde du noyau syst me via la ligne de commande Le noyau syst me peut tre galement sauvegard partir de la ligne de commande de la mani re suivante SGEBACK EXE f lt chemin nom de fichier gt S 7 2 ff Affiche le chemin et le nom de fichier utilis pour enregistrer le noyau Vous pouvez donner le nom et l extension de votre choix au fichier cible IS Envoie la sauvegarde de noyau d finie dans le param tre If sur le serveur SGE 1 Affiche cette aide 27 1 3 Sauvegarde des fichiers de secours SafeGuard Easy sur disquette Vous pouvez galement enregistrer les fichiers d urgence
42. mot de passe SafeGuard Easy mais avec le mot de passe de Windows La protection par mot de passe de SafeGuard Easy pour le verrouillage de poste de travail n est alors plus disponible Si AUCUN verrouillage de poste de travail SafeGuard Easy ne doit tre indiqu ceci peut tre configur via la strat gie Utiliser bo te de dialogue SGEasy pour annuler le verrouillage de poste de travail retirez la coche devant la strat gie Cette strat gie se trouve dans le mod le d administration de SafeGuard Easy sous Configuration ordinateur Mod les d administration SafeGuard SGEasy Strat gie Ordinateur local nl Configuration ordinateur CN Param tres logiciel I Param tres Windows B C Mod les d administration CA Windows Components E SafeGuard a Authentication System Network Printers Configuration utilisateur Propri t s de SGEasy 310 19 Activation distance Wake On LAN s curis e Le mode d activation distance s curis e de SafeGuard Easy constitue le moyen le plus s r d allier les avantages de l activation distance et le chiffrement des disques durs pour prot ger le PC Pour ce faire l activation distance de SafeGuard Easy autorise la d sactivation de l authentification avant amor age pendant un nombre pr d fini de red marrages Ensuite cette fonction peut tre r activ e pour permettre par exemple la distribution de nouveaux logicie
43. par d faut et conservez les autres param tres par d faut connectez et de mani re appropri e Connect FN Utiliser des identificateurs ANSI entre guillemets FN Utiliser les nulls remplissages et avertissements ANSI SOL de r cup ration de d faillant pas disponible 9 Le nouveau type de base de donn es SafeGuard Easy est pr sent la base de donn es SQL M Administrateur de sources de donn es ODBC 21x Pilotes ODBC Pas pas l Groupement de connexions propos Sources de donn es utilisateur Sources de donn es syst me Sources de donn es fichier Supprimer Sources de donn es syst me C CETECIESMMECLERS SOL Server Une source de donn es syst me ODBC stocke des informations sur la connexion du fournisseur de donn es sp cifi Elle est visible tous les utilisateurs de cet ordinateur y compris les services NT OK Annuler piquer 10 Red marrez le syst me et terminez les services SGEasy SgeSrv exe et CfgDBSrv exe SgeSrv exe SafeGuard Easy serveur et CfgDBSrv exe SafeGuard Easy DB 11 Les donn es d acc s la base de donn es SGE ne sont pas transf r es en texte clair SetDBPwd exe met jour l utilisateur par d faut et enregistre le mot de passe dans le fichier DBPwd stg chiffr afin qu il puisse tre utilis par le serveur SGE REMARQUE Quand un utilisateur de base par d faut ouvre une session SANS mot de passe
44. res scard SetSGEasyAccount4 configFile userlD authFile WScript Echo res Afficher ID d utilisateur Windows userlD scard GetWindowsAccount WScript Echo userlD Ajouter r le s userlD lt Nom de r le password lt Mot de passe pour nom de r le domain lt Nom de domaine res scard AddMultidesktopRole userlD password domain Ajouter compte s Terminal Server userlD lt Nom d utilisateur TS userlD lt Mot de passe TS domain lt Nom de domaine terminalServer lt Nom du TS res scard AddTerminalServerAccount userlD password domain terminalServer Cr er certificat 1 SSCertimport fileName Fichier PKCS 12 password Mot de passe pour PKCS 12 file res scard ImportCertificate fileName password 72 SSCert by SC userlD Nom d utilisateur Windows cerFile Nom du fichier CER linkFile Nom du fichier CSV res scard CreateSSCertSC userlD cerFile linkFile 3 SSCertBySW userlD Nom utilisateur cerFile Chemin et nom du fichier de certificat fichier CER linkFile Chemin et nom du fichier Link csv pkcsFile Chemin et nom du fichier PKCS 12 protFile Chemin et nom du fichier journal res scard CreateSSCertS W userlD cerFile linkFile pkcsFile protFile Fermer session IMPORTANT I11 res scard Uninitialize Remarques m Ne supprimez pas les guillemets indi
45. sont repris et le nouvel utilisateur de SafeGuard Easy re oit galement l attribut Cr er m Modifier un utilisateur Cr e un utilisateur d j existant sur un poste de travail lui attribue de nouvelles propri t s dans notre exemple User Peter et Paul avec l attribut Modifier Tousles utilisateurs charg s d une configuration de base re oivent automatiquement la propri t Modifier Sans configuration de base les utilisateurs doivent d abord tre cr s avec cette propri t m Supprimer un utilisateur G indique le nom d un utilisateur existant qui va tre supprim l ex cution du fichier de configuration sur ce syst me cible dans notre exemple l utilisatrice Mary REMARQUES Dans les fichiers Delta sans configuration de base la propri t Supprimer doit tre attribu e aux utilisateurs via le champ Commande de configuration F Assistant de configuration SafeGuard Easy Configuration de poste de travail Veuillez changer la configuration affich e ci dessous G n ral lt lt Chiffrement m L utilsateurs E Personnalisation du compte utilisateur Longueur minimum de nom de l utilisat 4 Mary lt Supprimer gt Paul lt Modifier gt D finir Simon lt Nouveaux gt D finir User lt Modifier gt D finir fi QT BEBE Lorsque vous avez entr toutes les donn es cliquez sur Suivant L Assistant ouvre la bo te de d
46. tablit automatiquement O Lancez la fonction Control Center du logiciel ThinkVantage Fingerprint 10 11 12 Lorsque vous inscrivez une empreinte pour la premi re fois vous devez galement indiquer si cette empreinte doit tre utilis e lors du d marrage Cliquez sur Oui Cochez la case Replace the power on and hard drive passwords with the fingerprint reader Installez SafeGuard Easy Dans les param tres de configuration s lectionnez G n ral Authentification Type d authentification puis l option Empreinte Red marrez l ordinateur Apr s le red marrage ins rez un des doigts enregistr s dans le lecteur O L cran d authentification au d marrage s affiche Aucune donn e n est demand e mais la ligne D marrer l authentification avec le lecteur d empreinte digitale s affiche continuer en appuyant sur n importe quelle touche L cran d authentification Fingerprint appara t Ins rez le doigt dans le lecteur qui doit tre associ aux donn es SafeGuard Easy L empreinte du doigt doit avoir t pr alablement relev e avec le logiciel ThinkVantage Fingerprint 13 L cran d authentification au d marrage s affiche Saisissez maintenant les donn es d acc s de SafeGuard Easy qui seront utilis es pour l authentification via l empreinte digitale SafeGuard Easy 14 A l aide de la touche F6 associez un autre doigt aux donn es d acc s
47. un utilisateur pour l activation du chiffrement de disquettes ou de p riph riques amovibles est d fini dans les param tres d utilisateur SafeGuard Easy la rubrique Droits voir Droits utilisateur Les droits d utilisateur suivants sont n cessaires m Pour la commutation du chiffrement modification temporaire d une cl de p riph rique amovible commutation sur le chiffrement de p riph rique amovible m Pour la d finition d une cl temporaire Modifier temporairement la cl de p riph rique amovible Modifier temporairement la cl de disquette Droits de l utilisateur i x Liste de Droits de l utilisateur Veuillez choisir les droits que vous voulez assigner ou non pour l utilisateur s lectionn Utilisateur s lectionn User Droits de l utilisateur Etat Modifier temporairement la cl de p riph rique am M Autoris Modifier temporairement la cl de disquette v Autoris Commuter le chiffrement de lecteur de disquettes V Autoris Commuter le chiffrement de p riph riques amovibl V Autoris Modifier les cl s de chiffrement Non autoris Modifier les param tres de chiffrement Non autoris Modifier les r gles de mot de passe Non autoris Modifier les param tres d utilisateur Non autoris Modifier les param tres du gestionnaire d amor age Non autoris D sinstaller
48. une d sinstallation 109 Cr ation d un fichier de configuration pour la modification fichier Delta 110 Ex cuter le fichier Delta ssseeseesseeesersseesses 114 diter un fichier de configuration s 115 G n ration d un fichier de configuration partir de la ligne de commande Exemples d application seeessssssesesssssssessse Modification des param tres de registre fr quemment utilis s via le mod le d administration 444 121 10 11 Authentification avant l amor age PBA 125 9 1 9 2 9 3 9 3 1 9 3 2 Vous pourrez modifier la langue choisie ult rieurement ess Activation du mot de passe au d marrage AU SYST ME sisi rsssessrsrnsssersesersesss Identification de l ordinateur seeesssssseesess Identification de l ordinateur sseesssssseesess Message d avertissement Legal Notice 126 127 128 128 130 Enregistrement de d marrage principal 131 10 1 10 2 10 3 Protection MBR sssssssssssssssss Actions par d faut du MBR eesessssssesssssssssss Acc s la partition de configuration de COMPAQ IEE E T 133 134 135 Chi 13 iffrement ss 7 11 1 11 2 11 2 1 11 3 11 3 1 11 3 2 11 3 3 11 3 4 11 3 5 Configuration du chiffrement Lecteurs pris en charge Chiffrement des disques durs l Gestion de Cl s ironie Cr ation de cl seessees
49. 1266 1267 Impossible d enregistrer la routine pour le service syst me La fonction d initialisation du service a signal une erreur Bloc d information de service introuvable nLa m moire est vraisemblablement insuffisante n nCode d erreur 1 Erreurs BASE DE REGISTRES 1271 1272 1273 1274 1275 1276 1277 1278 1279 1280 1281 1282 Impossible d ouvrir l entr e dans la base de registres Impossible de lire l entr e dans la base de registres Impossible d crire l entr e dans la base de registres Impossible de cr er l entr e dans la base de registres Impossible de supprimer l entr e de la base de registres L entr e pour le service syst me dans la base de registres nn a pas pu tre ouverte L entr e pour le service syst me dans la base de registres nn a pas pu tre cr e L entr e pour le service syst me dans la base de registres nn a pas pu tre supprim e L entr e pour le service syst me dans la base de registres nexiste d j Impossible d ouvrir le Session Control Manager L entr e pour une session dans la base de registres nn a pas pu tre trouv e Entr e invalide d tect e dans la base de registres Erreur de base de donn es de pilotes 1291 Autres pilotes de chiffrement introuvables 546 1292 1293 1294 1295 Erreurs CRAREA 1301 1302 1303 1304 1305 1306 1307 1308 1309 1310 1311 1312 1313 1314 1315
50. 3 00 0029 00 Rescue and Recovery 4 0 Build 4 0 0114 Rescue and Recovery 4 2 Build 4 20 0510 24 3 Pour une installation Pour les exemples d installation ci dessous nous supposons que l environnement Rescue and Recovery n est pas install sur la partition IBM_SERVICE Toutes les particularit s dont il convient de tenir compte quand on utilise la partition IBM_ SERVICE sont list es au chapitre Particularit s Si vous installez Rescue and Recovery sur un disque dur sans partition IBM_SERVICE Rescue and Recovery sera install avec les param tres par d faut suivants m L environnement Rescue and Recovery se trouve par d faut sur une partition virtuelle install e sur le disque C partition primaire du disque dur principal de l ordinateur m Une partition virtuelle comporte deux r pertoires minint et preboot Ces deux r pertoires sont prot g s par Rescue and Recovery lui m me m Les sauvegardes ou copies de sauvegarde sont enregistr es par d faut dans le r pertoire C RRUbackups Quand il se trouve sur la partition locale du disque dur primaire ce r pertoire est prot g par Rescue and Recovery pour qu il ne soit ni effac ni d plac Dans ce cas la suppression est impossible A l installation de Rescue and Recovery et de SafeGuard Easy l ordre d installation est important Lisez imp rativement les instructions des chapitres suivants 360 24 3 1 Ni SafeGuard Easy ni Rescue a
51. Aide Authentification avec token Sans token EB Activation distance Activer l activation distance Non Nombre de connexion automatique 0 B Configuration du mot de passe Activation du mot de passe au d m Oui Masquer la longueur du mot de pas Non Longueur minimum du mot de passe 6 D lai minimal de l utilisation du mot c 30 Les utilsateurs Historique des mots de passe 4 Caract res 0 Num ros 0 Symboles 0 Majuscules et minuscules m lang e 0 E Mots de passe ind sirables Mots de passe Mots de passe B Identification Identification de l ordinateur lab1 Message d avertissement E Master Boot Hecord Protection MBR Afficher le menu Actions MBR ctions MBA Appuyez sur F1 pour obtenir de l aide Par partition pas de lecteur chiffr CT L Message d avertissement Dans le MBR d un disque dur diverses informations sont stock es pour chaque partition cr e Ceci indique au syst me le disque dur respectivement la partition utilis e pour l amor age C est donc un lieu de pr dilection pour les attaques de virus car le BIOS ex cute le code machine qui s y trouve tout au d but du processus d amor age avant que le syst me d exploitation soit charg SafeGuard Easy est capable de d celer les alt rations du MBR et d y r agir de diverses fa ons en affichant un menu ou en permettant l utilisateur de s lectionner une action une fois les modifications apport es
52. Double cliquez Outils syst me Stockage Services et applications SafeGuard Qa ADM Settings Viewer A A Token Administration ES AKS ifdh 0 X Public A User Compte 5G Easy S AKS ifdh 1 D E 6 Properties alxi Compte SG Easy Utilisateur SafeGuard Easy Michel Mot de passe ARE Confirmer AAK Importer utilisateur et le mot de passe 10 Ensuite confirmez en cliquant sur OK Le jeton comporte d sormais vos donn es Vous trouverez plus d informations ce sujet dans la base de connaissances Utimaco http www utimaco com myutimaco d Utimaco Dans la zone de recherche Search tapez Token amp Admin 15 11 2 Suppression de donn es sur le jeton Pour supprimer les donn es du jeton s lectionnez la commande Delete Supprimer dans le menu contextuel Sgeasy Access Data Donn es d acc s Sgeasy La m me proc dure s applique la suppression des donn es d acc s de Windows 238 15 11 3 Importation de donn es SafeGuard Easy du fichier de configuration Si vous importez des donn es les donn es utilisateur de SafeGuard Easy nom et mot de passe sont crites sur le jeton partir d un fichier de configuration existant Cette proc dure s applique lorsque l metteur ne conna t pas le mot de passe utilisateur de SafeGuard Easy ou ne
53. Easy Ceci permet au client de personnaliser l arri re plan de SafeGuard Easy selon les besoins de son entreprise L image affich e par d faut a le nom SgeLogo bmp et se trouve dans le r pertoire SafeGuard Easy s lectionn Pour remplacer l image de titre il suffit de remplacer l image par d faut par une image de m me nom et de m me taille personnalis e Si AUCUNE image ne doit appara tre en arri re plan la cl de registre HKEY_LOCAL_ MACHINE SOFTWARE Utimaco SGEasy SgeLogoBackGnd doit avoir la valeur 0 L image de titre a une grandeur de 640x480 pixels et une profondeur de couleur max de 8 bits L image d arri re plan peut galement tre d sactiv e via une strat gie dans le mod le d administration Utimaco La strat gie se trouve sous Configuration ordinateur Mod les d administration SafeGuard Sgeasy A la page des propri t s de SGEasy il suffit d ter la coche devant Affichage de l image d arri re plan sur le Bureau d ouverture de session de Windows L image SafeGuard Easy n appara t alors plus g Group Policy E 10 x Action Affichage l e Slm B EA Arbre Strat gie Ordinateur local a Configuration ordinateur Param tres logiciel H Param tres Windows Propri t s de SGEasy 21x Mod les d administration E Windows Components Strat gie Expliquer
54. Easy permet de se prot ger contre de tels risques sans avoir investir un temps consid rable dans l impl mentation de mesures de s curit Comment SafeGuard Easy prot ge t il les postes de travail contre les interventions non autoris es Les fonctions de s curit principales du programme sont le chiffrement de donn es et la protection contre les attaques par l interm diaire d un support externe Les principaux avantages de SafeGuard Easy sont les suivants m Sauvegarde simple mais efficace de la confidentialit des donn es enregistr es m Impl mentation rapide du programme m Tr s grande convivialit m Concept de s curit appropri pour de nombreux domaines d application SafeGuard Easy est simple installer Il est pour cette raison particuli rement adapt aux syst mes autonomes et aux appareils mobiles tels que les ordinateurs portables 1 1 Fonctions de s curit centrales Chiffrement SafeGuard Easy prot ge de fa on simple et efficace la confidentialit des donn es lors de leur enregistrement sur disque dur sur disquettes et p riph riques amovibles n proc dant au chiffrement en ligne En ligne dans ce contexte signifie que les donn es sont d chiffr es lors de leur chargement dans la m moire de travail puis chifr es nouveau lors de leur enregistrement La cl n est pas enregistr e sur le disque dur ou le PC Cette caract ristique permet d changer des supports d
55. Easy sont saisis une fois dans le CryptoServer 2000 et y restent m moris s de fa on s re Ces mots de passe ne sont pas connus du personnel du service d assistance Le code de r ponse est g n r dans CryptoServer 2000 Le personnel du service d assistance peut ainsi g n rer un code de r ponse pour les donn es d utilisateur correspondantes nom code de requ te sans conna tre personnellement le mot de passe de l administrateur SafeGuard Easy Chaque collaborateur du service d assistance se voit attribuer cet effet par l administrateur du CryptoServer 2000 un compte nom d utilisateur mot de passe sur le Cryptoserver qui l autorise g n rer un code de r ponse Ce compte peut tout moment tre supprim par exemple quand le collaborateur quitte le service ce qui fait que le collaborateur concern n est alors plus en mesure d acc der au CryptoServer 2000 La console service assistance mat rielle est disponible comme compagnon s par Console service assistance centrale La console service assistance centrale fonctionne de fa on similaire la solution CryptoServer Dans ce sc nario le personnel du service d assistance ne conna t pas non plus les mots de passe de l administrateur SGE Avec cette variante logicielle interface Web l information n cessaire pour g n rer une r ponse est enregistr e dans une base de donn es prot g e chiffr e avec A ES 256 sur un PC sur lequel fonctionne Microsoft I
56. Edition Affichage Groupes Extras Aide Copier Donn es Ctrl C Enregistrer Donn es comme Ctrl s Group Nor s lectionner Tout Ctr Inverser la S lection Mar Vertrieb La fonction de copie et d enregistrement est appel e via le menu Edition de la console d administration m La sous rubrique Enregistrer donn es comme cr e un fichier ASCII qui peut tre enregistr dans un r pertoire sous un nom au choix Ce fichier contient les titres de colonnes plus les entr es d onglets s lectionn es m Le sous menu Copier donn es place temporairement les entr es d onglets coch es sans titres de colonnes dans le Presse papiers Le contenu du Presse papiers peut tre ins r dans n importe quel programme 489 31 3 Affichage de la configuration actuelle d un client SGE D s que le client SGE et le serveur SGE sont authentifi s avec succ s l utilisateur en session sur la console d administration peut consulter les param tres SafeGuard Easy du client Pour v rifier les param tres actuels ou pour pr parer des modifications il est presque toujours conseill de se faire une id e g n rale des configurations actuelles Cette fonction permet galement de contr ler ais ment si des requ tes ont bien t ex cut es avec succ s sur des clients ou non Pour la distribution du logiciel dans un environnement Active Directory proc dez comme suit 1 Cliquez sur l onglet Poste de travail
57. La strat gie se trouve sous Configuration ordinateur Mod les d administration SafeGuard SGEasy A la page des propri t s de la strat gie SGEasy vous disposez cet effet des options Utilisation CPU standard pour chiffrement et Utilisation CPU modifiable pour chiffrement Ioix action affichage e om EB e Arbre Strat gie Ordinateur local peN Configuration ordinateur l Param tres logiciel Propri t s de SGEasy 1xl 4 Param tres Windows Ci Mod les d administration Strat gie Expliquer Windows Components Ni SafeGuard E SGEasy Sgeasy Authentication C Non configur e E System E Network g Ca Printers C D sactiv e A 8 Configuration utilisateur Param tres logiciel CN Param tres Windows C4 Mod les d administration FN Ouverture de session automatique s curis e FN Bo te de dialogue SGEasy pour annuler le verrouillage de poste de tra FN Affichage de l image d arri re plan sur le Bureau d ouverture de sessio m Re Un Nom du serveur Ferre Strat gie meee Strat gie suivante 49 3 4 Remplacement de l image d arri re plan de l ouverture de session Windows Vous avez la possibilit de personnaliser l image d arri re plan apparaissant apr s saisie des donn es d utilisateur SafeGuard
58. La tentative de lecture d un lecteur a chou 1245 La tentative d criture sur un lecteur a chou 1246 La tentative d acc s un lecteur a chou 1247 Lecteur non pr t 1248 La tentative de verrouillage d un lecteur a chou 1249 La tentative de d verrouillage d un lecteur a chou 1250 La partition syst me doit tre une partition primaire n nCeci est par exemple n cessaire si l option Acc s la partition de configuration Compaq est active 1251 Le d montage d un volume a chou n nDes fichiers ou fen tres du volume sont peut tre encore ouverts 1252 Le premier disque physique n est pas un disque dur 1253 Toutes les entr es de la table de partition du secteur MBR sur le premier disque dur sont d j utilis es n nL option Acc s la partition de configuration Compaq requiert une entr e de table de partition libre 1254 Le syst me a d marr en mode compatible 1255 Pour installer SafeGuard Easy veuillez retirer le disque dur connectable 1256 Aucun lecteur de ce type n est disponible 1257 Erreur interne lors de l acc s la partition syst me Erreurs SERVICE 1261 Des informations sur un objet de m moire pour un service syst me nn ont pas pu tre d bloqu es 1262 Erreur d cel e dans le r partiteur du service syst me 1263 Impossible de d marrer le service syst me 1264 Impossible de modifier l tat du service syst me 544 1265
59. Program Files SGE H E WINNT 2 Disque compact D Le lecteur est chiffr ta Le lecteur chiffr est en cours d chiffrement 11 6 Cr er une image d un disque dur chiffr Les outils de cr ation d image tels que Symantec Ghost sont utilis s pour l installation rapide et automatis e d un grand nombre de PC par exemple lorsqu une grande soci t d assurance doit installer 10 000 portables l identique par l interm diaire d un logiciel de cr ation d image tel que Symantec Ghost Les outils de cr ation d image servent en outre restaurer des partitions endommag es de diff rents ordinateurs au moyen d un fichier d image enregistr sur CD DVD pour que le syst me redevienne fonctionnel En r gle g n rale toutefois des probl mes surviennent la cr ation d image de disques durs chiffr s partitions Les raisons en sont les suivantes m Une image d une partition chiffr e ne peut jamais tre comprim e Cela signifie qu une image d une partition chiffr e est toujours exactement de la taille de la partition r elle m La taille de la partition imag e ne doit pas changer Sinon il sera impossible de la restaurer m Siun disque dur chiffr est clon avec SafeGuard Easy toutes les cl s de chiffrement cr es de fa on al atoire sont identiques Dans certaines circonstances il est quand m m
60. Runtime msi Le programme de commutation du chiffrement de disquettes et de p riph riques amovibles SGECRYPT est galement install par un syst me ex cutable Installation de SafeGuard Easy sur des PC dot s de plusieurs syst mes d exploitation 1 D finissez p ex une installation Windows pour la premi re installation 2 Amorcez ensuite successivement toutes les installations Windows non primaires et installez y respectivement le syst me ex cutable Pour chaque installation choisissez un autre r pertoire 3 Pour finir vous devez amorcer votre installation Windows primaire pour y installer SafeGuard Easy 4 Une fois le chiffrement achev vous pouvez alors continuer amorcer toutes les installations Windows non primaires 4 Installation centrale Les administrateurs peuvent d finir la configuration globale des ordina teurs d utilisateurs avant de distribuer le logiciel cet effet l administrateur cr e un fichier sur ordinateur qui contient tous les r glages SafeGuard Easy n cessaires aux ordinateurs des utilisateurs Il s agit du fichier de configuration pour SafeGuard Easy Ce fichier de configuration permet d installer SafeGuard Easy sur les ordinateurs des utilisateurs Toute modification ult rieure de la configuration de SafeGuard Easy passera par la cr ation d autres fichiers de configuration Il est possible d installer SafeGuard Easy dans un environnement avec ou sans Active Direc
61. SafeGuard Easy Protection des donn es par chiffrement o a A A a AU Windows Server 2003 Windows XP Windows 2000 Enabled eToken V PSA s ecuren Version 4 50 3 Utimaco Safeware AG 2008 Tous droits r serv s Aucune partie de cette documentation ne peut tre reproduite copi e ou distribu e via un syst me de recherche de donn es sous quelque forme que ce soit imprim photocopie ou tout autre moyen l exception d un usage personnel sans l autorisation crite d Utimaco Safeware AG Utimaco Safeware AG se r serve le droit de modifier ou d amender la documentation tout moment sans pr avis Utimaco Safeware AG n est pas responsable des coquilles et des dommages pouvant en r sulter CryptoServer et SafeGuard sont des marques d pos es de Windows Windows NT Windows 2000 Windows XP Windows 2003 Server et Windows CE sont des marques d pos es de Microsoft Corporation Utimaco Safeware AG Les droits de propri t industrielle d Ascom Tech Ltd ont t accord s en Europe au Japon et aux tats Unis IDEA est une marque de Ascom Tech Ltd Toutes les autres marques et noms de produits mentionn s dans ce manuel d signent les marques de leurs d tenteurs respectifs et sont reconnus comme tels Microsoft Windows et le logo Windows logo sont des marques commerciales ou des marques d pos es de Microsoft Corporation aux tats Unis et dans d
62. Windows appara t Entrez les donn es Windows par exemple Nom utilisateur Windows AMiller Mot de passe Windows WinSecurite Ouverture de session Windows Technologie NT Utilisateur I ADupont Mot de passe es WinSecurity Lx Annuler Options gt gt 5 La bo te de dialogue SAL appara t Confirmez avec OUI SafeGuard Easy Ouverture de session automatique s curis e SafeGuard Easy peut automatiquement vous connecter Windows avec les informations que vous avez saisies au moment o vous d marrez le syst me E avec l ID d utilisateur actuel de SafeGuard Easy Voulez vous que SafeGuard Easy m morise vos nom d utilisateur et mot de passe Windows JT Ne plus reposer la question pour l actuel utilisateur SafeGuard E asy 284 6 La bo te de dialogue pour synchronisation de mot de passe appara t Le mot de passe SafeGuard Easy vous est demand dans notre exemple Sgeasy Quand le mot de passe est correct SafeGuard Easy autorise la synchronisation des mots de passe Confirmez avec OK SafeGuard Easy ne E ESS Ex SGE va synchroniser votre mot de passe avec 2 le mot de passe Windows Ceci n cessite votre mot de passe actuel Veuillez saisir votre mot de passe Sgeasy Le Bureau de Windows appara t Red marrez l ordinateur La PBA appara t Tapez les donn es de l utilisateur de SafeGuard Easy Nom d utilisateur SGE User Mot de passe SGE WinSecurity
63. autoris activer d sactiver le chiffrement de disquette La cl de chiffrement de disquette doit tre d finie l avance m Obtenir la permission d initialiser un jeton L utilisateur peut initialiser un jeton pour une fois Cette option est important lorsqu un jeton peut seulement tre initialiser via la fonctionnalit Requ te R ponse mode d initialisation Engagement externe m Authentification sans le jeton pour X sessions L utilisateur peut ouvrir X fois maximum 12 une session sans jeton maximum 12 Cette action est utilis e quand le jeton a t oubli au domicile alors que l utilisateur en a absolument besoin Le code de r ponse est g n r quand la saisie est confirm e R sum Dans la derni re bo te de dialogue vous obtenez un aper u complet des param tres que vous avez d finis dans les bo tes de dialogue pr c dentes de l assistant de d blocage distance Ce qui suit est en outre affich Assistant de d blocage distance SafeGuard Easy L 1x R sum Cette page affiche le code de r ponse g n r e pour la transmission au demandeur et galement un r sum des choix effectu s aux pages pr c dentes m R sum Compte autoris SYSTEM ID du demandeur Utilisateur par d faut Code de requ te RZ8CKBSZLYDJ4R Actions ex cuter D sinstaller Code de r ponse 30 caract res 1PM AJB 4GY 7XM 6VR 7LM XYL 87X F4K TBJ Ai
64. avec les donn es d acc s SafeGuard Easy qu apr s l change d un code de requ te et de r ponse 216 Dans ce cas l utilisateur doit demander un code de requ te dans la PBA en appuyant sur la touche F9 et se mettre en contact avec le service d assistance Ce dernier d marre alors l assistant de d blocage distance Il remplit les bo tes de dialogue pour l authentification et entre le code de requ te Comme Action ex cuter il choisit Accorder permission d initialisation d un jeton Le code de r ponse g n r est alors envoy par email SMS ou t l phone l utilisateur celui ci entrant alors le code de r ponse dans les cases pr vues cet effet Il peut ensuite crire les donn es SGE sur le jeton Cette option implique un service centralis dans une entreprise par ex le service assistance et peut n cessiter dans certaines circonstances plus de travail et plus de temps Elle vite par contre l initialisation de plus d un jeton pour une machine sans mise contribution de l assistance centralis e Mode d initialisation Centralis e Cette option signifie que le jeton doit tre d j initialis par un service centralis avant que l utilisateur puisse en disposer La section Token Administration Administration de jeton permet de cr er des jetons de fa on centrale Vous trouverez une pr sentation de la cr ation de jetons avec la fonction Token Administration Admi
65. base de donn es centrale qui contient les param tres de configuration des clients SafeGuard Easy Des donn es suppl mentaires comme par ex des modifications souhait es de param tres de configuration sont en outre enregistr es galement dans la base de donn es L administration centrale de SafeGuard Easy requiert les composants suivants m le serveur SafeGuard Easy appel ci apr s serveur SGE avec la base de donn es SafeGuard Easy m la console d administration SafeGuard Easy qui contr le la base de donn es sur le serveur console d administration SGE m les ordinateurs clients SafeGuard Easy clients SGE Console Admin SGE donn es SGE gt DT 7 ET Communication chiffr e 438 La base de donn es SGE centrale rassemble diverses informations sur les clients SGE L administrateur SGE utilise la console d administration pour g rer les contenus de la base de donn es et pour g n rer des souhaits de modification sous forme de requ tes Les clients SafeGuard Easy ont recours un agent r seau pour charger les modifications de la configuration de la base de donn es par l interm diaire du serveur et reporter les modifications r ussies sur le serveur Si la modification est r ussie le serveur stocke les nouveaux param tres de configuration dans la base de donn es La communication avec le serveur SGE est r alis e par le processus serveur SGE qui utilise une interface ODBC garantissant
66. blocage distance Aucun composant n est cependant actif apr s un red marrage automatique mais il est possible de les activer tout moment sans intervention de l utilisateur ou manuellement via Panneau de configuration Ajout Suppression de programmes Auditing AdmTools Installe l audit de SafeGuard Enterprise CfgWiz AdmTools Installe l assistant de configuration pour le d ploiement RcWiz AdmTools Installe l assistant de d blocage distance TokenSup AdmTools Autorise l ouverture de session avec jeton aux utilitaires d administration SGAuth_UVM SGSAL largit la proc dure d ouverture de session Windows avec la prise en charge de ThinkVantage Client Security Integration SGAuth_MachineBinding Encryption Elargit la proc dure d ouverture de session Windows avec les fonctions d int gration de machine TPM Composants installables avec Runtime msi Param tre Composant parent Description RuntimeSys Installe un syst me ex cutable Composants installables avec Server msi Param tre Composant parent Description Server Installe le serveur SGE audit inclus SgeServer Server Installe le serveur SGE RemAdmSupport Server Installe le support pour l administration distance AdmConsole Server Installe la console d administration 58 4 4 2 Param tres SafeGuard Easy
67. carte dans son lecteur La bo te de dialogue PIN s affiche Tapez le code PIN utilisateur 272 5 Sila carte puce ne comporte pas encore de donn es Windows une bo te de dialogue s affiche et demande si les donn es doivent pr sent tre entr es Si vous cliquez sur Oui la bo te de dialogue Windows Access Data Donn es d acc s Windows s affiche Entrez le nom d utilisateur le mot de passe et le domaine crire sur la carte REMARQUE Veuillez noter que l utilisateur Windows entr doit tre galement cr sur le poste de travail Dans le cas contraire louverture de session choue 6 La bo te de dialogue permettant d activer d sactiver la fonction Smartcard SAL est ensuite affich e Avec Smartcard SAL OUI Sans Smartcard SAL NON 7 Au prochain red marrage de l ordinateur l ouverture de session dans Windows sera automatiquement effectu e apr s saisie des donn es d utilisateur SafeGuard Easy dans la PBA la carte puce tant ins r e Modification de code PIN de carte puce Les codes PIN peuvent tre modifi s avec des outils SafeGuard externes par ex avec Token Administration Lorsqu un utilisateur modifie le code de la carte avec cet outil ceci affecte la fonction SAL de la carte dans la mesure o le code stock sur la carte ne correspond plus au code stock dans le fichier Sgsal dat Au red marrage le syst me s arr te dans la bo te de dia
68. concern s aide contenir le flux de donn es caus par l enregistrement de tous les v nements possibles Laudit enregistre les v nements SafeGuard Easy suivants m d roulement du processus d ouverture de session la PBA succ s chec m actions d administration cr ation d un utilisateur etc m d roulements avec administration centrale client assign au serveur etc m succ s chec de l ex cution de fichiers de configuration m processus d installation d sinstallation m processus de chiffrement d chiffrement 418 29 1 Domaines d application SafeGuard Auditing est une solution conviviale pour enregistrer des v nements Des exemples montrent quelques sc narios typiques de la mani re d utiliser SafeGuard Auditing Surveillance centrale de stations de travail sur le r seau L administrateur souhaite tre par exemple inform des v nements SafeGuard int ressant la s curit par exemple ex cution de fichiers pour lesquels l utilisateur ne poss de pas d autorisation etc II peut configurer SafeGuard Auditing de mani re ce que les v nements SafeGuard soient automatiquement transf r s et enregistr s par certains ordinateurs l observateur d v nements ou un fichier journal choisi lui m me sur une station de travail d Les v nements sur diverses stations de travail sont donc contr l s en continu sans que le collaborateur puisse influer d une mani re ou d un
69. connecter et utiliser imm diatement n importe quels p riph riques PnP par ex les sticks m moire USB L administration PnP permet une importation exportation contr l e des donn es sur des supports de m moire au niveau de cat gories et d appareils individuels DESIREN _ 11 1 Configuration du chiffrement Les param tres de chiffrement sont d finis dans les programmes d administration la page de configuration Chiffrement Non d finie Non d finie Non d finie Non d finie Non d finie Non d finie 140 11 2 Lecteurs pris en charge Disques durs Disques durs IDE SCSI Disques durs ATA s rie connectables chaud Disques durs Firewire connectables chaud Disques durs USB connectables chaud Remarques relatives au chiffrement de disques durs Disques durs connectables chaud Tous les disques durs qui doivent tre chiffr s doivent tre d j connect s l ordinateur l installation de SafeGuard Easy Le premier chiffrement de disques durs connectables chaud ne doit pas tre interrompu Les disques durs connectables chaud doivent rester connect s m me au premier red marrage apr s le premier chiffrement Apr s le premier chiffrement le lecteur peut tre connect et d connect selon les besoins Il est n cessaire que l utilisateur se serve toujours du m me disque dur par ex pour les sauvegardes r gu
70. d exploitation Pour des raisons de s curit la fonction d authentification avant amor age PBA ne doit jamais tre d sactiv e 128 9 3 Identification de l ordinateur Les options sous Identification permettent d afficher dans la PBA des textes d finissables SafeGuard Easy v4 00 Identification de l ordinateur Titre du message d avertissement message d averti Tapez une touche pour continuer 9 3 1 Identification de l ordinateur Le texte entr dans ce champ appara t dans la bo te de dialogue d ouverture de session de la PBA Vous pouvez par exemple sp cifier un nom exact pour votre station de travail dans ce champ ce qui vous permet d identifier l ordinateur avec pr cision Si un nom d ordinateur est d j d fini par les param tres r seau de Windows il est transf r de fa on automatique Vous pouvez taper un maximum de 63 caract res L identification de machine peut galement contenir des liens avec des variables d environnement Ces liens sont convertis l installation Ceci est utile en particulier lors de la cr ation de fichiers de configuration install s sur plusieurs postes de travail Exemple L entr e dans le champ Identification de la machine Ceci est USERDOMAIN L amor age est effectu de WINDIR devient Le PC1234 d marre partir de C WINNT pendant l installation Pour tous les syst mes d exploitation il existe la var
71. d utilisateur et son mot de passe SGE dispose de ces donn es A cet effet SGE cr e toujours quand la PBA est d sactiv e un utilisateur AUTOUSER et lui attribue un mot de passe al atoire Partag en diff rents l ments ce mot de passe est stock dans le noyau SGE A l amor age SGE est en mesure d en restaurer le mot de passe complet ou proprement parler la s quence du Scan Code compl te 11 3 3 Longueur de cl Il n y a pas de longueur minimale de cl pr d finie La longueur maximale de la cl est de 32 caract res codes ASCII 32 255 Les caract res alphanum riques A Z a z 0 9 et sp ciaux 8 5 8 amp 7 14 peuvent tre utilis s mais pas les caract res sp ciaux propres une langue Le syst me tient compte des majuscules et des minuscules Ainsi MotPasse et motpasse sont consid r s comme diff rents sont consid r s comme diff rents 11 3 4 Cl banale La banalit des cl s pour disquettes disques durs et p riph riques amovibles est v rifi e Les cl s banales sont des cha nes de caract res se composant d un ou de peu de caract res p ex 22222222 aad daad daadd 1h1h1h1h1h1h1h ou qui correspondent l ordre d une rang e du clavier p ex qsdfgh Ikjhgfds Quand vous entrez une cl banale vous tes avis du risque relatif la s curit et vous pouvez red finir la cl 11 3 5 Cl al atoire Une cl al atoire a toujours une longueu
72. de base de donn es sont supprim es de l ancienne base de donn es 492 10 D marrer la console d administration et la connecter au nouveau serveur Connexion la Base de Donn es 494 31 6 D finition de groupes La console Administration administre les diff rents clients SafeGuard Easy qui sont inscrits sur le serveur SafeGuard Easy Dans les grandes organisations cependant il est souvent pr f rable de cr er des groupes de clients SafeGuard Easy Ceci permet de distribuer les param tres de configuration un grand nombre d ordinateurs la fois Les groupes se subdivisent par ex en services ou galement en configurations SGE identiques Malgr l affectation des groupes les clients peuvent galement effectuer leurs propres configurations Les groupes SafeGuard Easy ne comportent pas de hi rarchies Par exemple vous ne pouvez pas exclure le groupe B du groupe accorder plus de droits au groupe C qu au groupe D etc Chaque client SGE peut toutefois tre membre de plusieurs groupes Le regroupement de clients prend beaucoup de temps dans les grandes organisations Dans le cadre d une installation pr configur e un param tre SafeGuard Easy peut affecter automatiquement des clients un ou plusieurs groupes pendant l installation cf Param tre Groupes sur Param tres SafeGuard Easy Les groupes SGE travaillent ind pendamment des groupes d util
73. de chiffres pour acc der leur ordinateur de bureau ou portable A la diff rence d un jeton ou d un mot de passe une empreinte digitale est unique et ne peut tre devin e la diff rence du mot de passe ou oubli e jeton Certains ordinateurs portables Lenovo int grent directement un lecteur d empreinte digitale Mais l authentification par empreinte digitale est galement possible par un clavier ou un lecteur USB externe SafeGuard Easy tablit un lien entre un doigt de l utilisateur et les donn es d acc s de SafeGuard Easy Il suffit donc de proc der l authentification en ins rant un doigt dans le lecteur pour acc der automatiquement SafeGuard Easy Avantages d une authentification par empreinte digitale m S curit un mot de passe ou un jeton ne sont plus n cessaires m Confort connexion automatique SafeGuard Easy et Windows et toutes les applications exigeant une authentification REMARQUE Le syst me ne permet de connecter qu un seul lecteur d empreintes Action Lecteur d empreinte digitale Lenovo Authentification avant amor age x3 Authentification pour acc der SafeGuard Easy Administration Authentification pour acc der aux fichiers de configuration Authentification pour acc der Windows x3 Verrouiller le poste de travail Windows Rapidit accrue du changement d utilisateur SafeGuard Easy 3 Unique
74. de d autorisation r seau et ne peut par cons quent pas crire dans un fichier journal situ sur un lecteur r seau 29 4 2 Cr ation d une destination Voici comment cr er une nouvelle destination 1 Cliquez sur Destination 2 Cliquez sur l ic ne A ou avec le bouton droit de la souris sur Destinations puis sur Ajouter une nouvelle destination 3 La bo te de dialogue Nouvelle destination appara t xi Name Type EventLog bd Destination Nom Entrez ici un nom de votre choix pour la destination Le nom peut contenir des espaces et des caract res sp ciaux Type D termine le type de journal utiliser m S lectionnez Observateur d v nements quand les v nements doivent tre stock s dans l observateur d v nements de Wndows m S lectionnez Fichier journal quand les v nements doivent tre enregistr s dans un fichier Conseil Le fichier s lectionn ne doit pas tre prot g en criture m S lectionnez Enregistrement distance quand les v nements doivent tre stock s sur une autre station de travail Disponible uniquement en combinaison avec le module de base de SafeGuard Advanced Security Destination Cliquez sur le bouton Parcourir S lectionnez le fichier journal ou dans le cas de RemoteLog la station de travail devant servir consigner les v nements Le nombre de destinations possibles est illimit 29 4 3 Sup
75. de formater ce support dans le lecteur non chiffr les donn es qui y sont enregistr es sont irr versiblement perdues Si le syst me tente d acc der sans succ s un support amovible ou une disquette du fait que le chiffrement est actif un nouveau message s affiche pour indiquer que tous les fichiers stock s sur la disquette seront effac s si vous la formatez m Activer d sactiver le chiffrement L activation d sactivation du chiffrement de disquettes ou de p riph riques amovibles dans l utilitaire d administration de SafeGuard Easy est imm diatement effective tandis que le nouvel octroi de droits pour SGECRYPT ne fonctionne qu apr s le red marrage de l ordinateur m Avertissement Quand vous tentez d acc der des disquettes p riph riques amovibles non format s ou non chiffr s un message vous informant de la perte de donn es en cas de formatage appara t 328 22 Certification FIPS 140 2 Level 1 La certification FIPS d crit les exigences en mati re de s curit pour les modules de chiffrement Les administrations gouvernementales des tats unis et du Canada requi rent par exemple un logiciel certifi FIPS 140 2 pour les informations particuli rement critiques en mati re de s curit La caract ristique d une installation SafeGuard Easy conforme la certification FIPS est que seuls certains algorithmes doivent tre utilis s pour le chiffrement Ce sont les suivants m AES 128 m AES 2
76. de passe au d marrage du syst me authentification avant le d marrage du dossier G n ral est activ e vous pouvez galement vous connecter votre station de travail avec ce nom d utilisateur et ce mot de passe 34 9 Une bo te de dialogue F licitations signale que l installation est termin e 10 Veuillez red marrer votre ordinateur 3 1 1 Mode chiffrement Des indications sur le mode de chiffrement sont toujours requises quand SafeGuard Easy est install installation interactive fichier de configuration avec la propri t Installer Assistant de configuration pour le d ploiement SafeGuard Easy k 21x Choisissez le mode de chiffrement Veuillez sp cifier un mode de chiffrement Le mode chiffre des disques durs complets Le mode Par partition chiffre des partitions de disque dur et le mode Protection des zones d amor age chiffre des zones sp ciales des partitions de disque dur C Disques complets C Protection des zones d amor age C Double amor age lt Pr c dent Annuler hide m Par partition Toutes les partitions s lectionn es sont compl tement chiffr es Choisissez cette option si vos disques durs comprennent plusieurs partitions que vous ne souhaitez cependant pas toutes chiffrer Vous d ciderez plus tard des partitions devant tre chiffr es dans les param tres de chiffrement m Disques complets Tous les disques durs connect s pendant
77. de r cup ration usine contient toutes les informations pour la r cup ration des param tres d usine de l ordinateur Si votre ordinateur ne comporte pas encore de partition de service et si vous voulez quand m me travaillez avec cr ez la avant d installer SafeGuard Easy Pour cr er la partition de service consultez la documentation Lenovo correspondante 24 9 1 Particularit s Les particularit s suivantes doivent tre not es quand vous utilisez la partition de service et de r cup ration usine Syst me d exploitation Mode de chiffrement SafeGuard Easy Mode de chiffrement tat des deux partitions speciales Protection des zones d amor age Windows 2000 Par partition Les partitions ne sont pas chiffr es Avantage les param tres d usine Lenovo peuvent tre restaur s du disque dur local Windows XP Par partition Disques complets Inconv nient les pirates informatiques peuvent Protection des manipuler un environnement d amor age Rescue zones d amor age and Recovery non chiffr Windows 2000 Disques complets Les partitions sont chiffr es Avantage l environnement d amor age est chiffr Il ne peut tre modifi que lorsque le mot de passe SafeGuard Easy est connu Inconv nient les param tres d usine Lenovo ne peuvent pas tre restaur s du disque dur local Pour la r initialisation des param tres d usine un CD ou DVD sp cial est n cessaire En a
78. des valeurs entre 1 et X heures L intervalle peut galement tre d sactiv via une strat gie dans le mod le d administration Utimaco La strat gie se trouve sous Configuration ordinateur Mod les d administration SafeGuard SGEasy 448 A la page des propri t s de SGEasy il suffit d entrer la valeur souhait e sous Intervalle d interrogation du serveur en heures RPE ction Affichage Il amp EE Arbre Param tre Strat gie Ordinateur local a Configuration ordinateur E m Param tres logiciel Propri t s de SGEasy Pix H E Param tres Windows E Mod les d administration Strat gie Expliquer Windows Components B E SafeGuard E SGEasy E Sgeasy H E Authentication H System C Non configur e w Network Activ e E Printers C D sactiv e E Configuration utilisateur 1 Param tres logiciel N Ouverture de session automatique s curis e Param tres Windows IV Bo te de dialogue SGEasy pour annuler le verrouillage de poste de Mod les d administration NV Affichage de l image d arri re plan sur le Bureau d ouverture de se I Ouverture de session automatique s curis e avec cartes puce U IV R initialisation de param tres de chiffrement temporaires la ferme Utilisation CPU standard pour le chiffrement Fi 00 3 30 3 Pour une installation Remarqu
79. doit pas le conna tre Comment proc der 1 Activez l option Entrer ID utilisateur et mot de passe 2 Ouvrez le dossier Utlisateur 3 S lectionnez le dossier Compte SGEasy 4 Ouvrez la bo te de dialogue Propri t s en double cliquant sur l ic ne SafeGuard Easy dans la colonne Utilisateur ioii Action Affichage I e EX Arbre Ltiisateur Double cliquez Gestion de l ordinateur local E Outils syst me E Stockage H Services et applications s amp ADM Settings Viewer Token Administration Compte SG Easy CR AKS ifdh 0 Enter user ID and password S Public 5 amp User 2 Utilisateur SafeGuard Easy S Compte 5G Easy jr No AKS ifdh 1 Mot de passe l ct ARR Confirmer Utilisateur SafeGuard Easy Importer un fichier de configuration 5G EASY 5 S lectionnez Importer ID utilisateur et mot de passe 6 Cliquez sur le bouton Importer le fichier de configuration SG Easy et s lectionnez le fichier de configuration 7 Connectez vous au fichier de configuration avec les informations d identification de SafeGuard Easy qui sont disponibles dans le fichier 8 Une nouvelle bo te de dialogue s affiche qui donne la liste de tous les utilisateurs entr s dans le fichier de configuration s
80. est cras et les modifications seront ajout es au fichier de configuration de base existant Pour ce faire il suffit de renommer le fichier de configuration de base et de l enregistrer sous un autre nom 8 4 4 Cr ation d un fichier de configuration pour une d sinstallation Le type de configuration D sinstaller ouvre la bo te de dialogue Authentification SafeGuard Easy assistant de configuration pour le d ploiement safecuard Easy EE L utilisateur entr ici doit disposer du droit de d sinstallation Lorsque vous avez entr toutes les donn es cliquez sur Suivant L Assistant ouvre la bo te de dialogue R pertoire cible Vous donnez un nom au fichier de configuration 8 45 Cr ation d un fichier de configuration pour la modification fichier Delta En bref un fichier Delta modifie les param tres d une installation SafeGuard Easy existante Comme un fichier d installation le fichier Delta peut tre cr avec ou sans configuration de base Contrairement au fichier d installation il n est cependant pas possible dans les fichiers Delta de modifier l tat du chiffrement de disque dur et du support de jeton Les options sur les diff rentes pages de configuration ne peuvent tre trait es dans les fichiers Delta qu une fois la case correspondante coch e Assistant de configuration SafeGuard Easy 1 1x Configuration de poste de travail Veuillez changer
81. est appel e sauvegarde SGE SafeGuard Easy n est pas affect par une restauration syst me tous ses param tres restent valides et il n est n cessaire de proc der sa r installation L utilisateur peut continuer travailler sans interruption apr s la restauration et n est pas importun par un relancement du chiffrement 24 2 1 Avantages de la combinaison de Rescue and RecoveryTM et de SafeGuard Easy SafeGuard Easy chiffre tout le disque dur fichiers temporaires fichier d change mise en veille prolong e et fichier de vidage de m moire inclus et le prot ge en interrogeant les donn es d utilisateur SafeGuard Easy contre un acc s non autoris Toutes les copies de sauvegarde sont stock es de fa on chiffr es d s qu elles sont enregistr es sur un disque dur local chiffr Le module Rescue and Recovery permet de restaurer un syst me endommag sans avoir r installer SafeGuard Easy et chiffrer de nouveau le disque dur La restauration d une sauvegarde SGE de l environnement Rescue and Recovery n est possible que si les donn es d utilisateur SafeGuard Easy ont t entr es au pr alable dans l authentification avant amor age 24 2 2 Pr paration Ordinateurs de bureau ou portables de Lenovo BIOS actuel pour votre syst me Version de Rescue and Recovery Rescue and Recovery 1 0 Build 033 Rescue and Recovery 2 0 Build 2 00 0170 Rescue and Recovery 3 0 Build
82. et l ouverture de session Windows automatique sont ex cut es comme c est normalement le cas 17 2 Ouverture de session Windows et SafeGuard Easy avec un mot de passe identique synchronisation de mot de passe La fonction SafeGuard Easy Synchronisation de mot de passe aide minimiser les oublis ventuels de mot de passe en faisant du mot de passe Windows le mot de passe pour SafeGuard Easy Il s ensuit que l utilisateur n a plus se rappeler que d un seul mot de passe celui de Windows pour ouvrir une session la fois dans SafeGuard Easy et dans le syst me d exploitation Si l ouverture de session automatique s curis e SAL est en outre active il suffit d entrer le mot de passe Windows dans l authentification avant amor age PBA La synchronisation du mot de passe comporte galement des m canismes permettant de conserver synchrones le mot de passe SafeGuard Easy et le mot de passe Windows apr s changement de ces mots de passe Par d faut la synchronisation du mot de passe est d sactiv e Elle est activ e au moyen d une cl de registre 17 2 1 Avantages de la synchronisation du mot de passe m Les utilisateurs ne doivent se souvenir que d un seul mot de passe le mot de passe Windows m Le service d assistance n a plus qu un mot de passe administrer par utilisateur m L administration en parall le de SafeGuard Easy et de Windows n a plus lieu d tre Avec la configurat
83. et peut proc der aux modifications comme s il tait connect en local Les modifications via l administration distance agissent en partie directement sur le client SGE comme par ex au lancement du chiffrement d chiffrement d autres requ rant un red marrage du client SGE L administration distance fonctionne ind pendamment de l administration centrale et est pratique pour des t ches d administration dans des r seaux de moindre tendue Elle peut tre utilis e de fa on autonome ou qu l ment int gral de la console Administration L administrateur peut l utiliser pour effectuer les t ches suivantes m Connexion un client SGE m Authentification sur le client SGE m Modification des param tres du client SGE m Affichage des processus de chiffrement d chiffrement sur le client SGE m Enregistrement des param tres m Lancement de la sauvegarde de noyau syst me du client SGE La fonctionnalit d administration distance s int gre dans l administration SafeGuard Easy connue et appelle les m canismes d administration existants 594 32 1 Conditions La visualisation et l dition des param tres d un client SGE sur l ordinateur de l administrateur sont uniquement possibles m siune connexion r seau est tablie entre l ordinateur de l administrateur et le client S GE m Le compte Windows avec lequel l administrateur a ouvert une session sur l ordinateur de l administrate
84. fichier Install cfg Les diff rents composants sous sont s par s seulement par une virgule sans espace suppl mentaire Respectez galement la casse majuscules minuscules pour la saisie des diff rents composants et des param tres SafeGuard Easy Lors de la s lection d un composant tous les composants parents doivent galement tre ajout s la ligne de commande 4 3 2 Options s lectionn es utilis es par Windows Installer REMARQUES Ex cutez msiexec exe partir de l invite de commande Windows Le syst me affiche ensuite toutes les options disponibles du programme d installation de Windows i Indique qu il s agit d une installation qn Installation sans intervention de l utilisateur et affichage d aucune interface utilisateur ADDLOCAL Liste les composants qui doivent tre install s Si le param tre n est pas sp cifi tous les composants pr vus pour une installation par d faut sont install s ALL permet d installer tous les composants disponibles REBOOT Forcerestart NORESTART Impose ou neutralise un red marrage apr s l installation Sans indication un red marrage est impos Forcerestart L lt chemin nom de fichier gt Consigne tous les avertissements et tous les messages d erreur dans le fichier journal sp cifi Le param tre Le lt chemin nom de fichier gt ne consigne que les messages d erreur Installdir lt r pertoire g
85. gt ThinkVantage Software TFS 2 Dans l cran de d marrage s lectionnez successivement Settings gt Power On Security L cran Power on Security S curit au d marrage s affiche 3 S lectionnez un utilisateur puis cliquez sur OK Poweron secuny EE IMPORTANT Learn more Authorized fingerprints For power on security Empty slots 18 User Name _Finger mai right index mai right middle Remove mai left index 266 17 Configuration du mot de passe Windows Avec l authentification avant amor age PBA comme premier composant du syst me SafeGuard Easy requiert une authentification Ce n est qu apr s que le syst me a t d verrouill avec des donn es SafeGuard Easy valides que la bo te de dialogue d ouverture de session de Windows appara t Les utilisateurs trouvent cependant souvent fastidieux de se rappeler des mots de passe diff rents pour avoir acc s leur ordinateur Par cons quent il est parfois n cessaire d crire ces diff rents mots de passe de fa on les m moriser Ceci repr sente toutefois un risque consid rable pour la s curit de la soci t Les mots de passe oubli s repr sentent en outre un surplus de t ches pour le centre d assistance dans les r seaux importants C est pourquoi SafeGuard Easy offre une fonctionnalit de synchronisation SAL Secure Automatic Logon et de mot de passe pour viter aux utilisateurs d avoi
86. inclus Selon l organisation il peut tre toutefois utile de cr er un syst me de r les plusieurs niveaux l administrateur ou le sous administrateur du syst me pouvant disposer de droits diff rents La structure hi rarchique ci dessous est imaginable Administrateur du syst me Seul l administrateur du syst me est en droit d ex cuter toutes les fonctions du programme Il peut d finir un assistant et lui octroyer certains droits d administration L administrateur du syst me ne doit jamais oublier son mot de passe Il doit le noter et le conserver dans un endroit s r 160 Sous administrateur du syst me Les sous administrateurs du syst me peuvent aider l utilisateur quand celui ci a par ex oubli son mot de passe Dans quelle mesure un sous administrateur peut assister l administrateur du syst me d pend des droits qui lui sont octroy s au pr alable Utilisateurs L utilisateur ne peut que visionner ses param tres Il ne peut ex cuter de fa on autonome que la modification du mot de passe d utilisateur L administrateur du syst me peut en outre lui octroyer certains droits 12 2 Utilisateurs pr d finis SafeGuard Easy fournit les profils d utilisateurs pr d finis suivants m SYSTEM m USER m AUTOUSER 12 2 1 L utilisateur SYSTEM Cet utilisateur est le seul poss der les droits du niveau hi rarchique le plus lev Il ne peut pas modifier ses propres param tres Personne ne peut
87. informations suivantes m Nom du serveur Nom du serveur SGE sur lequel se trouve la base de donn es SGE Le nom de serveur peut galement tre entr sous forme d adresse IP m Donn es d acc s par d faut la base de donn es Si la case Utiliser l authentification par d faut de la base de donn es est coch e SafeGuard Easy utilise par d faut les donn es d ouverture de session actuelles pour la base de donn es SGE Dans la configuration de base c est le nom d utilisateur Admin Mot de passe Pas de mot de passe D autres donn es d acc s peuvent tre saisies quand la case n est plus coch e Une fois la liaison tablie avec succ s le nom de serveur et le nom d utilisateur mais pas la base de donn es ou le mot de passe sont enregistr s dans le registre et automatiquement r utilis s la prochaine ouverture de session La console d administration ne se connecte cependant automatiquement au serveur que lorsque la derni re ouverture de session a t effectu e avec les donn es d acc s par d faut Sans donn es d utilisateur par d faut vous vous connectez en coupant tout d abord la communication via le menu Fichier dans la console d administration puis en la r tablissant S lectionnez ensuite l option Connecter dans le menu Fichier pour revenir au masque de connexion de la base de donn es En g n ral le serveur SGE et la console d administration se trouvent
88. l option Administration distance Assurez vous qu une connexion r seau est tablie entre l ordinateur de l administrateur et l ordinateur de l utilisateur Lancez l administration distance via D marrer Programmes Utimaco SafeGuard Easy Administration Eg SafeGuard Easy Administration Fichiers View User Remote Extras Aide Imetl eee 2 MUNICH Computer TSGSAE E Tokens Chiffrement Token Logon without token m L utilsateurs E Activation distance Activer l activation distance Non Nombre de connexion automatique 0 B Configuration du mot de passe Activation du mot de passe au d marrage Qui Masquer la longueur du mot de passe Non Longueur minimum du mot de passe 6 D lai minimal de l utilisation du mot de passe 30 Historique des mots de passe 4 Caract res 0 Num ros 0 Apr s l installation de l administration distance SafeGuard Easy Administration poss de les fonctions suppl mentaires suivantes m s lection de clients via une liste d ordinateurs m mise jour de la liste d ordinateurs m tablissement interruption de liaison avec le client m saisie manuelle du nom de client n apparaissent pas dans la liste d ordinateurs 32 3 Connexion 1 L utilisateur du PC administrateur ouvre une session dans l administration SafeGuard Easy S SafeGuard Easy Ouverture de session 2 D s que la liste d ordinateurs est ou
89. la puce 2 Dans le registre Windows HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy Entrez de nouvelles sous cl s Fournisseur de services cryptographiques STRING a avec CSS lt 5 40 entrez IBM Embedded Security Subsystem Enhanced CSP a avec CSS lt 6 0 entrez ThinkVantage Client Security Solution CSP UseCSPRandomGenerator D WORD D finissez la valeur sur 1 3 Installez SafeGuard Easy Les cl s al atoires sont alors g n r es sans autres param tres de configuration de la puce ESS TPM 349 23 5 Param tres requis pour la s curisation de l authentification client serveur via puce TPM Param tres pour Client Security Software lt 5 40 La g n ration de paires de cl s via une puce ESS TPM est s curis e via le mot de passe d administrateur de la puce Le mot de passe d administrateur est fix pendant l installation du logiciel CSS Si SafeGuard Easy est distribu dans le cadre d une installation centrale sur des clients avec puce TPM le mot de passe d administrateur sur les clients doit tre connu Dans les r seaux comportant plusieurs clients TPM les utilisateurs ne connaissent pas g n ralement le mot de passe de l administrateur de la puce Les administrateurs pr f rent g n ralement appliquer le m me mot de passe TPM l ensemble des utilisateurs du r seau Avec un utilitaire propre SafeGuard Easy il est possible de g n rer un fichier chiffr avec le mot de pas
90. la plus grande flexibilit possible dans le choix du type de base de donn es 30 1 1 Serveur SGE Base de donn es SGE Le serveur SGE est le point de stockage central de tous les clients car c est ici que sont enregistr s les param tres de tous les clients SGE dans une base de donn es SafeGuard Easy peut prendre en charge n importe quel type de base de donn es employant l interface ODBC Dans la configuration de base SafeGuard Easy utilise Microsoft Access La base de donn es SGE sur le serveur SGE contient les informations suivantes sur les clients SGE m param tres SGE actuels sans mots de passe ni cl s m nom du r seau Ces informations peuvent tre consult es sur la console d administration SGE Sur le serveur est galement cr le r pertoire Backups dans lequel chaque poste de travail enregistr sur le serveur cr e automatiquement une sauvegarde de noyau syst me mise jour chaque changement de configuration Cette sauvegarde est mise jour apr s toutes les modifications de configuration 440 REMARQUE Si vous pr voyez d utiliser SafeGuard Easy conjointement une administration bas e sur serveur dans une nouvelle installation vous pr f rerez peut tre d ployer le produit Utimaco de derni re g n ration SafeGuard Enterprise SafeGuard Enterprise fournit des options de gestion am lior es notamment l int gration d Active Directory la distribution de strat gies via le W
91. la session sera d connect e F Standby Veille L ordinateur est mis en veille Lors des sessions Terminal Server la session sera verrouill Aper u des actions possibles et leurs effets sur l ordinateur local ou sur la session terminal serveur Param tre Action Action dans session local ou sur serveur terminal serveur lt Aucun gt aucune aucune Fermeture de la session fermer fermer Arr ter la arr ter fermer station de travail Red marrage du syst me red marrer fermer Mettre en veille la mettre en veille Verrouiller la session station de travail prolong e D connexion de la session aucune D connexion de la session En veille En veille Verrouiller la session 3092 REMARQUE Lors d une session Bureau distance les m mes actions s appliquent comment indiqu dans la section local ou serveur m D lai Sous D lai vous r glez la dur e en minutes apr s laquelle le syst me doit ex cuter une action d crite La valeur par d faut est 15 Vous pouvez taper le nombre directement au clavier ou le modifier avec les touches fl ch es Valeurs minimales et maximales 0 900 m Disable Screensaver D sactiver l cran de veille De mani re g n rale l cran de veille est d sactiv lorsqu un utilisateur d place la souris ou utilise le clavier Il peut ensuite poursuivre normalement son travail Si la case D sactiver l conomiseur d cran est coch e le poste de travail est
92. le disque dur local ou partition IBM_SERVICE locale SafeGuard Easy N autorise PAS l amor age de l environnement Rescue and Recovery partir d un m CD ex cutable m Disque dur USB ex cutable Si l environnement Rescue and Recovery est amorc quand m me partir d un support externe SafeGuard Easy est supprim pendant le processus de restauration Pour sauvegarder nouveau le syst me SafeGuard Easy doit tre r install 24 8 2 Restauration d un syst me SafeGuard Easy 1 Ouvrir l environnement Rescue and Recovery en appuyant sur la touche Thinkvantage ordinateur portable ou la touche Entr e bleue L invite d authentification avant amor age appara t L Utlisateur doit entrer les donn es SafeGuard Easy L interface utilisateur de l environnement Rescue and Recovery appara t L cran de bienvenue s affiche Cliquez sur le bouton Suivant pour continuer Dans le menu de gauche s lectionnez Restaurer via sauvegarde La bo te de dialogue Restaurer d une sauvegarde appara t S lectionnez la sauvegarde SGE et restaurez 370 24 9 Partitions de r cup ration de service et d usine Lenovo fournit de nouveaux PC dot s de partitions pr install es appel es partition de service service partition et partition de r cup ration usine factory recovery partition m Partition de service contient l environnement d initialisation Rescue and Recovery m Partition
93. le mot de passe doit comporter en cas de modification par l utilisateur Vous pouvez saisir le nombre souhait des caract res soit directement soit en augmentant ou diminuant la valeur l aide des touches de direction Le mot de passe peut compter entre 1 et 16 caract res La valeur par d faut est 6 13 4 4 D lai minimal de l utilisation du mot de passe Le d lai d utilisation du mot de passe a une dur e minimale en jours Au cours de cette p riode l utilisateur ne doit pas modifier le mot de passe Cette option vise emp cher une r initialisation du mot de passe par l utilisateur 182 13 4 5 Historique des mots de passe Pour viter que l utilisateur passe en permanence d un mot de passe l autre vous pouvez d finir un nombre de g n rations de mot de passe plus lev Chaque mot de passe est compar au mot de passe utilis dans le pass et refus quand il est identique un mot de passe existant Le nombre de mots de passe utilis s dans le pass et enregistr s pour comparaison est r gul par ce param tre Vous pouvez enregistrer jusqu 16 mots de passe utilisateurs Cliquez sur le champ de saisie puis d finissez la valeur soit en tapant le mot de passe soit en cliquant sur les touches de direction La d finition du nombre de g n rations de mot de passe est particuli rement important si vous activez le param tre Changer le mot de passe apr s n jours voir Changement du
94. les menus correspondant l onglet actif par exemple lorsque l onglet Stations de travail est actif le menu Stations de travail s affiche etc Console d Administration de SafeGuard Easy Serveur SERYERO3 Exporter Fichier Si plusieurs postes de travail groupes requ tes sont pr sents une s lection multiple via les m canismes Windows usuels CTRL MAJ ou via le menu Edition est possible L administration distance peut galement tre appel e de la console d administration Poste de travail Ouvrir l Administration distance Pour plus de d tails sur l administration distance lire le chapitre Administration distance 480 31 2 1 Enregistrement du contenu des onglets comme fichier de texte La console d administration fournit une fonctionnalit permettant d enregistrer le contenu de l onglet momentan ment actif groupes postes de travail ou requ tes dans un fichier de texte ou de le copier dans le Presse papiers Le fichier de texte et son contenu dans le Presse papiers peuvent tre par exemple import s et trait s dans n importe quel programme La fonctionnalit est active d s qu un groupe un poste de travail ou une requ te sont s lectionn s L enregistrement du contenu des fichiers est en particulier appropri des fins d archivage ou d valuation g Console d Administration de SafeGuard Easy Serveu Fichier
95. me L affectation des sauvegardes aux postes de travail est tr s simple Le nom du fichier se compose du nom du poste de travail enregistr et de l extension bak CEE IcIx Fichier Edition Affichage Favoris Outils lt aPr c dente gt Rechercher Dossiers EAHistorique RS E X A Ed Adresse C Backups z K Dossiers S Disque local C a a AST vM W2K ENG bak 101 Ko m BAK C2 4 00 0 111 Documents and Settings B Program Files 1 Accessoires E ComPlus Applications E E Fichiers communs 2 internet Explorer C microsoft frontpage 2 NetMeeting 2 outlook Express E Q Utimaco abm S SafeGuard Easy Backups 2 Windows Media Player E Windows NT C RECYCLER fe TNINT he 1 objet s Espace disque disponible 14 9 Go Poste de travail 520 31 10 92 Indication d un nouveau r pertoire Avec l entr e de registre BackupDirectory dans HKEY_LOCAL_ MACHINE SOFTWARE Utimaco SGEasy un autre r pertoire peut tre d fini Le param tre ne devient actif qu apr s un red marrage De mani re g n rale il est possible d entrer un chemin local ou UNC Si vous entrez un chemin UNC assurez vous que vous disposez de droits suffisants Modification L entr e de registre doit tre d finie dans l ordinateur contenant la base de donn es SGE 31 10 3 Exportation de sauvegarde du noyau syst me Les sauvegardes du noyau syst me de tous les c
96. minuscules 2 R sultat m AAaa12 peut tre utilis m aaAA123 peut tre utilis m 3456 est refus m AAB1 est refus Les mots de passe d j utilis s par des utilisateurs restent valables m me s ils ne correspondent pas aux sp cifications Les r gles n interviennent que lorsque l utilisateur modifie son mot de passe 184 13 5 Mots de passe ind sirables Les mots de passe ind sirables concernent certaines cha nes de caract res dont l emploi dans le mot de passe SGE est exclu Chaque nouveau mot de passe est compar une liste et n est accept que lorsqu il n y est pas contenu Vous pouvez importer une liste existante ou entrer vous m me des mots de passe interdits 13 5 1 D finition de mots de passe interdits Double cliquez sur Mots de passe entrez des combinaisons de chiffres ind sirables sous diter les mots de passe interdits et s parez les avec Ctrl Entr e Liste configurable des mots de passe interdits x Importer une liste de mots de passe interdits Veuillez choisir un fichier de texte qui contient une liste de mots de passe interdits Mots de passe Passwords tat Importer Editer les mots de Veuillez saisir dans chaque ligne un mot de passe qui ne doit pas tre utilis Cette liste de mots de passe sera v rifi e d s qu un utilisateur change son mot de passe ut ma o Espace disponible en octets 1006 vu 186 Dans la li
97. module d extension SafeGuard pour le TMS est une option commander s par ment Une licence de d monstration pour 10 utilisateurs est livr e avec SafeGuard Easy et est disponible pour le t l chargement Changement d utilisateur plus rapide avec jeton Les utilisateurs qui ont recours la connexion par jeton de SafeGuard disposent galement d une autre fonctionnalit s il est n cessaire de modifier le profil des droits de SafeGuard Easy sur un PC multi utilisateur par exemple pour annuler le droit de chiffrement des supports amovibles les utilisateurs de jetons doivent simplement se d connecter de Windows Il n est plus n cessaire de red marrer le PC ou se connecter au module PBA comme c tait le cas auparavant Remarque Le changement rapide d utilisateurs SafeGuard Easy ne doit pas tre confondu avec la fonctionnalit Microsoft de m me nom Compatibilit avec le service de copie d instantan de volume de Windows XP Le service de clich instantan des volumes de Windows XP effectue une sauvegarde imm diate des fichiers ou des bases de donn es ouverts Le personnel peut donc continuer son travail pendant que l administrateur sauvegarde ses donn es SafeGuard Easy prend maintenant compl tement en charge le service de copie d instantan de volume les configurations manuelles du syst me n tant plus n cessaires Remarque En remplacement de la fonction de copie de Windows XP les utilisat
98. mot de passe Windows ID d utilisateur WinSecurity 10 L ordinateur d marre une ouverture de session dans Windows n est plus n cessaire 11 Le Bureau de Windows appara t 286 17 2 5 Modification du mot de passe Windows quand la synchronisation de mot de passe est activ e IMPORTANT Les strat gies de mot de passe de Windows et non pas les r gles SafeGuard Easy sont appliqu es au nouveau mot de passe 1 L utilisateur modifie localement le mot de passe Windows via la bo te de dialogue S curit Windows Ctrl Alt Suppr Windows Security Logon Information You are logged on as SERYEROZ dministrator Logon Date 15 03 2005 15 36 05 Use the Task Manager to close an application that is not responding Pee a Change Password Task Manager R sultat Le nouveau mot de passe Windows est imm diatement valable pour Windows et pour SafeGuard Easy 288 2 L administrateur modifie centralement ou via t l assistance le mot de passe Windows R sultat le nouveau mot de passe n est valable que pour Windows et non pas pour SafeGuard Easy Le vieux mot de passe SafeGuard Easy et le nouveau mot de passe Windows sont ainsi nouveau synchronis s 1 Apr s un red marrage l utilisateur entre l ancien mot de passe dans la PBA 2 L ouverture de session automatique de Windows choue car le mot de passe SafeGuard Easy et le
99. mot de passe Windows ne sont pas encore synchronis s L utilisateur est pour cette raison invit sur l cran d ouverture de session de Windows saisir le nouveau mot de passe Windows 3 La bo te de dialogue SAL appara t et doit tre nouveau confirm e en cliquant sur Oui 4 La bo te de dialogue pour synchronisation de mot de passe appara t La synchronisation a lieu suite la saisie de l ancien mot de passe 5 Apr s red marrage de l ordinateur l utilisateur ouvre une session dans la PBA avec le nouveau mot de passe Windows 17 2 6 Modifier le mot de passe SafeGuard Easy Par la synchronisation du mot de passe le mot de passe Windows actuel devient chaque fois le mot de passe pour SafeGuard Easy Utimaco recommande par cons quent de ne pas modifier le mot de passe SafeGuard Easy Pour le changement de mot de passe nous recommandons l utilisation des m canismes Windows bien connus Si telle ou telle occasion il est cependant n cessaire de modifier le mot de passe SafeGuard Easy le nouveau mot de passe est assujetti aux r gles de mot de passe d finies dans l administration SafeGuard Easy 17 2 7 Annulation de la bo te de dialogue de synchronisation du mot de passe La permission de fermer la bo te de dialogue de synchronisation du mot de passe sans qu elle soit remplie peut tre r gl e par cl de registre Avec ce r glage des administrateurs peuvent par ex obliger des utilis
100. mot de passe apr s n jours Exemple Vous avez d fini 4 le nombre de g n rations de mot de passe pour l utilisateur Dupond et 30 celui des jours au bout desquels l utilisateur doit modifier son mot de passe Jusqu ici Monsieur Dupond ouvrait sa session avec le mot de passe SafeGuard Easy Informatique Ce d lai tant coul il est invit dans l cran d ouverture de session SafeGuard Easy PBA modifier son mot de passe Par exemple l utilisateur Miller tape Ordinateur une deuxi me fois et re oit un message d erreur indiquant que ce mot de passe a d j t utilis et qu il doit en choisir un autre L utilisateur Miller doit attendre la quatri me invite pour utiliser de nouveau Ordinateur dans la mesure o l option de g n ration de mots de passe est d finie sur 4 13 4 6 R gles de syntaxe caract res chiffres symboles inversion de casse Pour augmenter l efficacit des mots de passe vous pouvez faire appel un m lange de lettres et de chiffres et ou de symboles Le nombre indiqu d finit toujours une valeur minimum Les symboles sont des caract res sp ciaux comme par ex 8 etc Majuscules minuscules signifie qu un nombre gal de majuscules et de minuscules doit tre utilis Exemple L exemple suivant montre l utilisation correcte des r gles de syntaxe Sp cification lettres 1 chiffres 2 symboles 1 Majuscules
101. peut galement le lancer manuellement par exemple en configurant des param tres suppl mentaires dans le r pertoire d outils Tools du c d rom d installation Si le param tre R a t activ au d marrage SGElnteg r pare le syst me de fichiers SGElnteg indique les erreurs r parables et fatales A la suite de la r paration il est peut tre n cessaire de lancer ensuite le programme de v rification du disque dur chkdsk G n ralement l ordinateur red marre normalement 5 3 3 Param tres du programme de r paration Vous pouvez lancer SGElnteg avec les param tres suivants SGEINTEG c r1 p a1 len v y 1 Aide Affiche tous les param tres lc Lance l analyse du syst me de fichiers Ir Active le mode de r paration Le programme r parera les erreurs identifi es pour le syst me de fichiers L appel de SGElnteg R entra ne l activation du param tre P et le lancement de l analyse du syst me de fichiers Cela se traduit par un red marrage lp Corrige le nom de chemin de SafeGuard Easy accessible par HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run Pour les versions ant rieures de SafeGuard Easy les donn es de chemin sont introduites dans la cl de registre sans guillemets Avec les versions plus r centes du syst me Windows cela emp che l ex cution de ces programmes dans certaines circonstances Avec ce para
102. professionnelle Proc dez l installation locale de SafeGuard Easy Confirmez toutes les entr es qui s affichent en cliquant sur Suivant Dans la bo te de dialogue Mode de chiffrement marquez Double amor age Assistant de configuration pour le d ploiement SafeGuard Easy 21xl Choisissez le mode de chiffrement Veuillez sp cifier un mode de chiffrement Le mode chiffre des disques durs complets Le mode Par paitition chiffre des partitions de disque dur et le mode Protection des zones d amor age chiffre des zones sp ciales des partitions de disque dur C Disques complets C Par partition Protection des zones d amor age lt Pr c dent Annuler hide 5 Dans les outils d administration de SafeGuard Easy s lectionnez le dossier Chiffrement Outre la partition d amor age Windows d j marqu e comme chiffr e dans la configuration de base partition primaire contenant les fichiers requis pour l amor age tels que Ntlar Boot ini Ntdetect com les disques suivants doivent tre chiffr s m le disque syst me Windows contenant les fichiers syst me de Windows peut tre identique avec la partition d amor age m le lecteur contenant le dossier d installation de SafeGuard Easy Ceci assure l acc s aux fichiers SafeGuard Easy m Une installation Double amor age requiert galement le chiffrement de disquettes et de p riph riques amovibles 6 Le mode Dou
103. s pour l ouvrir Vous pouvez ensuite proc der la configuration Un clic sur OK applique les param tres d finis tous les v nements s lectionn s 498 29 5 1 Configuration de tous les v nements La commande Configurer tous les v nements permet de configurer en une tape les v nements poss dant des param tres identiques Cliquez sur le r pertoire Auditing ou sur un sous r pertoire Dans le menu contextuel s lectionnez la commande Configurer tous les v nements Action afihag amp m B R E 2 rbre Ev nements t Ev nements t Ev nements t Strat gie Ordinateur local Configuration ordinateur E Param tres logiciel Param tres Windows Ev nements t 5 KO SafeGuard Authentification Audit Authentification Destinations Authentification Password Re pe Dans la bo te de dialogue d terminez le statut et les destinations actives Cliquez sur Appliquer 29 5 2 Changement d affichage Dans la configuration de base les v nements sont affich s et class s par applications SafeGuard v nement 2008 Propri t s 21x G n ral 7 Code PIN chang Activer les destinations pour cet Ajouter destination Effacer destination pre ane Via le m canisme de filtrage il est possible d afficher tous les v nem
104. service Utimaco recommande de toujours autoriser un red marrage de plus que n cessaire pour contourner les probl mes inattendus D s que le fichier de configuration a t distribu aux ordinateurs des utilisateurs le PC red marre n fois sans PBA Une fois que le nombre de red marrages sans PBA d fini est atteint l authentification avant l amor age est r activ e et demande les donn es d utilisateur SafeGuard Easy correctes 20 Mise en veille prolong e La fonctionnalit de Windows Mise en veille prolong e est tr s appr ci e des utilisateurs d appareils mobiles pour interrompre provisoirement leur travail Lorsqu un ordinateur portable disposant d une fonction de mise en veille prolong e active est arr t pendant une op ration il s arr te automatiquement Lors du red marrage suivant il r tablit l cran tel qu il tait lors de la demande d arr t Pour la sauvegarde des donn es en veille prolong e SafeGuard Easy propose ici une solution particuli re qui n est pas propre tout produit de chiffrement 20 1 Aper u En mode Veille prolong e le contenu de la m moire vive est crit dans un fichier syst me Hiberfile sys situ dans le r pertoire racine de la partition du syst me d exploitation g n ralement C et est stock sur le disque dur La taille du fichier Hiberfile sys correspond peu pr s la taille de la m moire de travail disponible L ordinateur est ensuite te
105. session automatique s curis e avec carte puce Smartcard SAL m Enregistrement central pour clients Remarque relative Windows Server SafeGuard Easy ne prend pas en charge m SMP m Serveur 64 bits Syst mes de fichiers pris en charge m FAT 12 m FAT 16 m FAT 32 m HPFS m NTFS m NTFS5 Supports m moire pris en charge Disques durs IDE SCSI ATA s rie Firewire USB Disquettes P riph riques amovibles comme ZIP JAZ Supports m moire USB RAID 0 RAID 0 mat riel SafeGuard Easy ne prend pas en charge d autres classes RAID RAID 0 logiciel Supports processeurs AMD Intel Multiprocesseurs Hyperthreading SafeGuard Easy 4 x a t test et install avec succ s la fois sur les ordinateurs multiprocesseurs et sur des ordinateurs hyperthreading par exemple Pentium IV Sp cifications mat rielles Emplacement m moire sur le disque dur Selon la m thode d installation choisie SafeGuard Easy requiert entre 5 et 15 Mo d espace disque SafeGuard Easy requiert les m mes sp cifications que le syst me d exploitation Bien que SafeGuard Easy fonctionne sans probl me sur le syst me d crit le chiffrement a son prix Il est donc recommand d utiliser un mat riel poss dant une configuration sup rieure au minimum requis m Nombre de disques durs SafeGuard Easy prend en charge au maximum 4 disques durs avec au plus 8 partitions par disque dur Un averti
106. sinstallation de SafeGuard Easy ne doit pas s effectuer aussit t apr s une restauration du syst me Red marrez l ordinateur et d sinstallez ensuite SafeGuard Easy 24 6 Cr ation d une copie de sauvegarde Remarque g n rale Les captures d cran des chapitres suivants pr sentent des extraits de la version Rescue and Recovery avec Rapid Restore 4 0 version 033 L interface utilisateur des versions suivantes pourra partiellement diff rer les fonctionnalit s restant toutefois identiques Les copies de sauvegarde sont cr es via le logiciel Rescue and Recovery dans l environnement Windows actif Sur les ordinateurs avec Rescue and Recovery SafeGuard Easy conseille l utilisateur de cr er imp rativement une nouvelle copie de sauvegarde du syst me une fois l installation effectu e avec succ s La mani re de cr er une sauvegarde du syst me partir de l environnement Windows est d crite dans les documents Lenovo correspondants Pour les sauvegardes SGE SafeGuard Easy prend en charge les supports suivants m disque dur local m 2 me disque dur m disque dur USB m r seau m Support m moire USB m CD DVD amp Rescue and Recovery edule and preferen Set backup preferences and schedule backups to occur automatically Backup locations Primary Local hard drive Second Local hard drive econdary 2nd hard drive USB hard drive Schedule your backups Frequency when
107. sur un support externe m Les v nements ne pouvant pas tre crits dans un fichier journal sont entr s comme erreurs dans l observateur d v nements m Si plusieurs stations de travail crivent dans un fichier journal d fini par ex un fichier sur lecteur r seau partag des recoupements peuvent se produire le cas ch ant en cas d acc s simultan des diff rents ordinateurs Pour viter dans ce cas la perte de donn es SafeGuard Auditing offre la solution suivante d s que le fichier journal d fini est inaccessible parce qu utilis momentan ment par une autre station de travail SafeGuard Auditing cr e de nouveaux fichiers Les nouveaux fichiers journaux sont cr s comme suit L acc s est refus au fichier journal Sglog txt d fini par d faut SafeGuard Auditing cr e le fichier de remplacement Sglog txt L acc s est refus aux fichiers journaux Sglog txt et Sglog txt 1 SafeGuard Auditing cr e le fichier de remplacement Sglog txt etc 999 fichiers au maximum peuvent tre cr s Quand ce nombre est d pass les v nements sont automatiquement crits dans l observateur d v nements Cette m thode est galement utilis e quand le fichier journal est en lecture seule ou si sa taille exc de 2 Go Nous recommandons de proc der la consignation distance lorsque cette derni re porte sur plusieurs stations de travail 434 m SNMP Traps Au cas o sur une machine client un v nement
108. sur une disquette de fa on manuelle Copiez les fichiers suivants du r pertoire d installation de SafeGuard Easy SGEASY exe Sgeasy hmf Sgecrypt mod Sgenls mod Sgekrnl mod 400 27 2 Cr ation d une disquette de d marrage L Assistant propose en outre l option de cr ation d une disquette de d marrage avec noyau syst me outils de secours et fichiers de pilotes pour la configuration du clavier Cette option simple permet de combiner disquette de d marrage et disquette de secours SafeGuard Easy SafeGuard Easy Cr ation d une disquette de secours x m Choix Que souhaitez vous faire joutils de secours de SafeGuard Easy et la sauvegarde d MOLAM C Cr er une sauvegarde du noyau et copier les outils de secours de SafeGuard Easy C Cr er seulement une sauvegarde du noyau D marrez l assistant de cr ation d une disquette de d marrage 1 Ins rez une disquette et lancez l Assistant de cr ation de disquette de d marrage 2 S lectionnez l option Cr er une disquette de d marrage incluant les outils de secours de SafeGuard Easy et la sauvegarde du noyau Lors de la premi re sauvegarde du noyau syst me Utimaco recommande de cr er une disquette de d marrage et de mettre jour celle ci d s que le noyau syst me est modifi 409 27 3 Cr ation d un CD de d marrage Les appareils mobiles ne poss dent normalement plus aujourd hui de le
109. surveillance L observateur d v nements peut afficher et administrer des journaux pour les v nements int ressant le syst me la s curit ou l application et galement sauvegarder ces journaux d v nements Il permet galement d enregistrer ces journaux d v nements Fichier journal Pour l archivage les v nements SafeGuard peuvent galement tre sauvegard s dans des fichiers Ces derniers peuvent tre analys s et trait s avec les outils les plus divers par ex MS Excel 499 Journal distant La t che du journal distant est d changer des donn es entre une station de travail de destination et une station de travail distante dans un r seau Pour ce faire l ordinateur de destination rassemble des informations v nements dans son observateur d v nements ou dans un fichier journal Ces informations sont ensuite transf r es partir de la station de travail distante suite une connexion distante Le journal distant ne fonctionne qu en liaison avec le module de base de SafeGuard Advanced Security REMARQUE Pour l change de donn es d audit entre plusieurs stations de travail il est recommand d employer le m canisme de journal distant et d viter l criture dans un fichier journal sur un lecteur r seau partag Lors de l audit sur un serveur l enregistrement distance doit tre utilis tant donn que le compte syst me travaille avec SafeGuard Auditing qu il n a pas
110. syst me Utimaco GINA est un composant fonctionnel important de SafeGuard Easy A l avenir le syst me GINA prendra de plus en plus d importance pour impl menter de nouvelles fonctionnalit s Quand GINA n est pas install certaines fonctionnalit s ne sont pas disponibles apr s migration vers une nouvelle version L absence du composant GINA peut avoir une incidence sur les migrations ult rieures Si vous n installez pas Utimaco GINA certaines fonctions de Safe Guard Easy ne seront pas disponibles apr s l installation m la bo te de dialogue de chiffrement d chiffrement ECVIEW n est pas affich e quand l utilisateur n est pas connect m l ouverture de session automatique s curis e et la connexion automatique avec carte puce ne fonctionnent pas m L ouverture de session Windows n est pas bloqu e quand l activation distance s curis e est active m La synchronisation de mot de passe entre Windows et SafeGuard Easy ne fonctionne pas 62 5 Mise jour Si vous avez d j install une version ant rieure de SafeGuard Easy sur votre poste de travail il vous est facile de proc der un changement de version du syst me Les param tres d j d finis nom d utilisateur mot de passe etc sont conserv s La migration est possible pour toutes les versions SafeGuard Easy 4 11 0 138 Une migration est soit d marr e pendant l installation de la nouvelle version soit ex cut e automatiquem
111. syst mes d exploitation Contrairement la plupart des autres logiciels de chiffrement de disques durs SafeGuard Easy permet d utiliser le mode Veille prolong e et m me de chiffrer les donn es d image g n r es afin de les sauvegarder de fa on s curis e sur le disque dur La s curit reste ainsi garantie tout moment la consommation est r duite et les utilisateurs gagnent du temps par rapport la proc dure d amor age usuelle Compatibilit avec le logiciel Absolute Computrace Computrace permet de rouvrir une session sur un ordinateur vol sur le r seau et de d voiler son emplacement SafeGuard Easy est compatible avec Computrace Gr ce la compatibilit ceci fonctionne pr sent aussi avec les disques durs chiffr s Une compatibilit int grale n cessite une version du logiciel Computrace qui actuellement 12 2008 n a pas encore t mise sur le march par Absolute Software Auto assistance Web La fonctionnalit d auto assistance Web de SafeGuard Easy permet l utilisateur de se d panner en cas d oubli du mot de passe SafeGuard Easy Ceci entra ne une r duction du nombre d appels au service d assistance concernant l oubli du mot de passe Le personnel du service d assistance dispose ainsi de plus de temps pour se concentrer sur des cas plus critiques Il existe diverses solutions pour la proc dure Requ te R ponse dans une variante logicielle normale ou chiffr e L auto assistanc
112. verrouill L acc s au poste de travail n est plus possible qu apr s saisie des donn es d acc s correctes Exemple Sur les postes de travail on a sp cifi que l conomiseur d cran devait d marrer dix minutes apr s la derni re action de l utilisateur Si vous avez choisi l action Arr t du syst me et entr un d lai de 13 le PC sera automatiquement arr t 23 minutes apr s la derni re action effectu e sur le poste de travail 17 3 4 R paration de la GINA Utimaco utilise son propre composant de connexion SafeGuard GINA SGGINA d11 Suite l installation il s agit toujours du premier composant de connexion Windows appel par le syst me d exploitation L installation d autres produits peut modifier l ordre des composants d ouverture de session appel s Cette strat gie se trouve dans le mod le d administration de SafeGuard Easy sous Configuration ordinateur Mod les d administration SafeGuard Authentification Options d ouverture de session R paration de la Gina m R parer le registre GINADLL si modifi Assure le que le composant SafeGuard GINA appara t en premi re position lors du d marrage du syst me d exploitation m En cas de GINA inconnue Demander l utilisateur A la premi re initialisation le syst me demande dans une bo te de dialogue si la GINA inconnue ou la GINA Microsoft d origine doit tre utilis e Si dans cette bo te de dialogue
113. z pN g 3 a amp 5 A E Gestion Services support Ca Meta Data Services 469 7 Si cela n a pas t fait pendant l installation du serveur SQL dans la structure arborescente s lectionnez le propre serveur SQL dans notre exemple Server03 Windows NT et affichez la page des propri t s via le menu contextuel Th SQL Server Enterprise Manager Console Fen tre 2 Tm Racine de la console Serveurs Microsoft SQL Groupe SQL Server SERYERO3 Windows NT Action affichage o e Em l AB8B 2l INIG0oeG Arbre SERVEROS Windows NT 6 l ments nemm o ne gt Serveurs Microsoft SQL Ej g Groupe SQL Server Bases de Data Gestion R plication S curit Services support Meta Dat Er SERVEROS Windows NT donn es Transformati Services En Bases de donn es Propri t s de SQL Server configurer SERYER03 x 3 master model Connexions Param tres du serveur 4 msdb Param tres des bases de donn es R plication Active Directory Northwind G n ral M moire Processeur S curit pubs SAS r S curit tempdb SQL Server fournit une authentification bas e sur les comptes Data Transformation Ser rion sa lID de connexion et le mot de passe d un E Gestion es 5 R plication s S curit SQL Server et Windows 3 Services support f H E Meta Data Services C Uniquement Windows Niveau d audit amp Aucu
114. 106 Avec fichier de configuration de base option Les param tres d un fichier de configuration de base s lectionn ne deviennent pas visibles tant que l utilisateur SafeGuard Easy SYSTEM ne s est pas connect lt Assistant de configuration pour le d ploiement SafeGuard Easy 1 21x Authentification du fichier de configuration Veuillez taper le mot de passe de l utilisateur Vous avez choisi d utiliser un fichier de configuration de base Les fichiers de configuration de base ne peuvent tre utilis s que si vous connaissez le mot de passe SYSTEM sp cifi par le cr ateur de ce fichier Veuillez taper le mot de passe et cliquer sur le bouton Suivant pour utiliser les donn es de configuration Utilisateur ses Mot de passe pes lt Pr c dent Annuler side Mode de chiffrement Sans configuration de base le nouveau fichier de configuration doit tre inform du mode de chiffrement pour que SafeGuard Easy sache quelles zones de disque dur doivent tre chiffr es voir Mode chiffrement Configuration La fen tre avec les diff rentes pages de configuration appara t ensuite Lorsque vous utilisez un fichier de configuration de base ses param tres sont charg s Sinon les param tres par d faut s affichent Assistant de configuration SafeGuard Easy 1x Configuration de poste de travail Veuillez changer la configuration affich e ci dessous E Tokens Gestionn
115. 194 14 3 Exemple Configuration de d part ox partition primaire chiffr disque d amor age 1 D partition primaire non chiffr e Disque d amor age 2 E disque logique dans partition tendue chiffr D marrage du disque d amor age chiffr 1 ox partition primaire chiffr disque d amor age 1 lisible D disque logique dans partition tendue chiffr lisible E disque logique dans partition tendue non chiffr e non lisible FA disque logique dans partition tendue non chiffr e FA disque logique dans partition tendue non chiffr e non lisible G disque logique dans partition tendue non chiffr e non chiffr e Disque d amor age 2 invisible D marrage du disque d amor age non chiffr 2 C partition primaire non chiffr e Disque d amor age 2 lisible D disque logique dans partition tendue chiffr non lisible E disque logique dans partition tendue non chiffr e lisible FA disque logique dans partition tendue non chiffr e lisible chiffr disque d amor age 1 invisible 196 14 4 Configuration Double amor age 1 Cr ez deux partitions primaires sur le disque dur de l ordinateur et installez un syst me d amor age permettant l amor age sur chaque partition Amorcez ensuite la partition
116. 2 Installation de la console d administration SafeGuard Easy De mani re g n rale il est d conseill de proc der l installation et la configuration directement sur le serveur Par cons quent la base de donn es doit tre administr e partir d une station de travail d administration Vous pouvez faire de n importe quel poste de travail un poste de travail d administration Installez la console d administration en appelant Server msi du r pertoire du CD Server Dans le cadre d une installation personnalis e s lectionnez l option Console d administration et poursuivez l installation 1 SafeGuard Easy Server Installation E 1I0 xi Fonctionnalit s s lectio Veuillez s lectionner les fonctionnalit s que vous souhaitez installer Sr SafeGuard Description de la fonction SM l installe la console d administration pour le X Support pour Administratia serveur SafeGuard Easy Console d administration Cette fonctionnalit ne sera pas install e Ce composant requiert 675Ko sur votre disque dur Utimaco Safeware AG Besoin en disque R initialiser lt Pr c dent Annuler D s que vous en avez termin le syst me doit tre red marr Apr s un red marrage vous trouvez les entr es Console d administration et Assistant de configuration pour le d ploiement sous Programmes Utimaco SafeGuard Easy 30 3 3
117. 3 dans la bo te de dialogue Serveur Pour l administration des clients hors ligne ces clients re oivent un nom de serveur sp cial OFFLINE qui active un autre m canisme de communication Pour plus de d tails concernant les clients hors connexion voir tat Hors connexion 1 SafeGuard Easy Installation lol xl Server Hame Define a server name Editer le nom de SafeGuard Easy serveur pour une administration centralis e Nom de serveur server04 Utimaco Safeware AG lt Back Next gt Cancel Poursuivez l installation comme d crit au point Installation locale D s que vous en avez termin le syst me doit tre red marr AVERTISSEMENT Si le nom du client SGE est modifi apr s l installation SGE le serveur ne reconna t plus le client L entr e du client SGE doit dans ce cas tre supprim e de la base de donn es et SGE doit tre r install sur le client Apr s la nouvelle installation le client s enregistre avec un nouveau nom 454 Mise en place d un client SafeGuard Easy avec le nom de serveur SafeGuard Easy apr s l installation Si vous ne connaissez pas le nom de serveur vous ne pouvez laisser le champ Server Name Nom serveur vide pour l instant Le nom de serveur peut tre ajout de fa on centrale sur le client l aide des m canismes Windows standard dans la mesure o il s agit simplement d une entr e n
118. 30 04 2004 15 46 40 SGLogPlayer Aucun 0 S Application informations 30 04 2004 15 44 55 SGLogPlayer Aucun 0 z S curit informations 30 04 2004 15 44 55 SGLogPlayer Aucun 0 5 Syst me informations 30 04 2004 15 44 46 Msilnstaller Aucun 1005 NJA Double cliquez sur un v nement de la liste pour en afficher le d tail Propri t s de v nement p 2i xi v nement Date 30 04 2004 Source SG uthentication 4 Heure 16 04 Cat gorie Authentification Type Informations ID v nement 1501 Utilisateur SEE Ordinateur LAB1 Description L utilisateur Administrateur s est authentifi Donn es Octets C piot Annuler ppliquer REMARQUE Avec le journal distant les donn es de la station de travail auditant les v nements sont toujours entr es dans l observateur d v nements dans les champs Nom d ordinateur Heure et Date Les donn es de l ordinateur qui active un v nement apparaissent dans le champ Description L observateur d v nements de Windows n affiche pas tous les niveaux d avertissement de SafeGuard Auditing Pour cette raison les diff rents niveaux d avertissements sont affich s comme suit dans l observateur d v nements SafeGuard Auditing Observateur d v nements Urgence Alarme Erreur Erreur Critique Avertissement Avertissement Notification Notification Information Information 439 29 6 2 Fichier
119. 4 2 1 4 2 2 4 3 4 3 1 4 3 2 Cr ation d un fichier de configuration 46 Installation avec Active Directory 47 CONdiItiONS sssssssssessssesssessscsssssessseensescessesesese AT Personnalisation des packages MSI avec un Ao iA I EE EE Installation sans Active Directory 59 Syntaxe de ligne de commande pour Installation pr configur e D2 Options s lectionn es utilis es par Windows Installer 54 4 4 Composants et param tres de SafeGuard Easy 55 4 4 1 Composants de SafeGuard Easy 55 4 4 2 Param tres SafeGuard Easy 59 Mise JOUF sssnsmammnmmmntduosmmmss 09 5 1 Mise jourlocale 4 64 5 2 Mise jour pr configur e avec fichier de migration ssssssioisdintnihnistsssinntsest OI 5 3 V rification du noyau syst me la mise jour 71 5 3 1 Que se passe t il lorsque le noyau syst me n est pas intact sise 71 5 3 2 A propos du programme de r paration 72 5 3 3 Param tres du programme de r paration 73 D sinstallation 77 6 1 D sinstallation locale 78 6 2 D sinstallation avec Requ te R ponse 79 6 3 D sinstallation automatique avec fichier de configuration 81 D marrage du syst me et ouverture de Sessio ne ha mommuuaroutoun DJ 7 1 7 2 7 2 1 7 3 7 4 7 5 7 6 7 7 7 8 Ouverture de session comme utilisateur r gUliehecsnnnon
120. 56 m 3DES Quand SafeGuard Easy est install en mode FIPS une ic ne appara t dans la barre des t ches 330 22 1 Nouvelles fonctions Pour satisfaire aux exigences de la certification FIPS 140 2 SafeGuard Easy prend en charge ces deux nouvelles fonctionnalit s Test r ponse connue Known Answer Test KAT Le test KAT est ex cut pour v rifier si les algorithmes de chiffrement utilis s fonctionnent correctement et s ils fournissent des r sultats appropri s Le KAT est ex cut pour tous les algorithmes de chiffrement autoris s par le FIPS et galement pour la fonctionnalit hash HMAC 256 utilis e pour le contr le d int grit Pour le test KAT un module de chiffrement chiffre un bloc de donn es d fini et v rifie au vu du r sultat si les donn es g n r es chiffr es sont celles que l on attend Si le r sultat est erron le module de chiffrement doit verrouiller tout autre processus de chiffrement Les pilotes de chiffrement de SafeGuard Easy ex cutent automatiquement le test KAT apr s initialisation du pilote Le texte KAT est ex cut pour le chiffrement et le d chiffrement Les modules de chiffrement install s dans le noyau syst me SafeGuard Easy ex cutent les m mes tests Contr le d int grit Un contr le d int grit est ex cut pour les modules de chiffrement afin de s assurer qu ils n ont pas t modifi s En cas d chec d un contr le d int grit le sys
121. 7 R ussi CI Changer l tat 1110452279 tat 10 03 2005 11 57 59 R ussi 31 9 7 Chargement de mise jour de configuration sur client Hors connexion avec SGETRANS Le programme sert d interface pour l change de requ tes et de fichiers de rapport pour le travail avec clients hors connexion SGETrans n est pr sent dans le r pertoire SGE que si l option Liaison serveur a t s lectionn e l installation du client s a SafeGuard Easy SgeTrans x Nom de fichier de requ te ou du rapport CwKs03REQ nporter une requ Fichier de rapport Aide Quitter m Fichier requ te Importe le fichier de requ te que l utilisateur re oit par ex par email de l administrateur m Importer une requ te Enregistre les param tres du fichier de requ te sur l ordinateur de l utilisateur m Fichier de rapport D finit un nom de fichier pour le fichier de rapport m Exporter un rapport Enregistre le fichier de rapport que l utilisateur envoie l administrateur 518 31 10 Sauvegarde automatique du noyau syst me Le noyau syst me contient les fonctions n cessaires l authentification sur l ordinateur les pilotes requis pour le d marrage du syst me d exploitation ainsi que tous les param tres syst me d un client SGE Une sauvegarde actuelle est n cessaire surtout dans les situations d urgence quand le noyau syst me d un client SGE est endommag et quand les utilisat
122. 8 178 179 181 182 182 182 182 183 184 185 185 187 14 13 6 R gles de mot de passe sp cifiques Putilisat eur sssssssssssssssssrsssissssssssssosse 188 13 6 1 Autorisation de la modification de mot de passe siennes TOD 13 6 2 Changement du mot de passe apr s W JOUS ssh sir aaa 189 13 6 3 Changement du mot de passe la prochaine ouverture de session 4 189 13 7 D finition de mot de passe 190 Double amor age Gestionnaire d amor age 193 14 1 Mode de fonctionnement 193 14 2 Conditions 194 14 3 EXeMDl sessirnir sapenne rias LOD 14 4 Configuration Double amor age 196 14 5 Configuration de Boot Manager 198 14 5 1 Param tres g n raux 198 14 5 2 Lecteurs d amor age 199 14 6 change de donn es entre partitions d amor age 4 209 10 15 Support Token seessesseseseessesssessesssessseosees 203 15 1 15 2 15 3 15 4 15 5 15 6 15 7 15 8 15 8 1 15 8 2 15 9 15 9 1 15 9 2 15 9 3 15 10 15 10 1 Avantages d une ouverture de session avec Jetons 205 Jetons pris en charge 207 Fonctions du jeton 208 Installation de la prise en charge des jetons 209 Connexion initiale avec un jeton dans le module d authentification avant le d marrage 212 Modification du mot de passe du jeton 214 Modification suppression des donn es d acc s SafeGuard Easy 214 D f
123. 9 tat 10 03 2005 11 57 59 R ussi 0 4 L administrateur envoie le fichier de requ te par ex par courrier lectronique l utilisateur du client Hors connexion 5 L utilisateur du client Hors connexion importe le fichier de requ te avec SGETrans voir galement Charger mise jour de configuration sur client Hors connexion avec SGETRANS voir Chargement de mise jour de configuration sur client Hors connexion avec SGETRANS s a SafeGuard Easy SgeTrans x Nom de fichier de requ te ou du rapport CWKS 03 REQ nporter une requ Fichier de rapport zrporter un erea Aide Quitter 6 Indique l utilisateur du client Hors connexion si le fichier de modifications a t ex cut avec succ s En m me temps un fichier de rapport extension REP est cr sur le client Hors connexion envoy par l utilisateur l administrateur SafeGuard Easy 516 DESIREN 7 L administrateur SGE importe le fichier de rapport dans la console d administration via le menu Fichier Importer fichier de rapport Console d Administration de SafeGuard Easy Serveur SERYERO3 Importer Fichier de Rapport 8 Via la file d attente ou la page de propri t s du poste de travail l administrateur SGE voit si les modifications ont t ex cut es avec SUCC S D tails de la Queue Poste de Travail WK503 mot de passe 10 03 2005 13 06 3
124. ABASE SGEASY GO CREATE DATABASE SGEASY ON NAME N SGEASY dat FILENAME N C Program File COLLATE SOL_Latinl_General_CP1_CI_AS GO exec sp_dboption N SGEASY N autoclose N false GO 4 Ex cutez le script SGE_SQLSRV sql CA Analyseur de requ tes SQL Requ te SERYERO3 master sa C DOCU_SQLSRY SGE_SQLSRY sql lecture seule i Fichier Edition Requ te Outils Fen tre e suabea o m Ure ll Sale tttttt Object Database SGEASY Script Date 11 25 2004 10 37 49 AM t IF EXISTS SELECT name FROM master dbo sysdatabases WHERE name N SGEASY DROP DATABASE SGEASY GO CREATE DATABASE SGEASY ON NAME N SGEASY dat FILENAME N C Program File COLLATE SOL Latini General CP1 CT S 5 Apr s ex cution du script appelez SQL Enterprise Manager via Programmes Microsoft SQL Server Enterprise Manager 6 Une base de donn es SafeGuard Easy vide appel e SGEASY a t cr e sur votre serveur SQL an SQL Server Enterprise Manager Console Fen tre fi Racine de la console Serveurs Microsoft SQL Groupe SQL Server SERYER03 Windows NT Action Affichage o e gt Alm X e nB A geo Arbre SERVEROS Windows NT 6 l ments E E F Bases de Data Gestion R plication S curit Services support Mel donn es Transformati Se CA Racine de la console E Serveurs Microsoft SQL EL tempdb Be O g Li
125. Aladdin voir Aladdin RSA SecurlD Token le plus r cent pkes11 dil SCardSvr RSA Authenticator Client Protection renforc e de la cl priv e Si elle est activ e on demandera l utilisateur de s authentifier chaque fois que la cl priv e est utilis e par une application CSP par d faut Tous les CSP disponibles sur votre syst me s affichent ici Vous pouvez choisir celui qui est utilis pour les op rations qui utilisent la cl publique Il est recommand d utiliser le Enhanced Cryptographic Service Provider de Microsoft CSP pour le Token Sp cifie le CSP pour le jeton que vous utilisez Si vous utilisez les cartes puce Utimaco vous devez s lectionner le CSP Universal Smartcard d Utimaco M canisme Crypto RSA Pour les CSP qui n offre pas un chiffrement direct par le m canisme RSA l option enveloppe asym trique est fournie Dans ce cas les donn es en masse sont chiffr es en utilisant un algorithme sym trique qui peut tre s lectionn Le chiffrement RSA s applique sur la cl utilis e Algorithme Sym trique par d faut Choisir l algorithme pour le chiffrement sym trique des donn es en masse si vous avez s lectionn l enveloppe asym trique comme m canisme crypto Algorithme Hash S lectionnez l algorithme pour le hash qui va tre utilis 15 10 Ouverture de session avec jeton sur le syst me d exploitation Lorsque l authentification SafeGuard Easy a t accep
126. Connexion automatique avec carte puce Transmet automatiquement les donn es d acc s Windows une carte puce de telle mani re que seules les donn es d utilisateur SGE sont n cessaires pour l ouverture de session l authentification avant amor age Connexion SAL avec une carte puce Mode FIPS Il garantit que SafeGuard Easy est install conform ment aux directives par FIPS 140 2 niveau 1 Certification FIPS 140 2 Level 1 Utilitaires d administration Il n est pas n cessaire que tous les composants des modules soient install s sur le poste de travail d administrateur qui sert uniquement administrer les clients prot g s par SafeGuard Easy En r gle g n rale les outils d administration suffisent attention SafeGuard Easy Administration n est pas install avec les utilitaires d administration Font partie des utilitaires d administration m SafeGuard Easy Logging l audit de SafeGaurd Easy Permet d auditer les v nements du journal li s la s curit et g n r s par des produits SafeGuard install s Outre la fonction de consignation classique cette fonctionnalit int gre un m canisme de filtrage visant aider l administrateur s lectionner les v nements pertinents voir Audit m Assistant de configuration pour le d ploiement Cr e des fichiers dont l ex cution modifie la configuration actuelle d un client par ex ajout d un nouvel utilisateur
127. EE Connexions Nom helpdesk 94 Serveurs li s Authentification 2 Serveurs distants az Services support C Authentification Windows Ca Meta Data Services Domaine I z Acc s s curis Autoriser l acc s Refuser l acc s amp Authentification SQL Server Mot de passe Par d faut Sp cification des bases de donn es et de la langue par d faut pour cette connexion Base de donn es Langue lt par d faut gt Re 464 Dans la section Acc s la base de donn es s lectionnez public et propri taire comme r les autoris s LA Racine de la console Sgi Serveurs Microsoft SQL BUILTIN Administrateurs E g Groupe SQL Server helpdesk fy SERVERO3 Windows NT f3sa m Bases de donn es SERVEROS Administrateur H Q Data Transformation Ser Gestion Ca R plication a S curit ia Connexions R les du serveur Serveurs li s g Serveurs distants Services support 6 Meta Data Services Groupe Win Autoriser Standard Autoriser Standard Autoriser Utilisateur Autoriser Propri t s de la connexion SQL Server helpdesk x G n ral R les du serveur Acc s aux bases de donn es Sp cifiez les bases de donn es auxquelles cette connexion peut acc der Autoriser Base de donn es _ Utiisateu T2 Northwind pubs R les base de donn es pour SGEASY dans le r le de base de don
128. Easy m contient certains caract res sp ciaux Sont autoris s tous les caract res pouvant tre g n r s par appui sur une touche ou en combinaison avec la touche MAJ par ex amp 7 Ne sont pas autoris s tous les caract res g n r s via la touche ALT Gr par ex 2 u et toutes les autres lettres avec accent 290 REMARQUE Certains claviers permettent de cr er un caract re sp cial en appuyant sur une touche ou avec une combinaison incluant la touche de majuscules notamment pour certains caract res accentu s sur le clavier fran ais Dans ce cas le caract re sp cial est pris en charge par la synchronisation de mots de passe de SafeGuard Easy Autres restrictions quand la synchronisation du mot de passe est activ e m Pas plus de 16 utilisateurs Windows autoris s par machine 16 nombre maximum d utilisateurs SafeGuard Easy m La synchronisation du mot de passe avec le jeton n est possible que si le jeton reste ins r pendant l change du mot de passe 17 2 9 Que faire si la synchronisation de mot de passe choue et un message d erreur est affich Les raisons suivantes sont possibles m le mot de passe synchronis n ob it pas aux r gles de mots de passe de SafeGuard Easy mot par ex trop court etc m le mot de passe synchronis contient des caract res sp ciaux invalides ou non pris en charge par SafeGuard Easy
129. Free Space we 94 48 Include partitions Warn when the backup storage space exceeds GB Protect your backups with a password The maximum number of incremental backups allowed is ca backups x Used Space aa Les sauvegardes sont enregistr es par d faut dans le r pertoire C RRUbackups Quand il se trouve sur la partition locale du disque dur primaire ce r pertoire est prot g par Rescue and Recovery pour qu il ne soit ni effac ni d plac Dans ce cas la suppression est impossible 24 7 Restauration de fichiers Rescue and Recovery restaure sans probl me des fichiers individuels ou des r pertoires d une sauvegarde SGE en un environnement Windows fonctionnel Il suffit aux utilisateurs de d marrer Windows puis le logiciel Rapid Restore et de restaurer les fichiers recherch s Un red marrage n est pas n cessaire c est dire que les donn es restaur es sont imm diatement disponibles pour la poursuite du traitement par l utilisateur a z a amp Rescue and Recovery EJ Backup Restore Advanced Help Rescue and recovery is a simple managed recoyery solution that enables you to back up and restore your system and data Back up your system Manage settings Back up your hard drive Set schedule and preferences View all backups Optimize backup storage space jig Qu Restore your system Restore your system from a backup Re
130. Guard Easy Not required Non requis 210 6 S lectionnez G n ral Authentification mode d mission pour d finir les personnes autoris es crire des donn e SafeGuard Easy sur un jeton SafeGuard Easy offre plusieurs possibilit s Utilisateur L utilisateur peut initialiser un jeton vide dans la PBA Vide signifie que le jeton ne comporte aucune donn e SafeGuard Easy Engagement L utilisateur doit appeler le service d assistance externe et re oit via la fonctionnalit Requ te R ponse la permission d initialiser un jeton dans la PBA Centralis e L utilisateur re oit un jeton initialis et ne peut jamais initialiser un jeton dans la PBA 7 Premi re ouverture de session avec le jeton dans la PBA Vous ouvrez une session avec un jeton vide format en proc dant de la mani re suivante 8 Red marrer l ordinateur 15 5 Connexion initiale avec un jeton dans le module d authentification avant le d marrage Pour se connecter avec un jeton vide 1 Ins rez le jeton dans le port USB 2 Allumez l ordinateur et patientez jusqu ce que l ordinateur s arr te l authentification avant amor age 3 Entrez le mot de passe du jeton Mot de passe par d faut pour Aladdin eToken 1234567890 Mot de passe par d faut pour le jeton RSA SID 800 PIN CODE At CLUAT CET 4 Un message vous rappelle que le mot de passe par d faut du jeto
131. Guard Easy Comme vous ne pourrez probablement pas en cas de d faillance du syst me acc der au disque dur le noyau syst me ettous les fichiers de secours doivent tre toujours sauvegard s sur une disquette ou sur un p riph rique amovible REMARQUE Vous trouverez plus d informations ce sujet dans la base de connaissances Utimaco http www utimaco com myutimaco Dans la zone de recherche Search tapez Emergency ou Emergency Disk 396 27 1 Cr ation d une disquette de secours sauvegarde du noyau syst me La disquette de secours est cr e par l Assistant de cr ation d une disquette de d marrage disponible en standard sur tous les clients Si des lecteurs de disquettes p riph riques amovibles sont chiffr s le chiffrement est d sactiv pendant la cr ation de la disquette de d marrage Ceci implique que la disquette de restauration d urgence dispose de la version la plus r cente du noyau syst me Toute modification importante telle qu une modification du statut du chiffrement doit faire l objet d une sauvegarde sur une disquette Une option de l Assistant de cr ation de disquette de d marrage permet de demander intervalles r guliers la sauvegarde du noyau syst me Ceci doit tre copi sur la disquette de d marrage L Assistant dispose d une option suppl mentaire pour la cr ation d une disquette de d marrage d urgence contenant le noyau
132. Installation des clients SafeGuard Easy La proc dure d installation fonctionne de fa on habituelle cf installation locale ou centrale Pour la communication avec le serveur le nom UNC NETBIOS du serveur SGE et l agent de r seau permettant la communication avec le serveur doivent cependant tre fournis aux clients L agent de r seau ne peut plus tre fourni apr s l installation de SafeGuard Easy Si un client doit tre administr de fa on centralis e SafeGuard Easy doit tre r install avec agent de r seau activ D marrez l installation en appelant Sgeasy msi du r pertoire de CD Client installation interactive Dans le cadre d une installation personnalis e s lectionnez l option Liaison serveur en plus des composants d j s lectionn s 1 SafeGuard Easy Client 4 50 2 Installation a 3R Fonctionnalit s s lectio Veuillez s lectionner les fonctionnalit s que vous souhaitez installer Sgeasy An Description de la fonction o e iffrement E9 Sn installe la connexion avec un serveur pour une CE PUIS Ue Te Administration centralis e Connexion un s X Connexion automatique avg Cette fonctionnalit sera install e sur le disque dur local Ce composant requiert 434Ko sur votre disque dur Utimaco Safeware AG Plus loin dans la proc dure d installation entrez le UNC Netbios nom du serveur SGE par ex server0
133. Lors de l installation cette option remplace la bo te de dialogue de configuration de base CFGWIZ Dans le cas d un fichier d installation cette option remplace la bo te de dialogue de configuration de base instfile lt nom fichier gt Cette option d finit le nom du fichier d installation g n rer Lorsque ce param tre est actif la bo te de dialogue du dossier cible ne s affiche pas Si le fichier existe d j il sera remplac par la nouvelle configuration changefile lt nom fichier gt Cette option d finit le nom du fichier delta g n rer Lorsque ce param tre est actif la bo te de dialogue du dossier cible ne s affiche pas Si le fichier existe d j il sera remplac par la nouvelle configuration uninstfile lt nom fichier gt 116 Le nom de la configuration de d sinstallation g n rer en tant que sortie Lorsque ce param tre est actif la bo te de dialogue du dossier cible ne s affiche pas Si le fichier existe d j il sera remplac par la nouvelle configuration Exemple CfgWiz cmd change base C install cfg changefile C Change cfg REMARQUES Ces fonctions pourront tre disponibles avec les versions ult rieures de LANDesk Management Systems 8 5 1 Exemples d application Exemple 1 Dans l assistant de configuration pour le d ploiement cr ez un fichier permettant d installer SafeGuard Easy sans intervention de l utilisateur sur plusieurs poste
134. M une puce mat rielle cryptographique incorpor e la carte m re qui en tant que p riph rique de cryptographie sert de m moire cl et de g n rateur de nombres al atoires s rs Comme les cartes puce le TPM requiert un logiciel appropri pour pouvoir d ployer toutes ses ressources Sous sa forme de base TPM peut g rer les cl s de fa on s curis e et mettre ces cl s la disposition des utilisateurs et des applications par l interm diaire de m canismes standard tels qu un fournisseur de services cryptographiques CSP Le TPM ne chiffre pas directement les donn es du syst me d exploitation ou de l utilisateur L emploi du TPM permet en outre d laborer des concepts de s curit comme par ex l int gration de machines Lenovo quipe d s aujourd hui un grand nombre de ses ordinateurs portables et de bureau avec une puce de s curit conforme TPM Lenovo appelle ce syst me ESS Embedded Security Subsystem et le logiciel client correspondant Client Security Software CSS Lenovo est depuis longtemps le fournisseur de pointe en mati re de Notebooks avec TPM et tait r cemment le seul proposer une solution ad quate 336 Utimaco Safeware est le premier concepteur professionnel compl ter pr sent la solution de base Lenovo avec un chiffrement de disques durs compatible ESS et d autres produits de s curit Ceux ci montrent comment les utilisateurs peuvent tirer le meilleur
135. MaChINS sine 347 23 6 1 Int gration de machine initiale 348 23 6 2 chec de l int gration des ordinateurs 350 23 6 3 Restauration apr s int gration 351 23 6 4 Configuration du mode de restauration 354 SafeGuard Easy et technologies Thinkvantage de Lenovo Rescue and Recovery ss 357 24 1 APETQU snsssrsrrsssssssrrnnsssssrssnessssssnneesssssnseseee 357 24 2 Rescue and Recovery et SafeGuard Easy 358 24 2 1 Avantages de la combinaison de Rescue and Recovery et de SafeGuard Easy eeessse 359 24 2 2 Pr paration ssesssesssssessssoosssesesessssseosssesesoee 359 16 25 24 3 Pour une installation 360 24 3 1 Ni SafeGuard Easy ni Rescue and Recovery ne sont install s 361 24 3 2 Seul SafeGuard Easy est d j install 362 24 4 Mise NIVEAU 363 24 4 1 Mise niveau de SafeGuard Easy 363 24 4 2 Mise niveau de Rescue and Recovery 363 24 5 D sinstallation 364 24 6 Cr ation d une copie de sauvegarde 364 24 7 Restauration de fichiers 366 24 8 Restauration du syst me 367 24 8 1 Environnement de d marrage 368 24 8 2 Restauration d un syst me SafeGuard Easy 369 24 9 Partitions de r cup ration de service et USINE sms ne esss ss ST 24 9 1 Particularit s 371 24 10 Que faire Si eesesssesesssssescessssseecsoss
136. Microsoft Windows ou la touche bleue Thinkvantage Access IBM int gr e dans les syst mes Lenovo Rescue and Recovery prend cependant galement en charge les syst me non Lenovo Rescue and Recovery sert surtout de planche de salut aux utilisateurs d ordinateurs quand le syst me d exploitation est d faillant et quand des donn es importantes ne sont plus accessibles Utimaco Safeware est pr sent le premier fournisseur professionnel de syst mes de chiffrement de disques durs proposer la solution Lenovo pour restaurer des syst mes endommag s sans perdre le chiffrement Cette solution prot ge l ensemble des donn es du syst me et assure la s curit des donn es Pour de plus amples informations sur Rescue and Recovery veuillez consulter votre documentation Lenovo 358 24 9 Rescue and Recovery et SafeGuard Easy SafeGuard Easy s int gre sans probl mes dans les sch mas Rescue and Recovery et prend galement en charge les fonctions sp cifiques Lenovo telles que la touche bleue Thinkvantage Access IBM sur le clavier des ordinateurs portables ou la touche Entr e bleue des ordinateurs Une fois le chiffrement termin l utilisateur a la possibilit de cr er une copie de sauvegarde des modifications Pour ce faire le syst me contient par exemple le pilote SafeGuard Easy qui permet de restaurer ce type de sauvegarde La sauvegarde s curis e avec SafeGuard Easy et ses pilotes
137. Pse Configuration utilisateur Param tres logiciel CA Param tres Windows CA Mod les d administration Microsoft Enhanced Cryptographic Provide Microsoft Enhanced Cryptographic Provide H H Les param tres suivants peuvent tre configur s Services Ici les services qui sont n cessaires l utilisation du jeton doivent tre sp cifi s II doivent tre initialis s avant l interface universelle pour le Token SCardSvrService pour les cartes puce du syst me d exploitation Cette entr e est obligatoire De plus des jetons requi rent des services additionnels sp cifiques qui doivent aussi tre sp cifi s Les services doivent tre s par s par des virgules Slot index pr f r Un Token requiert un index de slot sp cifique Saisissez le slot pour votre jeton Si le module PKCS 11 pour SafeGuard Smartcard Provider est s lectionn le slot 0 est saisi automatiquement REMARQUE V rifiez que votre jeton est connect au slot sp cifi Module PKCS 11 Le module PKCS 11 assure la commutation lecture criture avec le jeton Saisissez le module PKCS 11 correspondant pour votre jeton 230 Module PKCS 11 Services Slots Fournisseur de Logiciel Module Services jetons PKCS 11 Aladdin USB Token le plus r cent eTpkcs11 dil SCardSvr Aladdin Runtime Environment ETOKSRV RTE Verisign jeton USB voir Aladdin voir
138. Si vous suspectez que le disque dur chiffr pr sente des dommages physiques il est recommand de ne pas le d chiffrer avec un support de secours Un d faut physique peut se remarquer par exemple de la mani re suivante le disque dur met de bruits de frottement ou des cliquets ou n est plus reconnu par le BIOS Dans ce cas n intervenez pas vous m me mais adressez vous un sp cialiste lls tenteront de transf rer le contenu du disque dur corrompu sur un disque intact de fa on pouvoir proc der un d chiffrage d urgence des donn es Cette intervention externe entra ne naturellement des frais qui seront opposer la valeur des donn es pr sentes sur le disque dur REMARQUE Vous trouverez plus d informations ce sujet dans la base de connaissances Utimaco http www utimaco com myutimaco Dans la zone de recherche Search tapez Data amp Recovery 27 5 4 Remarques m Emplacement du noyau syst me Si la partition d amor age de Windows ne se trouve pas sur le premier disque dur le noyau syst me SafeGuard Easy est automatiquement stock pendant l installation sur la partition C Cette partition ne doit par cons quent plus tre format e apr s l installation car elle contient les informations Windows les plus importantes noyau syst me pilotes etc Si toutefois un formatage est effectu apr s l installation de SafeGuard Easy le syst me doit tre r install Cette sa
139. Token Logon xj 9 The inserted token does not contain Windows login information s Would you like to issue the token now 234 5 Apr s un clic sur OK la bo te de dialogue nitialiser jeton avec donn es d acc s Windows est ouverte L utilisateur est invit saisir son nom d utilisateur et son mot de passe Windows Une bo te de dialogue confirme l initialisation avec succ s du jeton Suite au red marrage vous tes connect de fa on automatique au syst me d exploitation 15 10 92 Donn es Windows enregistr es dans le fichier SAL Les donn es du syst me d exploitation sont synchronis es avec le fichier SAL chiffr SGSAL dat apr s toute connexion r ussie avec un jeton si la proc dure facultative de connexion par jeton de SafeGuard Easy est s lectionn e En particulier dans les cas d urgence l utilisateur a perdu son jeton avec donn es Windows entre autres ceci garantit que l utilisateur peut de nouveau acc der aux donn es Quand l utilisateur modifie ses donn es Windows le fichier SGSAL dat est galement mis a jour 15 11 G n ration d un jeton partir d un jeton existant Administration Quand Token Administration est install les donn es suivantes peuvent tre enregistr es dans la cl lectronique m Num ro d identification personnel PIN m Donn es SafeGuard m Donn es Windows E Gestion de ordinateur OOOO action affichage amp gt Arbre Gestion de l or
140. a Extends the W 54 FeatureComponents AdmTools Sgeasy Administ 24 File ServerCon Encryption Server Installs the ser 45 Font FIPS Encryption FIPS Mode Installs the sy 76 Icon SG uth_UVM SGSAL Client 5 Extends the W 35 IniFile Encryption Sgeasy Encryption Installs a comp 12 IniLocator Auditing Encryption Auditing 0 InstallExecuteSequence SGSAL Encryption Secure Extends the W 24 InstallUISequence GinaSys Encryption Gina Sys 0 IsolatedComponent TokenSup AdmTools Administ Installs suppor 36 LaunchCondition SGAuth_Ma Encryption Machine Extends the W 65 ListBox E ListYiew LockPermissions MIME Media ModuleComponents ModuleConfiguration ModuleDependency ModulelgnoreTable ModuleSignature ModuleSubstitution Feature 14 rows No column is selected REMARQUES A la s lection d un composant tous les composants parents Feature Parent doivent galement tre ajout s 50 5 Dans Tables s lectionnez l l ment Properties Propri t s Le syst me affiche toutes les propri t s param tres de configuration de SafeGuard Easy Vous trouverez une description des diff rents composants au point dans Param tres SafeGuard Easy Par exemple entrez le nom et l emplacement de stockage du fichier de configuration dans la section CFGFILE Sgeasy msi transformed by Untitled Orca LES File Edit Tables Transform Tool
141. ace ou par un saut de ligne REMARQUE Les utilisateurs ne doivent en aucun cas avoir acc s ce fichier 13 6 R gles de mot de passe sp cifiques l utilisateur lt lt Chiffrement Authentification avec token Sans token GP Les utilsateurs Activer l activation distance Non Nombre de connexion automatique 0 Activation du mot de passe au d marrage Oui Masquer la longueur du mot de passe Non Longueur minimum du mot de passe 6 D lai minimal de l utilisation du mot de passe 30 4 Afficher le menu Les r gles de mot de passe sp cifiques l utilisateur s appliquent aux options de changement de mot de passe 13 6 1 Autorisation de la modification de mot de passe Cette option indique si un utilisateur peut modifier ou non son mot de passe SafeGuard Easy dans la PBA ou l administration 188 DE TEHE 13 6 2 Changement du mot de passe apr s n jours Un mot de passe SafeGuard Easy est valide sans limite de dur e Le risque d tre d couvert un jour ou l autre est toutefois tr s lev Pour minimiser ce risque vous pouvez sp cifier qu un de ces utilisateurs doit changer son mot de passe au bout d un certain nombre de jours Avec les touches fl ch es ou par entr e directe via le clavier d finissez une p riode la fin de laquelle le mot de passe doit tre chang La p riode de validit des mots de passe peut aller de 1 180 jours La p riode p
142. act re g n rique Cela signifie que la position dot e d un peut comporter plusieurs caract res au choix dans le nom dans la description La r gle suivante s applique normalement seuls les postes de travail groupes requ tes pour lesquels chacune des propri t s s lectionn es est valable sont affich s 500 31 7 2 Activation d un filtre Le filtre n agit que lorsqu il a t activ L utilisateur reconna t qu il se trouve en mode de filtrage la couleur modifi e de la surface de travail de la console d administration Le fond blanc standard devient par exemple bleu tion de SafeGuard Easy Serveur SERYERO 502 31 8 Requ tes et listes d attente Les requ tes comportent des mises jour de configurations pour les clients SGE Le client SGE va chercher ces mises jours sur le serveur SGE d s qu ils sont en communication Quand un client SGE d tecte des modifications il les ex cute dans l ordre o elles ont t attribu es au client via la console d administration Les requ tes g n r es une fois sont utilisables aussi longtemps que vous le d sirez pour diff rents groupes postes de travail Toutes les requ tes envoy es sont regroup es dans la file d attente sous l onglet Requ tes ind pendamment de leur tat f Console d Administration de SafeGuard Easy Serveur SERYERO3 Fichier Edition Affichage Requ tes Extras Aide Groupes Post
143. acter votre distributeur Utimaco qui vous a vendu vos licences ou votre abonnement logiciel Assistance Table des mati res 1 1 1 2 1 3 1 4 1 5 1 6 1 7 1 8 Fonctions de s curit centrales 2 Autres m canismes de protection 4 Nouveaut s de SafeGuard Easy 12 Modifications par rapport aux versions ANT TIQUFES esse 14 Configuration syst me requise e s 15 Documentation 444 18 Remarques g n rales 18 Remarques relatives la licence 20 2 Mi se en TOUR minimes 21 2 1 2 2 2 3 2 4 Pr paration de l installation 21 Conditions pour l installation 23 Modules pouvant tre install s 23 Interface utilisateur en plusieurs langues 24 l llation I 27 nstallation locale sssesessesesssssooessooessssooso 3 1 3 1 1 3 2 3 3 3 3 1 3 3 2 3 4 3 5 Comment proc der 28 Mode chiffrement 444 4 34 Apr s l installation 37 Bo te de dialogue d affichage de la progression du chiffrement 38 Masquer la bo te de dialogue 38 D finition de la vitesse de chiffrement 39 Remplacement de l image d arri re plan de l ouverture de session Windows 49 Installation de SafeGuard Easy sur des PC dot s de plusieurs syst mes d exploitation 44 Installation centrale 45 4 1 4 2
144. adm permet de d finir confortablement certains param tres SafeGuard Easy sans avoir diter le registre Un administrateur peut modifier les param tres du mod le administratif pour le PC de l utilisateur soit localement par l interm diaire de l diteur de strat gie de groupe Gpedit msc soit centralement par l interm diaire des objets de strat gie de groupe GPOs dans un environnement Active Directory Les utilisateurs dans un environnement informatique n ont normalement pas de droits d administrateur et ne peuvent par cons quent pas modifier eux m mes les strat gies SafeGuard Easy Vous trouverez ci dessous des instructions br ves sur la mani re d int grer le mod le Utimaco dans un syst me local Pour la manipulation de mod les d administration dans un environnement avec OSG veuillez consulter la documentation Microsoft usuelle 1 Ouvrir une session comme utilisateur avec droits d administrateur Windows 2 Cliquez sur D marrer Ex cuter tapez la commande Gpedit msc et ouvrez l diteur de strat gies de groupes local 3 Ajouter mod le SafeGuard Sguard adm via Mod les d administration gt Ajout Suppression de mod les Sguard adm se trouve dans le r pertoire d installation SafeGuard Easy dans le dossier ADM gt Strat gie de groupe Action affichage e gt El B e Arbre Strat ge
145. aire d amor at Token Logon without token Chifirement E Activation distance L utilsateurs Activer l activation distance Non Nombre de connexion automatique 0 B Configuration du mot de passe Activation du mot de passe au d me Qui Masquer la longueur du mot de pass Non Longueur minimum du mot de passe 6 D lai minimal de l utilisation du mot d 30 Historique des mots de passe 4 Caract res 0 Num ros 0 Symboles 0 Majuscules et miniscules m lang es 0 E Mots de passe ind sirables Mots de passe Mots de passe B Identification Identification de l ordinateur xl Suivant gt Annuler ide Vous trouverez des informations plus d taill es sur les diff rentes pages de configuration dans les chapitres correspondants 108 R pertoire cible Dans la bo te de dialogue R pertoire de destination vous d terminez le chemin dans lequel vous souhaitez enregistrer le fichier de configuration nouvellement cr Pour viter les probl mes notez toujours les propri t s et param tres que vous attribuez un fichier de configuration Remarque concernant le type de fichier Change avec le fichier de configuration de base Avec un fichier de configuration de base de type Modifier avec configuration de base et apr s le clic sur Enregistrer vous devrez indiquer si le fichier de configuration de base existant doit tre remplac ou non Si vous cliquez sur Oui le fichier
146. ais galement bien entendu au niveau des syst mes d exploitation pour d autres applications bas es sur certificats via le standard PKCS 11 ou CSP L ouverture de session de l administrateur SGE dans les programmes d administration peut galement avoir lieu via la cl Aladdin Une proc dure Requ te R ponse permet de mettre en place un centre d assistance pour les utilisateurs qui ont oubli leur mot de passe ou jeton SafeGuard Easy prend en charge m diff rents eTokens Aladdin m Jeton USB Verisign m RSA SecurlD 800 Token Authentification biom trique avec le lecteur d empreintes digitales de Lenovo SafeGuard Easy prend en charge l authentification par jeton USB RSA Aladdin mais aussi par empreinte digitale dans le cadre de l authen tification avant amor age L authentification par empreinte digitale offre l utilisateur l avantage de ne plus avoir se soucier du mot de passe Safe Guard Easy ou de l identifiant d un jeton USB II peut ainsi proc der son authentification en ins rant simplement un doigt dans le lecteur int gr d un ordinateur portable Lenovo Prise en charge de la veille prolong e Suspendre sur disque Cette fonctionnalit est particuli rement utile pour les utilisateurs de p riph riques mobiles qui contournent la proc dure de d marrage en mettant leur session sur pause puis en la restaurant dans la mesure o ces options sont disponibles sur la plupart des
147. all avec pr configuration utilisez le programme MSIEXEC MSIEXEC est d j int gr dans Windows 2000 et dans Windows XP Ce programme d installation permet d ex cuter le fichier de configuration cr par l administrateur Comme la source et la cible peuvent galement tre sp cifi es vous avez la possibilit de proc der une installation unitaire sur plusieurs ordinateurs Syntaxe de ligne de commande msiexec i lt chemin msi nom programme gt qn ADDLOCAL ALL lt fonctionnalit s gt lt SGEasy param tre fichier de configuration gt La syntaxe de la ligne de commande comprend m param tres Windows Installer auditant par ex les avertissements et les messages d erreur dans un fichier pendant l installation m Les composants SafeGuard Easy devant tre install s avec un programme SGE par ex l assistant de d blocage distance propres param tres SafeGuard Easy via lesquels des fichiers de configuration peuvent par ex tre transmis m unfichier de configuration pour une installation avec la propri t Installer Exemple msiexec i F Sgeasy msi qn L I Temp SGE log ADDLOCAL Sgeasy Encryption SGSAL Installdir C SG CFGFILE F Install cfg EI SafeGuard Easy est install avec SAL dans le r pertoire C SGE et le fichier journal SGE log est cr dans le r pertoire Temp qui doit exister Les param tres pr configur s pour SafeGuard Easy se trouvent dans le
148. ance aide les utilisateurs quand ceux ci ont oubli leur mot de passe La proc dure Requ te R ponse est s re et id ale pour les utilisateurs d ordinateurs portables car ces derniers ne requi rent pas de connexion en ligne directe avec le service d assistance Requ te R ponse pour PDA Les utilisateurs SafeGuard Easy ayant oubli leur mot de passe ou leur jeton cl lectronique redeviennent rapidement op rationnels gr ce au service d assistance centralis Les collaborateurs du service d assistance sont pr sent en mesure de r aliser leurs t ches au moyen d un PDA Pocket PC et ne sont plus contraints la pr sence d un ordinateur standard Installation avec Windows Installer L installation enti rement bas e sur le mode Windows Installer MSI standard peut tre r partie et ex cut e de fa on simple et effective sur les r seaux Windows Gestionnaire d amor age int gr Double amor age Il est fr quemment n cessaire de subdiviser le disque dur d un ordinateur portable en une partition priv e non prot g e et administr e par l utilisateur et une partition chiffr e et administr e par l entreprise A cet effet SafeGuard Easy fournit pr sent un gestionnaire d amor age qui permet de r aliser de tels sc narios de fa on simple et s re administr s de mani re centralis e Les donn es de l entreprise restent ainsi prot g es et l utilisateur est enti rement libre d utiliser sa partit
149. ar d faut est de 90 jours Une fois le d lai coul l utilisateur est tenu de modifier son mot de passe la prochaine ouverture de session 13 6 3 Changement du mot de passe la prochaine ouverture de session L utilisateur doit modifier son mot de passe SafeGuard Easy la prochaine ouverture de session Pour utiliser cette fonction l authentification avant amor age doit tre activ e 190 13 7 D finition de mot de passe Eg SafeGuard Easy Administration loj x Fichiers Affichage Utilisateur A distance Extras Aide mge P Le er G n ral E Tokens lt amp Chiffrement Authentification avec token Sans token m Les utilsateurs E Activation distance Activer l activation distance Non Nombre de connexion automatique 0 E Configuration du mot de passe Activation du mot de passe au d marrage Oui Masquer la longueur du mot de passe Non Longueur minimum du mot de passe 6 D lai minimal de l utilisation du mot de passe 30 Historique des mots de passe 4 Caract res 0 0 Symboles 0 Majuscules et minuscules m lang es 0 Mots de passe Mots de passe Les mots de passe d utilisateur doivent tre choisis avec circonspection pour ne pas tre ais ment devin s Les mots de passe peuvent contenir des lettres majuscules ou minuscules non accentu es des chiffres et des caract res sp ciaux 8 amp _ condition que cette combinaison n ait pas t interdit
150. arrage LE Q 1E assistant de configuration pour le d ploiement Console d administration Administration lt Assistant de d blocage distance Q cl de disquette et de p riph rique E Cr ation d une disquette de secours PIR SafeGuard Easy Apr s une installation compl te SafeGuard Easy cr e un dossier de m me nom sous Programmes Utimaco L utilitaire Administration et l assistant de configuration pour le d ploiement peuvent y tre d marr s 8 3 Fonction Administration Une fois la fonction Administration ex cut e la bo te de dialogue de connexion s affiche Vous pouvez entrer ici les donn es SafeGuard Easy valides avant d acc der la fonction Administration Le nombre de tentatives d ouverture de session est limit cinq Le syst me doit ensuite tre red marr pour essayer nouveau d ouvrir une session 98 8 3 1 Fen tre d administration Apr s saisie correcte des donn es d utilisateur SafeGuard Easy la fen tre Administration appara t Eg SafeGuard Easy Administration fel EA Fichiers Affichage Utilisateur Adistance Extras Aide HE P C er G n ral E okens lt amp Chiffrement Authentification avec token Sans token m Les utilsateurs E Activation distance Activer l activation distance Non Nombre de connexion automatique 0 E Configuration du mot de passe Activation du mot de passe au d m Oui Masquer la long
151. asse m comme utilisateur par d faut avec mot de passe uniquement m avec une cl lectronique avec mot de passe de jeton Ind pendamment de la m thode d authentification l cran d ouverture de session PBA a des caract ristiques et fonctions identiques m Nom du poste de travail et mentions l gales m Fonction d aide pour modifier le mot de passe SGE Token m Fonction d aide pour r initialiser des mots de passe oubli s 7 1 Ouverture de session comme utilisateur r gulier SENTE TENTE Normalement l utilisateur ouvre une session PBA avec son nom d utilisateur et son mot de passe SafeGuard Easy Sous le nom du programme est affich le nom du poste de travail par ex AST VM GER Ces donn es sont reprises des param tres du syst me de votre poste de travail 84 7 2 Ouverture de session comme utilisateur par d faut Safe uard Easy Si sur un poste de travail un utilisateur au choix est d fini comme Utilisateur par d faut seul le mot de passe SGE est toujours demand La saisie du nom d utilisateur est inutile 86 7 2 1 Ouverture de session tendue via F2 Si une personne autre que l utilisateur par d faut doit se connecter la fonctionnalit de connexion tendue doit tre activ e Ceci a pour cons quence qu en suppl ment du mot de passe SafeGuard Easy ils doivent galement entrer leur mot de passe utilisateur Au dessus de la ligne de saisie du mot de passe v
152. ateur Comment proc der 1 L utilisateur lance une d sinstallation locale voir D sinstallation locale et entre dans la bo te de dialogue Ouverture de session dans SafeGuard Easy 2 Iltape ses donn es SGE demande le code de requ te et le transmet par t l phone SMS ou courrier lectronique l administrateur Ouverture de session dans SafeGuard Easy Veuillez taper l identifiant et le mot de passe de l utilisateur si vous poss dez les droits 1 Entrez les donn es SGE Utilisateur system Challenge Code Mot de passe N8 69 5T EF GE E4 8R sion tendue A pan aliau 3 Transmettre l administrateur 2 Demander le code de requ te o Aide l pellation Choisissez la longueur de code et Regu rir entrez le code de r ponse en dessoi E oc Code de 4 Entrez un code de r pdase C Code de 56 PT TT de ects lt Pr c dent Suivant gt D PF m F F CD E o nn 3 L assistant de d blocage distance permet l administrateur de g n rer un code de r ponse avec les donn es d acc s SGE de l utilisateur dans notre exemple l utilisateur emiller Le droit de d sinstallation est fourni avec le code de r ponse Assistant de d blocage distance SafeGuard Easy Etape 4 EE xi 4 Apr s change des codes de requ te et de r ponse SafeGuard Easy est d sinstall 80 6 3 D sinstallation automatique avec fichier de conf
153. ateur en entrant son mot de passe SafeGuard Easy cran et interface utilisateur sont verrouill s m apr s appui sur CTRL ALT SUPPR et Verrouiller ordinateur m apr s coulement d une dur e r gl e sans intervention de l utilisateur temps d attente m en retirant le jeton Pour le verrouillage du poste de travail le m me cran d arri re plan que pendant l ouverture de session appara t voir Remplacement de l image d arri re plan de l ouverture de session Windows 306 18 1 Conditions Le verrouillage du poste de travail ne fonctionne que si m l authentification avant amor age est active m l utilisateur a t automatiquement connect via SAL au syst me d exploitation m l conomiseur d cran de Windows est activ avec protection par mot de passe Apr s configuration de l conomiseur d cran de Windows l ordinateur doit tre red marr Le verrouillage de poste de travail de SafeGuard Easy est ult rieurement d sactiv quand un utilisateur ferme et rouvre une session apr s une ouverture de session avec succ s dans Windows 18 2 Activation de l conomiseur d cran de Windows avec protection par mot de passe Le verrouillage du poste de travail SafeGuard Easy est command dans les param tres Windows via Programmes Panneau de configuration Affichage cran de veille Red marrez la station de travail apr s avoir activ l conomiseur d cran Pro
154. ateur via la proc dure Requ te R ponse voir L utilisateur a oubli son jeton L utilisateur a ouvert une session sans jeton dans SafeGuard Easy et Windows via Requ te R ponse Connecte le jeton au port USB 248 Se connecte l ordinateur de l utilisateur via la fonction d administration distance de la Token Administration et modifie le mot de passe de jeton Indique l utilisateur le nouveau mot de passe de jeton Conditions l administrateur conna t le mot de passe d administrateur du jeton l utilisateur PC doit tre dans le r seau doit tre install sur l ordinateur de l administrateur et de l utilisateur doit tre install sur l ordinateur de l administrateur et de l utilisateur le jeton dispose d un mot de passe d administrateur qui correspond au code PIN du responsable de la s curit dans la Token Administration Red marre l ordinateur et ouvre la session avec le jeton 15 13 3 Administration de jeton distance avec Token Administration L administration distance sert aider les utilisateurs dans les situations d urgence par ex quand ils ont oubli leur code PIN et ne peuvent donc plus ouvrir de session Pour administrer distance une cl lectronique m une connexion r seau doit exister entre l ordinateur de l utilisateur et l administrateur m Token Administration doit exister sur le PC de l administrateur m To
155. ateurs proc der une synchronisation du mot de passe Une fois l diteur de registre ouvert on trouve sous la rubrique de registre HKEY_LOCAL _MACHINE SOFTWARE Utimaco Sgeasy cr ez la valeur DWORD ForcePasswordSync Avec la valeur 1 le bouton Annuler est affich en gris et l utilisateur ne peut poursuivre que lorsque la bo te de dialogue de synchronisation est remplie La valeur 1 permet aux utilisateurs de contourner cette bo te de dialogue Quittez ensuite le registre et red marrez l ordinateur 17 2 8 Restrictions SafeGuard Easy limite les mots de passe 16 caract res A l ouverture de session dans la PBA SafeGuard Easy n accepte que les mots de passe comportant au maximum 16 caract res Cette r gle est prescrite par SafeGuard Easy et elle ne peut pas tre contourn e Si un mot de passe Windows synchronis est trop long les caract res en exc s sont coup s pour l authentification dans SafeGuard Easy PBA administration etc Exemple Mot de passe Windows avec 20 caract res UtimacoSecurity12345 Ouverture de session dans la PBA avec 16 caract res UtimacoSecurity1 Il n y a pas de synchronisation quand le mot de passe Windows m n ob it pas aux r gles de mot de passe internes de SafeGuard Easy voir R gles g n rales de mot de passe internes dans SafeGuard Easy m se trouve dans l historique des mots de passe SafeGuard
156. autres pays Utimaco Safeware AG P O Box 20 26 DE 61410 Oberursel Allemagne T l phone 49 61 71 88 0 Fax 49 61 71 88 10 10 info pds utimaco com Assistance technique Documentation en ligne Notre base de donn es en ligne fournit des r ponses de nombreuses questions courantes sur la gamme de produits SafeGuard notamment sur leurs fonctionnalit s leur mise en uvre l administration et la r solution des probl mes Lien vers la rubrique d assistance http www utimaco com myutimaco Pour acc der l espace public de la base de connaissances vous pouvez vous connecter en tant qu utilisateur invit Guest Pour acc der l espace r serv de la base de connaissances vous devez tre d tenteur d un contrat de maintenance logicielle en cours de validit Notre quipe d assistance enrichit constamment le contenu des deux espaces en les mettant jour r guli rement Services de support et support t l phonique Notre quipe peut galement fournir une assistance par t l phone aux clients poss dant un contrat de maintenance logicielle en cours de validit Pour recevoir une proposition de contrat adapt e vos besoins veuillez contacter votre distributeur Utimaco Vous comprendrez certainement que nous avons besoin de plusieurs jours pour traiter certaines demandes de nos clients ne disposant pas d un contrat de maintenance logicielle en cours de validit En cas d urgence veuillez cont
157. avec la touche F9 SafeGuard Easy offre un m canisme Requ te R ponse pour r initialiser les mots de passe oubli s Si l utilisateur a besoin d aide il doit g n rer un code de requ te dans la PBA en appuyant sur la touche F9 Ce code de requ te est affich sur l cran de l utilisateur sous forme de cha ne de caract res ASCII 14 caract res L utilisateur appelle ensuite son administrateur et lui fournit ses informations personnelles et le code de requ te L administrateur g n re alors un code de r ponse Apr s saisie de ce code de r ponse sur l ordinateur de l utilisateur celui ci peut red finir son mot de passe Pour plus de d tails sur la proc dure Requ te R ponse veuillez consulter le chapitre Maintenance distance Requ te R ponse SafeGuard Easy 90 7 6 chec d ouverture de session L ouverture de session PBA peut chouer quand m le nom d utilisateur SafeGuard Easy a t incorrectement entr m le mot de passe est incorrect m le nom d utilisateur n est plus valable Quand un utilisateur a entr incorrectement ses donn es il doit patienter quelques secondes avant de pouvoir de nouveau ouvrir une session Pour des raisons de s curit le temps d attente augmente exponentiellement partir de la seconde tentative Une seule ouverture de session correcte r initialise le temps d attente R initialiser une ouverture de session ayant chou Vous pouvez r initia
158. ble amor age active automatiquement le gestionnaire d amor age SafeGuard Easy Passez au dossier Gestionnaire d amor age et proc dez aux r glages de pr cision REMARQUE A la s lection de partitions interdites d acc s une bo te de dialogue affichant Voulez vous formater la partition appara t apr s l installation Si vous cliquez sur OUI les donn es sont perdues 14 5 Configuration de Boot Manager Le gestionnaire d amor age est configur via le dossier du m me nom dans les outils d administration La page de configuration n est cependant affich e que lorsque le mode de chiffrement Double amor age est s lectionn Assistant de configuration SafeGuard Easy x Configuration de poste de travail Veuillez changer la configuration affich e ci dessous G n ral S Gestionnaire d amor at lt amp Chiffrement m L utilsateurs E G n ral Activation du gestionnaire d amor aodlelil D lai pour l amor age automatique 30 E Lecteurs d amor age Lecteurs Lecteurs 14 5 1 Param tres g n raux m Activation du gestionnaire d amor age Indique si le gestionnaire d amor age est activ d sactiv Le param tre est activ par d faut lors d une installation Double amor age m Autoboot time out Temporisation du d marrage automatique Le lecteur de d marrage par d faut d fini dans la section Boot Drives Lecteurs de d marrage est d marr
159. ble du volume Disque prot g en criture Unit inconnue 0302 0303 0304 0305 0306 0307 0308 0309 0310 0311 0312 0320 0321 0322 0500 0501 0502 0503 0999 Le lecteur amp 0 n est pas pr t Commande inconnue Erreur contr le CRC Longueur de structure de requ te erron e Erreur de recherche Type de p riph rique inconnu Secteur introuvable Plus de papier dans l imprimante Erreur d criture Erreur de lecture Erreur g n rale M moire insuffisante Erreur de division l adresse du programme amp 0 D passement de pile l ex cution Pilote de chiffrement non install Version incorrecte du pilote de chiffrement Argument s de ligne de commande invalide s Aucune cl d finie pour le d chiffrement Erreur inconnue Erreurs du System API 1001 1002 1003 1004 1005 1006 1007 Aucun sous syst me n est actif Changement invalide d un param tre syst me Algorithme de chiffrement invalide ou manquant Erreur interne d cel e dans le sous syst me Le sous syst me a signal une erreur E S La tentative d acc s au noyau a chou Un utilisateur a d j ouvert une session dans FILELINK ESGE_INFO DLL MSGLINK 102 1008 Un utilisateur incorrect a t d fini 1009 L assignation de droits d finis l utilisateur n est pas autoris e 1010 L utilisateur d fini existe d j 1011 Le mot de passe attribu a d j t utilis par cet util
160. c der aux donn es sur l ordinateur qu une fois que des donn es SafeGuard Easy valides ont t entr es dans l authentification avant amor age Cette m thode d amor age est recommand e pour sauvegarder des donn es en cas d urgence avant la r paration du syst me d exploitation ou la d sinstallation d urgence de SafeGuard Easy Les supports d amor age pris en charge par SafeGuard Easy sont les disquettes MS DOS Windows 9x et les CD cl s USB pour DOS et Windows EP Il est essentiel que les supports d amor age contiennent le pilote SafeGuard Easy 27 6 1 Conditions L amor age partir d un support externe est un droit d administrateur SafeGuard Easy qui n est accord dans la configuration de base qu l utilisateur SYSTEM Si le syst me doit tre d marr partir d un support externe le profil SafeGuard Easy s tant identifi dans la PBA doit disposer du droit Amor age autoris partir de supports externes Droits de l utilisateur xj Liste de Droits de l utilisateur Veuillez choisir les droits que vous voulez assigner ou non pour l utilisateur s lectionn Utilisateur s lectionn User Droits de l utilisateur Etat Modifier temporairement la cl de p riph rique am M Autoris Modifier temporairement la cl de disquette v Autoris Commuter le chiffrement de le
161. chier de configuration 0102 Fichier de configuration invalide 0103 criture impossible du fichier de configuration 0104 Le pilote install n est pas compatible 0105 Pilote d j install 539 0106 0107 0108 0109 0110 0111 0112 0113 0114 0115 0116 0117 0118 0119 0120 0121 0122 0200 0201 0202 0203 0204 0205 0206 0300 0301 Ce programme ne peut pas tre ex cut sous amp 0 criture impossible du fichier de sauvegarde Lecture impossible du fichier de sauvegarde Fichier de sauvegarde invalide Installation impossible d une seconde partition d amor age sur le disque Installation impossible sur le Gestionnaire d amor age OS 2 Version ant rieure de PN ou C CRYPT d j install e Derni re op ration d installation d sinstallation ou mise jour incompl te Espace m moire contigu insuffisant sur la partition d amor age Acc s impossible la partition d amor age du pilote Fichier de ressources introuvable Ouverture impossible du fichier de ressources Fichier de ressources erron ou illisible Le module algorithme manque Le module noyau manque Le module PBA manque Cr ation impossible de AUTOUSER Analyse impossible de la structure du disque dur Erreur de lecture du disque dur Erreur d criture sur le disque dur Table de partition invalide sur le disque 0 Incompatibilit ROM BIOS Secteur d amor age invalide Verrouillage impossi
162. ci dessous affiche le nombre de noms qui existe d j Veuillez s lectionner un utilisateur qui doit tre s lectionn comme base pour l utilisateur cr er User Nouveau nom de Veuillez sp cifier un nom pour l identification de l utilisateur qui n existe pas Nom de l utilisateur Users Annuler Dans la liste d utilisateurs s lectionnez le profil que vous souhaitez copier Tous les profils faisant partie de votre domaine d administration s affichent Vous pouvez cependant ne copier que les profils poss dant un niveau hi rarchique inf rieur votre propre profil L utilisateur SYSTEM ne peut pas tre copi Attribuez un nouveau nom l utilisateur et cliquez sur OK pour confirmer le nom Si le nom est d j attribu un message d erreur s affiche Vous pouvez ensuite modifier le nouveau profil votre convenance 12 5 Suppression d un utilisateur Les profils d utilisateurs devenus inutiles peuvent tre supprim s Apr s un clic sur l ic ne pour la suppression d un utilisateur amp la bo te de dialogue Supprimer l utilisateur s ouvre Supprimer l utilisateur x Supprimer l utilisateur existant La liste ci dessous affiche le nombre d utilisateurs qui existent d j Veuillez en s lectionner un ou plusieurs Utilisateurs partir de la liste en dessous pour le s supprimer Ne pas supprimer Usert Upprimer w User Ne pas supprimer La commande pour su
163. clients hors 1 connexion dans la console d administration L administrateur SGE via le menu Postes de travail D finir les changements une mise jour de configuration requ te de changement Dans la file d attente la requ te re oit l tat Planifi D tails de la Queue Poste de Travail AST VM W2K ENG E x Requ te Date Etat Utilisateur Henri 27 05 2004 09 30 58 Planifi 0 L administrateur SafeGuard Easy s lectionne l option Workstation Export Request File Station de travail Exporter le fichier de requ te pour exporter la requ te dans un fichier extension req Console d Administration de SafeGuard Easy Serveur SERYERO3 Fichier Edition Affichage Poste de Travail Extras Aide Afficher la Configuration i fostes Tia Changer la Description FE Configurer la Relation pour les Groupes CC e es tais de 1a Queue Ouyrir lAdministration Distance Changer l tat a gt D finir les Changements Enregistrer en autre Serveur Supprimer des Postes de Travail Suppr Exporter Sauvegarde du Noyau Exporter Fichier de Requ te 3 D s que le fichier de requ te est cr l tat de la requ te dans la file d attente passe en mode En attente D tails de la Queue Poste de Travail WKS503 A Nom de requ te Type de requ te Date tat Code d erreur mot de passe Changement 10 03 2005 13 06 07 En attente 0 Changer l tat 111045227
164. condition pour un changement d utilisateur est toutefois que la PBA soit activ e et que des donn es SafeGuard Easy valides y aient t pr alablement entr es Cependant avant de changer d utilisateur le module PBA doit tre actif et des donn es SafeGuard Easy valides doivent tre saisies dans ce dernier 15 12 1 Conditions 1 Enregistrez les donn es SafeGuard Easy et Windows sur le jeton 2 Activez la PBA ouverture de session avec ou sans jeton 3 Pour changer rapidement d utilisateur SafeGuard Easy fermez la session Windows via D marrer Quitter Fermer la session lt Utilisateur gt ou Ctri Alt Suppr fermer la session 240 15 12 29 Exemple Proc dure de remplacement rapide 1 L utilisateur 1 ins re son jeton allume l ordinateur La PBA appara t L utilisateur 1 entre le code PIBN du jeton dans la PBA Ses donn es de profil SafeGuard Easy se trouvent sur le jeton Nom d utilisateur User01 Mot de passe password01 Droits SGE Aucun Si des donn es Windows sont galement enregistr es sur jeton l utilisateur est automatiquement authentifi dans SafeGuard Easy et Windows sans autres indications Le profil SafeGuard Easy de l utilisateur 1 est actif L utilisateur ne poss de pas de droits SafeGuard Easy L utilisateur 1 termine son travail ferme sa session Windows via DEMARRER QUITTER Fermer la session lt Utilisateur gt alternative Ctrl AIt Supp Fermer
165. conseille de ne s lectionner cette option que lorsque cela est absolument indispensable Si vous n tes pas s r de la fa on dont va r agir votre ordinateur veuillez contacter le service d assistance t l phonique Compaq 136 11 Chiffrement La fonction principale de SafeGuard Easy est le chiffrement des donn es des supports les plus divers tels que les disques durs les disquettes et les p riph riques amovibles Le chiffrement de disquettes et de p riph riques amovibles offre l avantage que toutes les communications de donn es se d roulent en mode chiffr par rapport au monde ext rieur Sur un ordinateur avec option de chiffrement activ e les disquettes normales en texte clair sont illisibles Les disquettes illisibles doivent tre format es nouveau sur le lecteur de disque chiffr avant de pouvoir tre utilis es Cependant toutes les donn es sont effac es pendant le formatage Si des disquettes passent d un poste de travail l autre les lecteurs de disquettes de ces postes de travail doivent tre chiffr s avec un algorithme et une cl identiques Dans le cas contraire la disquette ne peut pas tre lue Les utilisateurs poss dant les droits appropri s peuvent modifier provisoirement les cl s de disquettes et de p riph riques amovibles condition que le chiffrement soit activ voir Activation d sactivation du chiffrement de disquettes et de p riph riques amovibles Le chi
166. cript Echo Card is inserted else WScript Echo NO Card in Slot end if Sortir num ro de s rie serialNumber scard GetCardSerialNumber WScript Echo serialNumber Modifier PIN utilisateur pin New User PIN oldPIN Old User PIN res scard SetUserPIN oldPIN pin Modifier PIN RS pin lt Nouveau PIN responsable s curit oldPIN lt PIN responsable s curit pr c dent res scard SetSOPIN oldPIN pin Initialiser PIN utilisateur pin New User PIN SoPIN lt PIN responsable s curit de la cl lectronique res scard InitUserPIN soPIN pin Ouverture de session pin lt PIN de la cl lectronique res scard LoginUser pin Changer PIN utilisateur 1 changement imp ratif 0O changement non n cessaire mustChangePIN 0 1 res scard SetUserChangePIN mustChangePIN D finir les donn es du compte Windows userlD lt Nom d utilisateur Windows password lt Mot de passe d utilisateur Windows domain lt Nom de domaine res scard SetWindowsAccount userlD password domain D finir les donn es du compte SGEasy configFile lt Chemin absolu et nom du fichier de configuration pour l installation SGE gt userlD lt Utilisateur SGE crit sur le jeton gt authFile lt Chemin absolu du fichier contenant les donn es d authentification gt pour le fichier de configuration gt
167. cteur de disquettes M Autoris 4 Commuter le chiffrement de p riph riques amovibl V Autoris Modifier les cl s de chiffrement Non autoris Modifier les param tres de chiffrement Non autoris Modifier les r gles de mot de passe Non autoris Modifier les param tres d utilisateur Non autoris Modifier les param tres du gestionnaire d amor age Non autoris D sinstaller Non autoris partir de suppo nes utoris Modifier la temporisation de verrouillage de poste Non autoris Modifier les param tres de poste de travail Non autoris Modifier les param tres de MBA Non autoris 4 gt Annuler 419 27 6 2 Comment proc der 1 D marrez le syst me partir du disque dur L authentification avant amor age de SafeGuard Easy appara t Entrez les donn es dans la PBA a Ins rez la disquette d amor age Confirmez les donn es PBA en appuyant sur Entr e b Ins rez le CD de d marrage Confirmez les donn es PBA en appuyant sur F7 L ordinateur red marre partir du support de d marrage externe Une fois le red marrage effectu avec succ s il est possible d acc der aux donn es ou de les sauvegarder 27 6 3 Remarques m La version du BIOS conditionne le bon d marrage via CD cl USB m Vous trouverez dans notre base de connaissances une description du mode de cr ation de CD Windows PE de d marrage Vous trouverez plus
168. cteurs de disquettes SafeGuard Easy permet par cons quent galement le d marrage partir d un CD Voici comment cr er un CD de d marrage 1 Enregistrez le fichier d image d amor age Floppy iso se trouve sur le CD SafeGuard Easy dans le r pertoire TOOLS sur le disque dur et gravez le sur le CD au moyen d un logiciel de gravure usuel Le fichier Iso contient la disquette de d marrage compl te telle qu elle est cr e par l Assistant l exception de la sauvegarde du noyau syst me 2 Ex cutez une sauvegarde du noyau syst me via l Assistant de cr ation de disquette de d marrage Enregistrez la sauvegarde du noyau syst me sur le CD proprement dit ou sur un support externe en texte clair auquel vous pourrez acc der en cas d urgence Dans le BIOS assurez vous que le syst me d marre bien du CD La version du BIOS de l ordinateur conditionne le d marrage du syst me 27 4 Cr ation d une cl USB de d marrage La cl USB doit pouvoir tre amorc e sur votre syst me Voici comment cr er une cl UB de d marrage 1 Pr parez la cl USB pour permettre l amor age 2 Copiez les fichiers de secours SafeGuard Easy sur la cl 3 Ex cutez SGEasy exe La version du BIOS de l ordinateur conditionne le d marrage du syst me 27 5 Ex cution d un d marrage d urgence En cas de probl me sur un disque dur chiffr proc der comme suit 1 ins rez une disquette ou un CD de d
169. ctifs Ce processus ne peut pas tre ex cut car une op ration de chiffrement est actuellement en cours Veuillez attendre que toutes les op rations de chiffrement soient termin es et red marrer ce programme Le processus de d sinstallation est en cours L administration n est plus possible Nombre maximum de disques durs d pass ninstallation de PN non prise en charge sur ce syst me Quelques partitions non DOS susceptibles d tre chiffr es avec le type d installation s lectionn ont t trouv es nll est donc recommand de choisir le type d installation Par partition D tection d une version incorrecte du syst me d exploitation n nLe syst me d exploitation Windows 2000 est requis L installation de SafeGuard Easy a chou La d sinstallation de SafeGuard Easy a chou Erreurs g n rales 1101 1102 1103 1104 1105 1106 1107 1108 1109 1110 1111 1112 1113 1114 1115 1117 1118 1119 1120 1121 1122 1123 538 chec du test automatique Initialisation impossible du syst me d aide Une classe n a pas pu tre enregistr e Les informations sur la configuration de partition sont incoh rentes Param tre invalide ou incorrect Pas ou trop peu de param tres ont t d finis D finition d un param tre inconnu Capacit m moire insuffisante Impossible de charger le module 1 Impossible de cr er une bo te de dialogue Impossible d i
170. curis e SAL de SafeGuard Easy Apr s une saisie des donn es Windows la SAL les place dans une zone s curis e et y revient apr s chaque ouverture de session avec succ s par l utilisateur dans la PBA pour connecter automatiquement l utilisateur au syst me d exploitation Configuration du mot de passe Windows La proc dure est similaire quand l int gration CSS et la SAL fonctionnement ensemble sur un ordinateur La phrase mot de passe CSS est enregistr e chiffr e et n a plus tre entr e Les donn es d ouverture de sessions ne sont plus demand es que dans la PBA 340 REMARQUE Quand la SAL tait activ e pour l ouverture de session Windows normale le fichier SGSAL dat qui se trouve dans lt disque syst me gt System32 doit tre effac avant l int gration CSS SGSAL dat doit tre recr tant donn que le format des donn es TPM se diff rencie de celui d une ouverture de session Windows normale Aucun fichier SGSAL dat ne doit par cons quent exister quand CSS SAL doit fonctionner 23 4 Param tres requis pour la g n ration de cl s al atoires via puce TPM La g n ration de cl s al atoires via la puce ESS TPM est impos e par des entr es dans le registre qui doivent tre cr es avant l installation de SafeGuard Easy Voici comment g n rer des cl s al atoires avec puce TPM 1 Pr parez l utilisation de la puce cf Pr paration de l utilisation de
171. d SafeGuard Easy installed Encryption or decryption proc active fn error occurred during the check In this case a mes to the console will state the nature of the problem L Loud mode Will display details to the console including Operating System WINDOWS 2000 WINDOWS XP i WINDOWS SERUER 20031 stallation Status INSTALLED NOT INSTALLED UNKNOWN i INSTALLED lt NOT READY FOR BACKUP NZA i number NZA STANDARD PA TIONED BOOT PROTECTION i UNKNOWN N A i ON N A ON N A ON N A i INACTIUE Disk Encryption Floppy Encryption Removable Media Encryption Initial Encryption N A ON N A WAKE ON LAN N A ON N A OFF i ON N A lt UNMANAGED gt i OFFLINE i server Pre Boot Authentication urrent Authentication ecure uto Logon ecure Smartcard Auto Logon GE Management Server Return code ReturnCode LD The details are displayed in LANDesk mode VE Extended return code En Decryption in process SafeGuard Easy installed Floppy Encryption ONY Disk Encryption ONY Installation Mode Boot Protection 16 Chex 10 gt Installation Mode Partitioned 32 Chex 20 gt Installation Mode Standard 64 Chex 48 only one mode is possible lt 16 32 or 64 VMvalue value mask for extended return code 1 127 For example SGESTATE E produces return code 43 Chex 2h This indicates Partitioned mode Disk Encryption ON SGEasy installed Encryption in process For example SGESTATE
172. d les d administration SafeGuard SGEasy 274 Sur la page des propri t s il suffit de cocher ou de d cocher la case devant Ouverture de session automatique s curis e ou Ouverture de session automatique s curis e avec carte puce Strat gie Ordinateur local Configuration ordinateur Param tres logiciel E Param tres Windows Mod les d administration Windows Components SafeGuard Propri t s de SGEasy CA Authentication System Network Ca Printers Configuration utilisateur 1 Param tres logiciel H E Param tres Windows E Mod les d administration aag EE GR 276 17 1 4 Masquage de la bo te de dialogue SAL La fonction SAL de SafeGuard Easy signale automatiquement les utilisateurs au syst me d exploitation La fonction SAL est activ e par l utilisateur lui m me via la bo te de dialogue SAL SafeGuard Easy Ouverture de session automatique s curis e j SafeGuard Easy peut automatiquement vous connecter Windows avec les informations que vous avez saisies au moment o vous d marrez le syst me E2 a ectuel de SafeGuard Easy Voulez vous que SafeGuard Easy m morise vos nom d utilisateur et mot de passe Windows T Ne plus reposer la question pour l actuel utilisateur SafeGuard Easy e Pour viter que des utilisateurs refusent l ouverture de session automatique de Windows SafeGuard Easy supprime la demande la bo te de dialogue et ex c
173. d marr en mode s curis appuyer sur F8 pendant le processus d amor age le verrouillage incorpor permet seulement aux utilisateurs poss dant des droits d administrateur d ouvrir leur session en mode s curis 316 19 5 Configuration de l activation distance WOL est utilis en r gle g n rale dans les environnements informatiques plus tendus et non pas pour les ordinateurs autonomes L administrateur cr e un fichier de configuration avec les param tres WOL correspondants et le distribue aux clients dans l entreprise Le mode d activation distance SafeGuard Easy Wake On LAN s curis e est configur dans les outils d administration par le biais de la page G n ral Assistant de configuration SafeGuard Easy a 21 x Configuration de poste de travail Veuillez changer la configuration affich e ci dessous E Tokens D Chiffrement Authentification avec token Sans token m Les utilsateurs B Activation distance Activer l activation distance Oui Nombre de connexion automatique 6 E Configuration du mot de passe Activation du mot de passe au d me Oui Masquer la longueur du mot de pass Non lasse ele Les r glages suivants sont possibles m Activer l activation distance Active d sactive le mode Wake On LAN m Nombre de connexions automatiques par d faut 1 D finit le nombre des red marrages avec PBA d sactiv e quand l activation distance est en
174. d sinstallation d sinstallation de SafeGuard Easy D finir un nouveau mot de passe Modifier les param tres de l utilisateur Ouverture de session unique Modifier les param tres de l utilisateur Activer d sactiver temporairement le chiffrement de disquette Commuter le chiffrement de disquettes Ouverture se session sans jeton pour X sessions Modifier les param tres de l utilisateur Octroyer autorisation d initialisation de jeton 384 26 3 1 Cr er un code de r ponse REMARQUE Crit res de g n ration d un code de r ponse sur un ordinateur 1 Assistant de code de r ponse Crit res de g n ration d un code de r ponse sur un PDA 1 SafeGuard PDA 2 Version PDA de l assistant de d blocage distance D marrez l assistant via Programmes Utimaco SafeGuard Easy Assistant de d blocage distance La premi re bo te de dialogue affiche des informations sur l assistant Confirmez successivement la saisie en cliquant sur Suivant Compte d autorisation Dans la bo te de dialogue suivante s lectionnez l utilisateur SafeGuard Easy avec lequel vous souhaitez ouvrir une session dans le syst me de l utilisateur distance Assistant de d blocage distance SafeGuard Easy 21x Compte autoris Veuillez entrer l identifiant et le mot de passe d utilisateur que vous souhaitez utiliser pour ouvrir une session dans le syst me d utilisateu
175. d Easy peut automatiquement vous connecter Windows avec les informations que vous avez saisies au moment o vous d marrez le syst me E avec lID dussateur actuel de SafeGuard Easy Voulez vous que SafeGuard Easy m morise vos nom d utilisateur et mot de passe Windows M Ne plus reposer la question pour l actuel utilisateur SafeGuard Easy E EU ea Si vous r pondez par oui la question relative l ouverture de session automatique vous aurez l avenir uniquement besoin des donn es SafeGuard Easy pour ouvrir la session La SAL peut tre galement utilis e en liaison avec des cartes puce Pour plus de d tails sur l administration distance lire le chapitre Configuration du mot de passe Windows 7 9 Compatibilit avec composants d ouverture de session d autres concepteurs Pour toujours garantir la s curit les composants de Utimaco sont toujours appel s en premier par le syst me d exploitation Une modification de cette s quence d appel p ex la suite de l installation de logiciel d ouverture de session ext rieur est automatiquement annul e En cas de r amor age si ceci vous emp che d ouvrir une nouvelle session dans Windows ou si Windows n est pas correctement disponible apr s l ouverture de session Utimaco offre l administrateur deux possibilit s pour annuler cette modification m Pour d finir manuellement le composant de connexion qui doit tre appel par le com
176. d acc s des utilisateurs d termin s Dans la configuration de base SafeGuard Easy ne relie pas la base de donn es SGE un fichier mdw Dans ce cas le nom d utilisateur Admin est utilis sans mot de passe comme donn es d ouverture de session par d faut Pour autoriser les autres donn es d ouverture de session appelez Param tres Panneau de configuration Outils d administration Sources de donn es ODBC DSN syst me Configurer Entrez le fichier MDW standard System mdw dans le champ Base de donn es syst me En cliquant sur le bouton Avanc vous pouvez galement entrer des donn es d ouverture de session par d faut modifi es Veuillez noter que le profil d utilisateur entr par d faut existe galement comme utilisateur en droit d utiliser la base de donn es Installation ODBC pour Microsoft Access l installation ODBC pour Microsoft Acd 31 2 Interface utilisateur de la console Administration Apr s l tablissement de la connexion la base de donn es SGE la fen tre d administration de la console d administration appara t Elle comprend les onglets Postes de travail Groupes et Requ tes Un passage aux diff rents onglets est possible par un simple clic sur l onglet correspondant ou via le menu Affichage Postes de travail Affiche une liste de tous les clients SGE authentifi s sur le serveur m Nom nom UNC Netbios du poste de travail enregistr
177. d informations ce sujet dans la base de connaissances Utimaco http www utimaco com myutimaco Dans la zone de recherche Search tapez BartPE ou SGE m La fonction Rescue and Recovery de Lenovo Create Rescue Media cr e automatiquement un CD avec pilotes SafeGuard Easy lorsque SafeGuard Easy est install Cette option est disponible via Programmes Thinkvantage Access IBM Create rescue media Create rescue media Rescue media enables you to access IBM R Rescue and Recovery TM tools even if vou are unable to start Windows Select the type of media you want to use then click OK C USB hard disk drive Note All data currently on the selected media will be overwritten DVD RAM is not supported Cancel Help 414 27 6 4 Que faire si le d marrage partir d un support externe choue Les raisons suivantes sont possibles m L utilisateur SafeGuard Easy ayant ouvert la session ne dispose pas du droit Amor age autoris partir de supports externes m Le chiffrement du disque dur a t lanc mais n est pas encore termin Les raisons suivantes sont galement possibles en cas d chec de d marrage l aide d une disquette m Le lecteur de disquettes n est pas appel par le contr leur de disquettes standard mais via l interface USB m Le lecteur de disquettes est chiffr mais la disquette de d marrage ne l est pas encore
178. d ouverture de session augmente Le m canisme ne fonctionne qu avec les utilisateurs qui ne sont pas membres du groupe local des administrateurs Cette strat gie se trouve dans le mod le d administration de SafeGuard Easy sous Configuration ordinateur Mod les d administration SafeGuard Authentification Options d ouverture de session Verrouillage du poste Le m canisme ne fonctionne qu avec les utilisateurs qui ne sont pas membres du groupe local des administrateurs Vous trouverez les restrictions dans l environnement du terminal serveur au chapitre Support Terminal Server m Essais d ouverture de session Dans ce champ vous d terminez le nombre des essais infructueux d ouverture de session par un utilisateur se connectant avec un nom et ou un mot de passe incorrect Si vous sp cifiez par ex 3 l ordinateur sera verrouill si l utilisateur entre trois fois de suite un nom ou un mot de passe incorrect l ouverture de session Valeur minimum maximum 0 999 m D lai en secondes Entrez ici la valeur de base qui multipli e avec le Multiplicateur donn e le temps d attente apr s la premi re tentative infructueuse d ouverture de session Quand une nouvelle tentative infructueuse est effectu e le temps d attente de la tentative pr c dente est pris comme valeur de base La valeur par d faut est 10 Valeur minimum maximum 0 999 m Multiplicateur Le multiplicateur est multipli avec le d lai de base e
179. de l pellation Copier dans le presse papiers Nouveau Side lt Pr c dent Code de r ponse Affiche le code de r ponse en lettres bleues Ce code doit tre transmis au demandeur Le demandeur entre le code de r ponse dans les champs pr vus cet effet Le code de r ponse n est valable qu une seule fois Un nouveau code doit tre g n r pour chaque requ te Copie dans le Presse papiers Le code de r ponse est copi dans le Presse papiers et peut tre entr dans n importe quel diteur de texte Cette fonctionnalit permet par exemple d envoyer le code de r ponse de fa on simple par SMS ou courrier lectronique l utilisateur 390 Si toutes les valeurs sont correctes et si le demandeur a pu ex cuter les actions requises l assistant de d blocage distance est ferm en cliquant sur Quitter Un clic sur Nouveau efface toutes les valeurs et permet de g n rer un nouveau code de r ponse ou un code suppl mentaire Aide la r daction Pour faciliter la transmission du code et pour viter les erreurs l assistant de d blocage distance inclut un correcteur orthographique Quand vous cliquez sur le bouton Aide l pellation une fen tre divis e en trois colonnes appara t avec les titres de colonne correspondants Position indique l emplacement du caract re dans le code Il est ainsi possible de r pondre sans perte de temps par exemple d compte des positio
180. de chiffrement peut tre d fini individuellement pour chaque p riph rique amovible 21 3 D finition de cl avec SgeCrypt De nouvelles cl s sont attribu es pour la dur e d une ouverture de session avec l outil SGECRYPT Pour ouvrir SGECRYPT s lectionnez successivement Programmes Utimaco SafeGuard Easy Cl de disquette et de p riph rique s a SafeGuard Easy SgeCrypt x m S lectionner le type de cl Cl de disquettes C Cl de p riph riques amovibles m Sp cifier une cl Cl temporaire a V rifier la cl Ho J Afficher l ic ne dans la barre des t ches nnuler hide Vous pouvez choisir parmi les options suivantes m S lectionner le type de cl Indique si la cl doit s appliquer une disquette ou un p riph rique amovible m Utiliser la cl syst me Activ e case coch e La cl pr d finie sur le poste de travail par exemple pendant l installation pour les disquettes ou les p riph riques amovibles est utilis e D sactiv e case non coch e Une nouvelle cl est utilis e 324 Pour pouvoir s lectionner une cl syst me celle ci doit tre d finie galement sur le poste de travail Si ce n est pas le cas un utilisateur avec les droits correspondants dans l utilitaire d administration peut d finir ult rieurement cette cl syst me m Cl temporaire La cl temporaire n est valable qu
181. de de fonctionnement Pour la protection de donn es professionnelles confidentielles la fonction de double amor age requiert deux partitions primaires avec chacune un syst me d exploitation ex cutable Le double amor age chiffre une partition partition professionnelle tandis que l autre reste non chiffr e partition priv e La partition professionnelle n est accessible qu avec le mot de passe SafeGuard Easy La partition priv e n est en aucun cas prot g e par SafeGuard Easy Les partitions professionnelles et priv es sont mutuellement invisibles et aucune donn e sensible de la partition professionnelle ne peut tre transf r e sur la partition priv e non chiffr e Quand l change de donn es entre la partition chiffr e et la partition non chiffr e est souhait e une option le permet Via le gestionnaire d amor age SafeGuard Easy vous d cidez de la partition professionnelle priv e initialis e au d marrage de l ordinateur Un menu de gestion d amor age appara t l cran et montre les diff rents syst mes d exploitation La partition chiffr e requiert une authentification avec le mot de passe SafeGuard Easy dans la PBA Pour cette raison il convient de d terminer partir de quel syst me d exploitation le d marrage doit s effectuer avant l authentification avant amor age ventuelle L installation avec double amor age requiert l activation du chiffrement de disquettes et de p riph riques amov
182. de jeton est activ ou non Obligatoire Si le support de jeton n est pas activ ici il ne peut pas l tre ult rieurement apr s une mise jour Si vous voulez quand m me travailler avec un jeton SafeGuard Easy doit tre r install et le support de jeton activ __User dependent Selon l utilisateur Cette r gle offre davantage de souplesse aux utilisateurs dans la mesure o le droit d utilisation d un jeton peut toujours tre accord ou refus apr s l installation de SafeGuard Easy m Mode d initialisation du jeton dans la PBA Indique qui est autoris crire des donn es SGE dans un jeton L initialisation est toujours permise L utilisateur SGE peut toujours initialiser le jeton L initialisation par code de requ te est obligatoire Le service d assistance est impliqu dans le processus d initialisation proc dure Requ te R ponse L initialisation n est pas permise L utilisateur SGE ne doit pas crire de donn es dans le jeton ce dernier est mis de fa on centrale par l administration de jetons Veuillez noter les remarques relatives au support du jeton dans le chapitre Prise en charge des jetons 9 L cran de dialogue R pertoire de destination appara t D terminez sur quel chemin le fichier de migration Sgemig cfg doit tre enregistr Le fichier de migration contient le mot de passe SYSTEM et les param tres de support du jeton 68 Le program
183. de nom de l utilis 4 m Les utilsateurs af SYSTEM lt Modifier gt D fini Authentification avec token Sans token Mot de passe Mot de passe D fini af User lt Modifier gt D fini Anthantifinatinan avan talon Qane takan 5 Si une ouverture de session avec cet utilisateur SGE a chou l utilisateur est invit saisir des donn es valides 530 33 Erreurs Dans ce chapitre vous trouverez une liste de tous les messages d erreur Comme chaque message d erreur de SafeGuard Easy le num ro d erreur est affich il vous est facile de trouver le commentaire recherch Le format est le suivant SGEnnnn lt texte gt SGE correspond l ID de produit SafeGuard Easy et nnnn est un code d erreur quatre chiffres Vous trouverez plus d informations ce sujet dans la base de connaissances Utimaco http www utimaco com myutimaco Vous y trouverez des informations d taill es sur les messages d erreur SafeGuard Easy suivants 0104 0113 0400 0401 0404 1048 1062 1074 1089 1104 1109 1121 1123 1244 1254 1264 1274 1306 1315 1509 1602 Veuillez utiliser la fonction de recherche Search de la base de donn es de connaissances pour rechercher des mots cl s comme Messages d erreur ou des num ros d erreur Erreur du produit 0001 Erreur fatale 0002 R p ter 0100 Version diff rente de PN ou Crypton d j install e 0101 Lecture impossible du fi
184. de passe SGE appropri SafeGuard Easy Assistant de migration x Administrateur SafeGuard Easy Veuillez taper le mot de passe requis REMARQUE Pour initier la migration de SafeGuard Easy il convient d utiliser le mot de passe de l administrateur Assurez vous que le mot de passe est correct aucune correction n est effectu e ici ID d administrateur SYSTEM Mot de passe pas Confirmer le mot de passe 8 L cran de dialogue Utilisation du jeton pour l authentification appara t Dans les versions ant rieures SafeGuard Easy 4 0 aucun support de jeton n tait propos Vous pouvez ici impl menter ult rieurement cette fonction dans le cadre de la mise jour ant de migration x Utilisation du token pour l authentification D finir si pour l authentification un token est obligatoire ou optionnel Un Token pour l authentification est requis C Un Token pour l authentification est obligatoire Un Token pour l authentification est optionnel L initialisation est toujours permise gt Mode d initialisation du Token dans le PBA m Use token for login Utiliser un jeton pour la connexion Sp cifie si la connexion avec jeton est prise en compte ou non REMARQUE Si vous voulez activer la connexion par jeton apr s une mise niveau vous devez r installer SafeGuard Easy 66 m Utilise le jeton pour s authentifier Indique si le support
185. devant tre signal ladministrateur se produit vous avez la possibilit de cr er des SNMP Traps partir de SafeGuard Auditing Une description de solution Utimaco indique comment utiliser SNMP et Auditing Vous trouverez plus d informations ce sujet dans la base de connaissances Utimaco http www utimaco com myutimaco Dans la zone de recherche Search tapez SNMP 436 30 Administration centrale Pour compl ter les m canismes d administration connus il existe pr sent une application sp cifique qui remplit des t ches centrales Elle administre tous les clients install s dans un r seau d entreprise et se charge galement de la distribution s curis e et centrale d ventuelles mises jour de configuration des groupes de clients de l affichage de leur tat actuel et sert d archive centrale pour les sauvegardes du noyau syst me Les clients qui ne sont qu occasionnellement connect s au r seau clients hors connexion peuvent galement tre int gr s dans l administration centrale Le m canisme d administration des versions pr c dentes qui utilisait les fichiers de configuration et des outils de distribution de logiciel d un tiers reste utilisable 30 1 Mode de fonctionnement Dans le cadre de l administration centrale des ordinateurs clients SafeGuard Easy sont administr s depuis un poste central via la console d administration La console d administration g re une
186. dinateur local EE Outils syst me Stockage Services et applications E SafeGuard ADM Settings Viewer Ei Token Administration E S aks ifdh 0 RQ public amp User X AKS ifdh 1 15 11 1 Installation du module d administration de jeton 1 Installe les fichiers du r pertoire TOOLS du CD SafeGuard Easy TokenAdmin msi SCAdmin_SGEasy msi 2 Pour s curiser la liaison eToken SafeGuard GINA le module PKCS 11du eToken doit tre indiqu voir d tails sous La strat gie se trouve sous Enregistrement du module PKCS 11 3 Connectez la cl eToken au PC 4 Appelez la Gestion de l ordinateur via D marrer Param tres Panneau de configuration Outils d administration Le dossier SafeGuard de Gestion de l ordinateur affiche Token Administration Administration de jetons 5 Connectez vous au module Token Administration en entrant le mot de passe correspondant au jeton 6 Ouvrez le dossier User 7 S lectionnez le dossier SGEasy Account 8 Ouvrez la bo te de dialogue Propri t s en double cliquant sur l ic ne SafeGuard Easy dans la colonne Utilisateur 9 S lectionnez Enter user ID and password Entrer ID utilisateur et mot de passe puis entrez le nom d utilisateur et le mot de passe 236 Gestion de l ordinateur 210 x Action Affichage Il e mlm EX rbre Gestion de l ordinateur local
187. dur reste inaccessible Ceci signifie que le d marrage du syst me est possible mais que les donn es chiffr es sur le disque dur ne peuvent pas tre lues Si la PBA est utilis e sur un poste de travail dont les zones d amor age sont prot g es il est impossible de d marrer le poste de travail avec un support externe sans conna tre les donn es d utilisateur de SafeGuard Easy 1 2 Autres m canismes de protection Prise en charge des technologies Thinkvantage de Lenovo IBM Client Security Solution CSS 8 10 et Rescue and Recovery 4 20 SafeGuard Easy prend en charge les versions ant rieures des technologies Thinkvantage de Lenovo Avec la version actuelle de SafeGuard Easy nous sommes enti rement compatibles avec Client Security Solution CSS et Rescue et Recovery RnR de Lenovo Rescue and Recovery SafeGuard Easy est compatible avec Rescue and Recovery de Lenovo Ceci permet aux utilisateurs de b n ficier de cette m thode efficace de sauvegarde et de restauration de Lenovo m me si la partition du syst me d exploitation est chiffr e avec SafeGuard Easy SafeGuard Easy offre ici une fonctionnalit unique en son genre parmi les produits de chiffrement de disques durs Les sauvegardes de syst mes SafeGuard Easy chiffr s peuvent tre stock es sur tous les lecteurs propos s par RnR En cas d urgence il est donc possible de restaurer un syst me endommag en chargeant une sauvegarde d un CD DVD d un lec
188. e laquelle l v nement a t cr Heure heure syst me laquelle l v nement a t cr Utilisateur utilisateur connect au moment de l v nement Type classification de l v nement par Windows par ex avertissement erreur ID v nement num ro d identification de l v nement Il peut s agir de tout num ro compris entre 0 et Oxffffffff par ex 4 294 967 295 Source Application enregistrant l v nement par ex SGPWC restrictions du mot de passe Cat gorie classification de l v nement par la source Les v nements sont toujours affich s dans la langue syst me d finie 29 6 1 Observateur d v nements SafeGuard Auditing affiche les v nements audit s dans le journal applications de l Observateur d v nements de Windows Pour ouvrir l observateur d v nements cliquez sous Windows sur D marrer pointez sur Programmes pointez sur Outils d administration puis cliquez sur Observateur d v nements Dans l arborescence de la console cliquez sur le journal Application Les v nements s affichent dans la fen tre des d tails Un clic sur le journal des applications affiche ensuite les v nements audit s dans la liste d taill e ction Affichage I e EC BENIE Arbre SGAuthentication Authentif Gestion de l ordinateur local i Outils syst me krean 30 04 2004 15 46 45 Oakey Aucun 542 Fi Observateur d v nements informations
189. e Push via le menu Extras Appliquer requ tes Push Console d Administration de SafeGuard Easy Serveur SERYERO3 Fichier Edition Affichage Groupes Extras Aide Appliquer Requ tes Push Changements chou s Groupes Postes de Travail Re Nom _ Enregistrer Poste de Travail F9 31 9 4 L tat Push off Via le menu Postes de travail Changer l tat Push off SafeGuard Easy supprime l attribut Push du client SGE 31 9 5 Commutation du client SGE en mode hors connexion 1 Appeler le menu Postes de travail Changer l tat D finir l tat sur a Hors connexion b Push on Console d Administration de SafeGuard Easy Fichier Edition Affichage Poste de Travail Extras Aide Groupes Postes de Travail Requ tes AST VM W2K ENG Offline 2 Sile client SGE doit tre imm diatement commut en mode OFFLINE r pondre par OUI dans la bo te de dialogue suivante SafeGuard Easy Q a mem 3 Danslafile d attente du client SGE une requ te de changement d tat et poss dant l attribut Avec succ s est g n r e D tails de la Queue Poste de Travail WK503 Changer l tat 1110452279 tat 10 03 2005 11 57 59 R ussi 4 Le client SGE est alors dans l tat Hors connexion Console d Administration de SafeGuard Easy Serveur SERYER03 514 31 9 6 Cr ation de mises jour pour
190. e avec Token Administration 250 Authentification par le lecteur d empreinte digitale de Lenovo 253 16 1 Pr paration sisssssssssssssssssessss esesssssenessesss 255 16 2 quipements compatibles 256 16 3 Installer le lecteur d empreinte digitale LenOVO ssssssissssnisisessiinsasesimesssases 258 16 4 Modifier le mot de passe SafeGuard Easy 262 16 5 Foire AUX QUESTIONS sos 264 12 17 Configuration du mot de passe Windows 267 17 1 17 1 1 17 1 2 17 1 3 17 1 4 17 1 5 17 1 6 17 2 17 2 1 17 2 2 17 2 3 17 2 4 17 2 5 17 2 6 17 2 7 17 2 8 17 2 9 Ouverture de session unique Single Sign On dans le syst me d exploitation s sssssesesese 268 Installation de SAL Secure Automatic LOGON ss 269 Connexion SAL avec une carte puce 272 D sactivation temporaire du module SAL 274 Masquage de la bo te de dialogue SAL 276 Suppression de donn es pour la connexion SAL SCSAL 277 RestrictioN sisssiiss sieste 278 Ouverture de session Windows et SafeGuard Easy avec un mot de passe identique synchronisation de mot de PASSE ssssssrssssssssssssssssssnnsssssinsssssssesesse 279 Avantages de la synchronisation du mot de passe 280 Activation de la synchronisation de mot de passe 280 Activation de la synchronisation de mot de passe ses 282 Ex cution de la synchronisation de mot de passe
191. e d administration des utilisateurs de Windows le syst me n accepte pas de fa on automatique le nouveau mot de passe Windows et ce dernier n est pas enregistr dans le fichier Sgsal dat Par contre un message d avertissement s affiche pour indiquer que le mot de passe Windows n est pas valide et que l utilisateur doit entrer le nouveau mot de passe dans l cran de connexion Une fois le mot de passe modifi l utilisateur peut se connecter sans avoir sp cifier de nouveau ses donn es d acc s Windows et SAL s ex cute sans notification 17 1 2 Connexion SAL avec une carte puce La fonction Smartcard SAL enregistre le code PIN sur la carte de mani re que celle ci soit automatiquement d bloqu e dans la PBA l entr e des donn es SafeGuard Easy Les donn es d ouverture de session de Windows sont alors charg es par la carte puce condition qu elles soient enregistr es sur la carte et permettent une ouverture de session dans le syst me d exploitation Pour utiliser la fonction Smartcard SAL 1 Installez SafeGuard Easy m Connexion automatique avec carte puce Avertissement n installez pas l option Ouverture de session automatique s curis e m Authentification avant amor age Activation du mot de passe au d marrage 2 Red marrez l ordinateur et ouvrez la session 3 Authentifiez vous dans la PBA avec les donn es d utilisateur SafeGuard Easy 4 Ins rez votre
192. e 256 bits IDEA IDEA International Data Encryption Algorithm a t d velopp au d but des ann es 90 C est un algorithme de chiffrement sym trique qui travaille avec une cl de 128 bits On le consid re aujourd hui comme s r tant pour ce qui est des proc d s math matiques que pour la longueur de cl et il passe pour tre extr mement r sistant toutes les attaques de l analyse cryptographique CONSEIL Si vous avez besoin d un syst me tr s s r utilisez les algorithmes IDEA ou AES Rijndael DES Le DES Data Encryption Standard a t mis au point dans les ann es 70 et utilise une longueur de cl de 56 bits 3DES Triple DES Triple DES ou en abr g 3DES est un perfectionnement du Data Encryption Standard DES 2DES utilise trois op rations de chiffrement successives de l algorithme DES et fonctionne avec une cl de 168 bits Le proc d 3DES est consid r comme s r quoiqu un peu lent Blowfish 16 Blowfish 8 Blowfish est un algorithme sym trique Cet un algorithme de chiffrement de bloc de 64 bits qui utilise une longueur de cl de 256 bits L algorithme Blowfish 8 correspond l algorithme Blowfish 16 mais il est r duit huit rounds Il utilise une longueur de code de 256 bits STEALTH 40 L algorithme STEALTH utilise une longueur de cl de 40 bits XOR XOR eXclusive Or opeRation est un algorithme sym trique qui utilise une longueur de cl de 64 bits Sa s cu
193. e SafeGuard Easy Client 4 30 1 rsion 4 30 1 12 MsiDigitalCertifica urer Utimaco Safeware AG MsiDigitalSignatur Transform Properties ileOlderversion o MsiFileHash l epair r ODBC ttribute InstallMode Custom 7 Enregistrez le fichier de transformation dans le dossier d installation de la version par exemple Z SGE install Save Transform s Save in O install 2 My Recent Documents Desktop My Documents My Computer File name SGEtrans mst M My Network Save as type Windows Installer Transform mst x 8 Pour distribuer le fichier SGEasy msi vous pouvez utiliser le fichier de transformation avec msiexec exe voir exemple ou via une strat gie de groupe adapt e dans AD Exemple de commande d installation avec journalisation MSI msiexec i sgeasy msi L v c emp easy log TRANSFORMS sgetrans mst qn 4 3 Installation sans Active Directory Pour installer SafeGuard Easy sans environnement Active Directory vous devez avoir des programmes de r partition de logiciel de tiers cette fin cr ez un programme d installation contenant m les fichiers programmes de SafeGuard Easy m un script contenant la ligne de commande pour l installation pr configur e Distribuez ensuite le programme d installation aux clients 4 3 1 Syntaxe de ligne de commande pour Installation pr configur e Quand SafeGuard Easy doit tre inst
194. e autre sur les enregistrements Pour utiliser ce m canisme l emploi du composant Microsoft Message Queuing est n cessaire Surveillance d utilisateurs mobiles Les utilisateurs mobiles ne sont normalement pas reli s en permanence au r seau de l entreprise Quand il a un rendez vous un collaborateur du service ext rieur d connecte par exemple son ordinateur portable du r seau D s qu il se reconnecte au r seau les v nements SafeGuard audit s par SafeGuard Auditing pendant la d connexion sont transmis SafeGuard Auditing fournit ainsi l administrateur un aper u exact des activit s de l utilisateur pendant que l ordinateur n tait pas connect au r seau 29 2 Installation d Auditing Pour installer SafeGuard Easy Auditing activez la fonctionnalit SafeGuard Easy Logging pendant l installation de SafeGuard Easy Client 1 Ex cutez le fichier Sgeasy msi situ dans le dossier Client sur le CD du produit 2 Lorsque la bo te de dialogue Fonctionnalit s selection es s affiche s lectionnez SafeGuard Easy Logging l audit de SafeGuard Easy en plus des composants d j s lectionn s puis poursuivez l installation i SafeGuard Easy Client 4 50 2 Installation Fonctionnalit s s lectio Veuillez s lectionner les fonctionnalit s que vous souhaitez installe Sgesss Description de la fonction Jr Chiffrement RCD Tee Installe l audit de SafeGuard Easy que 3 Utilitaires d administrat
195. e client le collaborateur quitte l entreprise ou l acc s au client doit tre bloqu Pour que le serveur SGE sache quel client SGE est concern ce dernier re oit l attribut Push via le menu Postes de travail Changer l tat Push on par ex Standard Push Pour ce faire s lectionnez l option Workstations Change State to Push on Stations de travail Modifier l tat Push activ f Console d Administration de SafeGuard Easy Serveur SERYERO3 Fichier Edition Affichage Poste de Travail Extras Aide Groupes Postes de Travail Requ tes Standard Push Apr s ex cution de la commande Appliquer Requ tes Push dans le menu Extras l attribut Push d un client active le serveur qui se comporte normalement de fa on passive attendant les requ tes des clients Le serveur SGE essaie de lui m me de contacter un client avec l attribut Push et de traiter pour ce client toutes les requ tes avec la propri t Planifi se trouvant en file d attente jusqu ce que celle ci soit vide ou qu une requ te choue Dans les deux cas le serveur revient en tat passif normal et y demeure jusqu ce que l administrateur le remette en mode Push L attribut Push est ce faisant automatiquement supprim Le m canisme Push est un compromis entre charge de r seau et s curit 512 La prise de contact du serveur SGE avec les clients est initi e en mod
196. e d erreur SafeGuard Easy interrompt l installation et l utilisateur doit la relancer 339 29 3 Utilisation s curis e de SafeGuard Easy dans la configuration certifi e Pour utiliser SafeGuard Easy dans une configuration certifi e et donc pour garantir la plus grande s curit de produit possible le syst me doit tre configur de la mani re suivante Installation avec PBA Longueur de mot de passe minimum 6 caract res Utiliser les algorithmes de chiffrement AES 128 AES 256 ou 3DES Activer le chiffrement int gral du disque dur Activer le chiffrement des disquettes p riph riques amovibles Les utilisateurs ne sont pas autoris s activer le chiffrement des disquettes p riph riques amovibles Activer le verrouillage d cran SafeGuard Easy Lors de la d finition manuelle de cl s un nombre si possible lev de caract res al atoires max 32 caract res doit tre saisi Ne pas d finir des cl s banales susceptibles d tre ais ment devin es par un agresseur 334 23 SafeGuard Easy et Lenovo ThinkVantage Technologies Embedded Security Subsystem Lenovo ESS Chip Dans le cadre de l association de constructeurs internationaux la soci t Trusted Computing Group TCG s est fix comme objectif l am lioration de la s curit et de la fiabilit des plates formes informatiques et des syst mes d exploitation modernes La technologie principale est le Trusted Platform Module TP
197. e de donn es SGE 439 Console d administration SGE 441 Clients SafeGuard Easy 449 Combinaisons SGE client SGE serveurs prises en charge 443 change de donn es entre client et serveur 444 Communication s curis e 444 Charge de r seau attendre 446 D finition de l intervalle d change des UONN ES sssri kiris tesia a 447 Pour une installation 449 Installation du serveur base de donn es SafeGuard Easy 450 20 31 30 3 2 30 3 3 30 3 4 30 3 5 30 4 30 4 1 30 4 2 30 4 3 Installation de la console d administration SafeGuard Easy 459 Installation des clients SafeGuard Easy 453 Capacit maximale de la base de donn es SafeGuard Easy 456 Restauration de serveur base de donn es SafeGuard Easy 456 Prise en charge Microsoft SQL SerVer osisssa insisi a ADB Remarques importantes 458 Cr ation d une base de donn es SafeGuard Easy vide sur le serveur SQL 460 Enregistrement de la nouvelle base de donn es vide de SafeGuard Easy sur SafeGuard Easy serveur 466 Console d administration 473 31 3 31 3 1 31 3 2 31 4 Ouverture de session 473 Modification des donn es d acc s la base de donn es A 475 Interface utilisateur de la console Administration 478 Enregistrement d
198. e donn es de fa on s curis e au sein de l entreprise tout en prot geant le contenu des supports mobiles de donn es contre les acc s non autoris s Elle est d termin e chaque fois partir du mot de passe SafeGuard Easy de l utilisateur au moment du d marrage SafeGuard Easy chiffre non seulement l ensemble du contenu du disque dur mais encore celui des supports amovibles tels que des disquettes des disques ZIP ou JAZ voire des cl s USB En outre il est possible d emp cher l importation non autoris e de donn es de logiciels non licenci s ou de virus tant donn que les utilisateurs ne peuvent pas utiliser de supports en texte clair sans droit d acc s ad quat Pour le chiffrement divers algorithmes peuvent tre s lectionn s pour les disquettes les p riph riques amovibles et le disque dur Les algorithmes disponibles sont AES Rijndael XOR STEALTH 40 IDEA BLOWFISH DES et 3DES Contr le d acc s avec l authentification avant amor age PBA et la protection des zones d amor age L authentification avant amor age PBA est une fonction de s curit centrale de SafeGuard Easy La PBA n autorise que l ouverture de session par les utilisateurs SafeGuard Easy enregistr s sur le syst me Safe uard Easy Lors de la tentative de d marrage d un poste de travail dont le disque dur est chiffr depuis un support ext rieur par ex disquette syst me CD ROM ou autre disque dur le disque
199. e est disponible sous forme de programme compl mentaire R gles de mots de passe SafeGuard Easy offre diff rentes options d impl mentation de r gles de mot de passe dans le module PBA telles qu une liste configurable de mots de passe interdits des r gles tendues pour les caract res sp ciaux des codes utilisateur etc ce qui permet de s adapter facilement aux directives de l entreprise Audit dans la PBA et le syst me d exploitation SafeGuard Easy conserve galement une trace des probl mes affectant la s curit tels que les checs de connexion lors de la phase de pr paration du d marrage Ces entr es sont ensuite ins r es dans le journal des v nements de Windows afin d tre valu es Une autre solution consiste ajouter un composant facultatif et transf rer ces entr es vers un serveur local o elles pourront ensuite tre valu es Ceci permet de d celer plus rapidement les effractions et de diagnostiquer plus simplement les situations Base de donn es d administration centrale en option En suppl ment de ces fonctions de distribution fiable des fichiers de configuration SafeGuard Easy inclut un logiciel centralis d administration Ce dernier prend en charge la sauvegarde des noyaux syst me la distribution des donn es de configuration et l int gration des clients hors connexion SafeGuard Easy utilise par d faut les bases de donn es Microsoft Access et Microsoft SQL Server pour
200. e par les r gles g n rales de mot de passe Les chiffres du pav num rique ne doivent pas tre utilis s Un double clic sur Mot de passe ouvre la bo te de dialogue dans laquelle le mot de passe est d fini Sp cifier le mot de passe de l utilisateur x Mot de passe de l utilisateur Veuillez saisir le nouveau mot de passe pour l utilisateur sp cifi Afin de pr venir contre une mauvaise saisie vous devez saisir le mot passe deux fois L utilisateur s lectionn User Mot de passe aus Mot de passe confirmation Annuler Tapez le mot de passe souhait dans la ligne sup rieure et tapez le de nouveau dans le champ Confirmation La r p tition est n cessaire pour viter les fautes de frappe La correspondance des caract res tap s est v rifi e et un message d erreur appara t quand les mots de passe ne correspondent pas ou lorsqu ils sont banals par ex 12345 ou AAABBB Pour des raisons de s curit le mot de passe n est affich qu avec des ast risques Pour corriger les entr es veuillez utiliser la touche Reset Il n est pas possible de contourner la seconde saisie du mot de passe en utilisant la fonction Copier Coller 192 14 Double amor age Gestionnaire d amor age Double amor age est une variante d installation qui vous permet de r aliser une s paration claire entre les partitions professionnelle et priv e d un ordinateur 14 1 Mo
201. e possible de sauvegarder des partitions de disques durs sur un disque dur chiffr avec SafeGuard Easy au moyen du logiciel de cr ation d image par ex Norton Ghost de Symantec et de les restaurer L outil de cr ation d image doit entre autres tre en mesure de d chiffrer la partition chiffr e 154 Vous trouverez plus d informations ce sujet dans la base de connaissances Utimaco http www utimaco com myutimaco Veuillez utiliser la fonction de recherche Search de la base de donn es de connaissances pour rechercher des mots cl s comme Image ou Imaging 156 12 Cr ation de profils utilisateur Eg SafeGuard Easy Administration 1 lol x Fichiers Affichage Utilisateur Adistance Extras Aide IBe rl eerer G n ral lt lt Chiffrement E Personnalisation du compte utilisateur Longueur minimum de nom de l utilisatez 4 Les utilsateurs af SYSTEM lt Modifier gt D fini Authentification avec token Sans token Mot de passe Mot de passe D fini af User lt Modifier gt D fini Authentification avec taken Sans token Personnalisation du compte utilisateur Aucun Utilisateur par d faut Non Ouverture de session simplifi e distan Non Date d expiration Non Changement du mot de passe permis Qui Changement du mot de passe 930 Changer le mot de passe la prochaine Qui Mot de passe Mot de passe D fini Droits Droits Vous d terminez ici les
202. e pour la dur e d une session de travail Apr s un red marrage elle est de nouveau supprim e et la cl syst me est r activ e m Show icon in taskbar Afficher une ic ne dans la barre des t ches Affiche une ic ne dans la barre des t ches sur laquelle l utilisateur peut cliquer pour afficher cette bo te de dialogue Le r glage n est valable que pour l utilisateur actuellement connect Aucun droit d administrateur Windows n est requis pour afficher masquer l ic ne 326 21 4 Commutation de param tres de chiffrement via ligne de commande Le chiffrement de disquettes p riph riques amovibles peut galement tre lanc e de la ligne de commande Tapez la commande suivante pour afficher les param tres disponibles SGECRYPT CEE A SGECRYPT G Affiche cette info SGECRYPT SYSTRAY Active l ic ne de la barre des t ches SGECRYPT DRIVE lt nom du lecteur gt ON OFF FLOPPYKEY lt cl gt DEVICEKEY lt cl gt DRIVE lt nom du lecteur gt ON OFF Active d sactive le chiffrement du lecteur d fini FLOPPYKEY lt cl gt gt D finit une cl de disquette si un texte est sp cifi apr s le D finit la valeur de cl par d faut si aucun texte n est sp cifi apr s le IDEVICEKEY lt cl gt gt D finit une cl de p riph rique amovible si un texte est sp cifi apr s le D finit la valeur de cl par d faut si aucun texte n est sp cifi
203. e prolong e 317 21 22 20 1 20 2 20 3 20 4 APErCU scssseriiesisesssisssesssersisessssiriedkosrs ot sisirrsts 317 Mise en veille prolong e et SafeGuard Easy 318 Conditions et restrictions 319 Configuration de la mise en veille prolong e 320 Activation d sactivation du chiffrement de disquettes et de p riph riques amovibles 321 21 1 Droits SafeGuard Easy requis 322 21 2 Commutation du chiffrement 323 21 3 D finition de cl avec SgeCrypt eessssseesses 324 21 4 Commutation de param tres de chiffrement via ligne de commande 326 21 5 Remarques 327 Certification FIPS 140 2 Level 1 329 29 1 Nouvelles fonctions ss 330 22 2 Installation de SafeGuard Easy de fa on conforme la certification FIPS 331 22 3 Utilisation s curis e de SafeGuard Easy dans la configuration certifi e 333 23 SafeGuard Easy et Lenovo ThinkVantage Technologies Embedded Security Subsystem 24 Lenovo ESS Chip seessssssseressssssessesessseesese 335 23 1 SafeGuard Easy et TPM 337 23 2 Pr paration de l utilisation de la puce 338 23 3 Param tres requis pour l int gration CSS 339 23 4 Param tres requis pour la g n ration de cl s al atoires via puce TPM 349 23 5 Param tres requis pour la s curisation de l authentification client serveur via puce TPM 343 23 6 Param tres requis pour l int gration de
204. e sur SP2 de Windows XP SP1 de Windows 2003 Server 1 Quand on utilise le serveur d administration centrale en option ou l administration distance de SGE 4 x des param tres de configuration particulier doivent tre d finis sur SP2 de Windows XP SP1 de Windows 2003 Server Vous trouverez une description des param tres requis dans notre base de connaissance http www utimaco com myutimaco sous la rubrique 106898 SafeGuard Easy and SP2 Configuration for Windows XP 106898 SafeGuard Easy et SP2 Configuration pour Windows XP Dans la zone de recherche Search recherchez 106898 Le r pertoire Tools du CD contient galement un outil permettant de d finir de fa on automatique les propri t s n cessaires pour proc der l administration centrale ou distante Conditions m Microsoft High Encryption Package La condition pour l administration centrale est la prise en charge le chiffrement avec des cl s de 128 bits par les syst mes d exploitation du client du serveur et de l ordinateur faisant fonction de console d administration A cet effet le High Encryption Package de Microsoft doit tre partout install Vous pourrez d finir si ceci doit tre install avec Internet Explorer Aide propos d Internet Explorer Degr de cryptage Le High Encryption Package est install en standard dans Windows XP et partir du Service Pack 2 dans Windows 2000 ou toute version plus r cente m Ports Client e
205. easy M Chiffrement Description de la fonction Ajoute les proc dures d authentification Windows avec l identification de la machine avec les fonctionnalit s TPM Cette fonctionnalit sera install e sur le disque dur local Co campoan requiert 545Ko sur votre disque Parcourir Utimaco Safeware AG Besoin en disque R initialiser lt Pr c dent Annuler Pour le reste aucun autre param tre de configuration sp cial n est n cessaire dans SafeGuard Easy 348 23 6 1 Int gration de machine initiale Lorsque le syst me est d marr pour la premi re fois suite l installation de la fonctionnalit de liaison l Assistant de liaison et d identification des ordinateurs de SafeGuard est activ et informe l utilisateur que la liaison n a pas encore t activ e SafeGuard Authentication Machine Binding EE i E utimaco Welcome to the SafeGuard Authentication Machine Binding Wizard SafeGuard Authentication protects your hard disk by providing secure authentication and also ensures that your hard disk cannot be used in any other pe or laptop but the current one The machine binding for this computer has not yet been activated To activate it type in the administrator passphrase for your computer s hardware security chip Once the password has been confirmed a secret key will be generated for your computer Press Continue to start the proce
206. eb ainsi que la prise en charge de Windows Vista Pour de plus amples informations contactez votre partenaire commercial SafeGuard Easy REMARQUE Dans le r seau et pour des raisons techniques et d organisation il peut y avoir naturellement plusieurs serveurs SGE auquel peuvent tre affect s les clients SafeGuard Easy Dans la version 4 0 SafeGuard Easy ne prend en charge aucun m canisme de synchronisation entre les serveurs Cette fonctionnalit est fournie dans certaines circonstances par une base de donn es avec m canismes de r plication 30 1 2 Console d administration SGE La console d administration est un programme qui acc de la base de donn es du serveur et qui lance par ex la distribution centrale des fichiers de configuration L acc s la console d administration est r serv des utilisateurs privil gi s T ches types de la console d administration m interrogation des param tres des clients SGE et d termination de leur tat Hors connexion Standard Push m regroupements de clients SGE pour simplifier l administration m g n ration de nouvelles configurations distribu es aux clients SGE m surveillance du traitement correct des fichiers de configuration distribu s La console d administration ne doit pas n cessairement fonctionner sur la m me machine que le serveur SGE II suffit de conna tre le nom de l ordinateur serveur SGE et une connexion r seau doit tre pr
207. eessessesssossssessesseeseess f Longueur de cl z Cl DANale 55551 cossi eker nirs resserre Cl al atoire 139 140 144 146 146 146 147 147 147 12 11 3 6 11 3 7 11 4 11 4 1 11 4 2 11 4 3 D finition de cl s Modifier les cl s de chiffrement Algorithmes S lection d algorithme esssesesersesesssrsereeerss Algorithmes SafeGuard Easy eeesessssssersreeses Changement d algorithme eesesesseessssseseseeeo Affichage de l tat de chiffrement dans l Explorateur Windows Cr er une image d un disque dur chiffr 148 149 150 150 150 152 153 154 Cr ation de profils utilisateur 157 12 1 12 2 12 2 1 12 2 2 12 2 3 12 3 12 4 12 5 12 6 12 6 1 12 6 2 12 6 3 12 6 4 12 6 5 D termination de t ches d administration Utilisateurs pr d finis eesesessssssssesesesesessss L utilisateur SYSTEM sesesesssssessssssscesssssesesoss Utilisateur USER ses Utilisateur AUTOUSER ssseessessssseossssesesessssso Cr ation d utilisateurs sssssssssssssssssssoseseoeo Copie d un utilisateur Suppression d un utilisateur Caract ristiques d utilisateur Longueur minimum du nom de l utilisateur Authentification avec un jeton Utilisateur par d faut mot de passe uniquement sissors sorrisi vosisi sirri ossi iro G n ration d un code C R abr ge esee Personnalisa
208. eg le syst me de fichiers n est pas coh rent La migration de SafeGuard Easy a chou Veuillez vous reporter au manuel d utilisateur de SafeGuard Easy pour ex cuter SGElnteg R T Informations du programme d installation x Erreur 2006 SGElnteg Le syst me de fichiers est inconsistent La migration de SafeGuard Easy a chou Regardez s il vous pla t dans le manuel d utilisateur de SafeGuard Easy pour ex cuter SGElnteg exe R La proc dure d installation est alors interrompue Pendant la proc dure d installation automatique l erreur 2006 s inscrit dans le fichier journal du programme d installation de Windows la journalisation doit tre activ e 4 Entrez SGElnteg R dans la ligne de commande Vous trouvez SGElnteg dans le r pertoire Tools du c d rom d installation de SafeGuard Easy 5 SGElnteg r pare les fichiers et le syst me de fichiers en deux tapes il corrige dans un premier temps toutes les erreurs de fichiers qui n exigent pas un red marrage de l ordinateur Si des erreurs de fichiers requi rent un red marrage de l ordinateur SGElnteg lance la v rification du disque dur Chkdsk Si l utilisateur accepte le red marrage de l ordinateur Chkdsk sera lanc 5 3 2 A propos du programme de r paration Le programme de r paration SGElnteg est lanc automatiquement lors de la mise jour de la version actuelle de SafeGuard Easy L utilisateur l administrateur
209. einstellungen E Ca Windows Einstellungen E A Administrative Vorlagen af Renuitzerkanfinrwatian 3 Configuration Ordinateur Param tres Windows SafeGuard Universal Token Interface les r glages suivants sont possibles st strate de re _ _ CCS ction Affichage Il amp FE e Arbre Ai Strat gie Ordinateur local Services SCardSvr ETKSRY A Configuration ordinateur 3 Index du slot pr ferr 0 Q Param tres logiciel Protection renforc e de la D sactiv e E 4 Param tres Windows Module PKCS 11 etpkcs11 dil E SafeGuard 3 M canisme crypto RSA Enveloppe asym trique H Audit E lgorythme sym trique pa 3DES 9 Universal Token Interface laigorythme du hash MDS 6 Scripts d marrage arr t Bce par d faut Microsoft Enhanced Crypl Token ins r Param trage n cessaire Aladdin e Token Services SCardSvr ETOKSRV Verisign USB Token Module PKCS 11 etpkcs11 dll partir du r pertoire SYSTEM32 RSA SecurlD 800 Services SCardSvr Module PKCS 11 pkes11 dil Pour ajouter le module PKCS 11 pour RSA vous devez indiquer le chemin complet AVERTISSEMENT Vous devez poss der une version pr cise de RSA Authenticator Client Pour de plus amples informations contactez le fabricant de votre jeton La version 4 50 de SafeGuard Easy ne prend en charge plus RSA Authenticator Utility
210. el s par Utimaco 8 Aper u de l administration SafeGuard Easy peut tre configur par le biais du programme de configuration Assistant de configuration pour le d ploiement ou via l utilitaire d administration SafeGuard Easy L administration permet d intervenir directement sur la configuration SGE de l ordinateur Elle sert l administration locale sur un ordinateur unique L assistant de configuration pour le d ploiement ne change rien aux param tres locaux mais il r unit les param tres SafeGuard Easy dans un fichier distribu ensuite aux clients Les programmes d administration pr sentent peu de diff rence en mati re d options de r glage Dans les deux programmes il est prescrit de s authentifier avec des donn es SafeGuard Easy correctes pour pouvoir proc der des modifications Lequel des deux programmes doit tre utilis d pend du contexte Vous trouverez plus de d tails ci apr s 8 1 Distinction des fonctions Vous devez d abord d terminer si la fonction de l administrateur du syst me doit tre combin e avec celle du simple utilisateur ou si elle doit s en distinguer Quand les fonctions sont s par es il est possible d int grer un ou plusieurs assistants d administration suppl mentaires m Fonction combin e l utilisateur est lui m me l administrateur du syst me Il configure SafeGuard Easy sur son ordinateur pour son usage personnel une personne Tous les param tres so
211. elui ci n essaiera pas d entrer de lui m me en contact avec le r seau Les requ tes ayant chou du client au serveur n affectent pas l tat Hors connexion un client L tat Hors connexion peut tre assign d s l installation un client en attribuant le nom de serveur OFFLINE 510 L tat Hors connexion influe galement sur la manipulation de requ tes cr es pour l ordinateur commut en mode Hors connexion et devant tre ex cut es sur celui ci Si l administrateur cr e une ou plusieurs requ tes pour le client celles ci sont mises en file d attente mais attendent en vain leur reprise par le client SGE tant donn qu aucune liaison avec le serveur SGE n est tablie Pour que les modifications soient transf r es malgr l absence de liaison client serveur une fonction de la console d administration exporte toutes les requ tes valables pour un client hors connexion dans un fichier L administrateur envoie ce fichier par courrier lectronique l utilisateur du client Hors connexion Celui ci importe le fichier l aide des utilitaires fournis par SafeGuard Easy D s que des requ tes sont enregistr es dans un fichier de requ tes elles re oivent l tat En attente dans la file d attente du serveur Ceci emp che l ajout post rieur de fichier de requ tes D s que le fichier de requ tes a t import les requ tes sont trait es dans l ordre prescrit sur l ordina
212. encamnmanoneniansssanass O4 Ouverture de session comme utilisateur par d faut ss 85 Ouverture de session tendue via F2 86 Ouverture de session avec jeton 87 Modifier le mot de passe SafeGuard Easy avec la touche F10 88 Fonction d aide pour r initialiser les mots de passe oubli s avec la touche F9 89 chec d ouverture de session 90 Imposer l ouverture de session PBA avec la touche F2 ss 91 Ouverture de session automatique dans le syst me d exploitation 99 Compatibilit avec composants d ouverture de session d autres concepteurs 93 Aper u de l administration 95 8 1 8 2 8 3 8 3 1 8 3 2 8 4 8 4 1 8 4 2 8 4 3 8 4 4 8 4 5 8 4 6 8 4 7 8 5 8 5 1 8 6 Distinction des fonctions sessssessessssessssessss 96 D marrage de l utilitaire d administration et de l assistant de configuration pour le d ploiement 97 Fonction Administration 98 Fen tre d administration essessessessssssssssesse 99 Barre d ic nes et d outils sesseseeeeessesssssse 101 Assistant Fichier de configuration 102 R utilisation de fichiers de configuration de versions SafeGuard Easy ant rieures 103 Cr er un nouveau fichier de configuration 104 Cr ation d un fichier de configuration pour une installation 105 Cr ation d un fichier de configuration pour
213. enregistrer des informations sur les clients SGE La module Remote Administration administration distance galement disponible permet en outre une configuration cibl e d un seul client via le r seau Mot de passe utilisateur commun pour SafeGuard Easy et Windows synchronisation des mots de passe Les appels pour oubli du mot de passe sont des v nements quotidiens pour les collaborateurs du service d assistance La r gle d or est moins l utilisateur doit m moriser de mots de passe moins le personnel de support sera sollicit La fonctionnalit de mot de passe de SafeGuard Easy permet de r duire le nombre d appels utilisateur dans la mesure o le logiciel peut tre configur pour appliquer le m me mot de passe pour Windows et SafeGuard Easy synchronisation en un simple clic Une fois la synchronisation effectu e les utilisateurs ouvrent leur session avec le m me mot de passe en mode authentification avant amor age de SafeGuard Easy et dans le syst me d exploitation Support Wake On LAN s curis L authentification avant amor age de SafeGuard Easy offre une protection optimale contre les attaques des pirates informatiques Cependant pour garantir le plus s rement possible la distribution de logiciels via l activation distance quand le chiffrement de disque dur est actif SafeGuard Easy propose de nouvelles fonctions T l assistance s re Requ te R ponse Le personnel d assist
214. ent l aide d un fichier de migration pr configur Dans les deux cas vous utilisez l assistant de migration 5 1 Mise jourlocale Ex cution d une mise jour locale 1 A partir du CD de SafeGuard Easy acc dez au r pertoire CLIENT et lancez l installation avec Setup exe 2 SafeGuard Easy d tecte qu une version ancienne est d j install e sur un poste de travail et l indique dans une bo te de dialogue 5 SafeGuard Easy Setup Bienvenue dans l assistant d installation de SafeGuard Easy Une ancienne version de SafeGuard Easy est d j install e L installation va r aliser une promotion 1 SafeGuard Easy Setup d installation de SafeGuard Easy Votre syst me de fichiers est en train d tre analys Patientez s il vous pla t 4 Sile noyau syst me est en ordre la mise jour fonctionne sans probl me et l cran de bienvenue appara t Si le noyau syst me est endommag il doit tre r par 64 LEE RBIIIRBII 5 Dans les tapes suivantes acceptez la licence d utilisation sp cifiez le r pertoire d installation de SafeGuard Easy et s lectionnez les composants SAL Server Connection etc 6 La mise jour commence 7 La bo te de dialogue Administrateur SafeGuard Easy appara t Seul l utilisateur SGE SYSTEM est autoris ex cuter une migration sur un poste de travail Pour l authentification il convient de taper ici le mot
215. ents tri s par niveau d avertissement ind pendamment de l application les ayant activ s par exemple tous les v nements critiques onsole Racine de la console at gie Ordinateur local Configuration ordina Param dows SafeGuar jol xi 7 Console 2 ID a m elxl Action Affichage favors lm B e Arbre Favoris Applicati 3 LA Racine de la console A SafeGuard Easy Server 5408 m Strat gie Ordinateur local A SafeGuard Easy Server 5409 Nicht r Non configur B Configuration ordinateur A SafeGuard Authentication Components Ev nements t 2006 Token Non configur a Param tres logiciel A SafeGuard Authentication Components Authentification 1512 Poste Non configur B Param tres Windows A SafeGuard Authentication Components Ev nements 3000 Servic Non configur E SafeGuard 2006 Carte Non configur E Audit E Destinations Alerte F3 Critique P Erreur Avertissement H3 Info G ADM Settings Viewer 3 Universal Token Interface EEI Scripts d marraae arr t Vous changez d affichage en cliquant sur les ic nes an et 2 430 29 6 Visualisation des v nements audit s les v nements audit s peuvent tre visualis s dans l observateur d v nements ou dans le fichier journal Les v nements audit s affichent les param tres suivants Ordinateur nom de l ordinateur sur lequel l v nement audit s est produit Date date syst m
216. er un ordinateur portable en cas de vol d s que l appareil vol est connect Internet la demande du propri taire l gal il permet galement d effacer des donn es confidentielles de l ordinateur vol Lenovo est le seul constructeur int grer Computrace dans le mat riel de l ordinateur BIOS persistent agent Gr ce sa compatibilit avec SafeGuard Easy le logiciel Computrace fonctionne avec des disques durs chiffr s SafeGuard Easy est compatible avec Computrace Complete avec BIOS Persistence mais pas avec Software Persistence 376 26 Maintenance distance Requ te R ponse Assistant de d blocage distance SafeGuard Easy 4 Code de requ te Veuillez entrer le code de requ te que vous avez re u du demandeur Peere SafeGuard Easy propose la proc dure de Requ te R ponse pour r initialiser des mots de passe SafeGuard Easy ou de jeton oubli s La proc dure Requ te R ponse est tr s s re et tr s efficace m pas d change de donn es confidentielles m coute ou interception de donn es est sans effets m utilisation galement avec des appareils sans connexion r seau m utilisateur peut reprendre son travail en tr s peu de temps 26 1 Mode de fonctionnement Helpdesk B f Aide avec lt F9 gt Mot de passe Challenge s ID SYSTEM 1G925JX897 Mot de passe SYSTEM Response ID d utilisateur 55ZA88QS02 CN Challenge Qh G925Jx897
217. erv es m me quand le code d amor age SafeGuard Easy MBR doit tre supprim avec la commande FDISK MBR FDISK MBR doit tre toujours utilis avec la plus grande prudence Attention proc dez avec pr cautions lorsque vous utilisez FDISK MBR Pour r tablir le type de partition vous devez d sinstaller SafeGuard Easy 14 6 change de donn es entre partitions d amor age Si pour certaines raisons il tait n cessaire d changer des donn es entre les partitions Professionnel et Priv le param tre Partager partitions non chiffr es l autorise dans les param tres de chiffrement Assistant de configuration SafeGuard Easy G n ral Gestionnaire d amor ac lt lt Chiffrement L utilsateurs La cl Aucun D finer La cl Aucun D finer La cl Aucun D finer a cl Aucun D finer Aucun D finer Aucun D finer Si ce param tre est renseign sur OUI l acc s aux partitions non chiffr es est possible m me quand la partition chiffr e a t amorc e 202 15 Support Token L authentification avec nom d utilisateur et mot de passe ne satisfait aujourd hui bien souvent plus aux exigences de la client le en mati re de protection optimale contre la transmission des tiers Pour cette raison SafeGuard Easy offre l ouverture de session avec une cl lectronique jeton USB comme alternative la m thode d ouverture de session tradit
218. es de Travail Requ tes Changement Mots de passe ind siderables Une requ te est par principe similaire la fonction d un fichier de configuration cf Cr er un nouveau fichier de configuration et ex cute des modifications de param tres existants d un client SafeGuard Easy Une modification peut tre une petite intervention dans la configuration du client SafeGuard Easy mais une d sinstallation de SafeGuard Easy est aussi possible Seules des installations via requ te ne sont pas pr vues Si besoin est les requ tes int grent galement des fichiers de configuration existants Le succ s l chec d une requ te sont imm diatement transmis au serveur ce qui fait que l administrateur est toujours inform avec pr cision de l tat actuel Une requ te n est ex cut e avec succ s que lorsque les informations de cr ation Identifiant d un utilisateur et mot de passe SafeGuard Easy correspondent celles d un utilisateur SGE sur le client SGE Le profil des droits de l auteur doit en outre permettre l ex cution des modifications indiqu es sur le client Les requ tes sont ordonn es suivant la date de leur cr ation dans une file d attente serveur o elles attendent que le client vienne les chercher Les clients commencent toujours par la requ te la plus ancienne 31 8 1 Cr ation de requ tes De nouvelles requ tes peuvent tre labor es pour des clients SGE individuels ou pour des gro
219. essage WOL Vous pouvez adapter le message WOL Une authentification Windows n est pas autoris e de mani re centralis e l aide des m canismes standard du syst me Windows entr es de la base de registre Ps Wake Orr LAN Arr t du syst me Ins rer le bouton Red marrer Les utilisateurs doivent red marrer l ordinateur lorsque la cl de registre DWORD a t d finie sur 0 HKEY_LOCAL MACHINE SOFTWARE Utimaco SGEasy WOLDisableShutdown Modifier le message Une adaptation du texte du message s affichera l cran si vous avez saisi un nouveau en dessous de la cl de registre suivante STRING HKEY_LOCAL_ MACHINE Software Utimaco SGEasy WOLNotice 19 4 Annulation temporaire du verrouillage d activation distance Si un utilisateur doit utiliser son ordinateur malgr le verrouillage WOL il est possible d annuler provisoirement ce verrouillage Pendant la phase de pr amor age une ic ne de disquette s affiche pendant environ 5 secondes dans la partie sup rieure gauche de l cran FM r21 pour amuler l ouverture de sion automatique Si pendant cette dur e F2 est actionn e la PBA appara t et l utilisateur peut ouvrir normalement sa session avec les donn es SafeGuard Easy valides et plus tard dans Windows L utilisateur remarque que l ordinateur se trouve en mode Wake On LAN un petit avertissement clignotant au dessus de F2 Si l ordinateur est
220. et s lectionnez un client SafeGuard Easy 2 Via le menu Postes de travail Afficher la configuration il est possible d interroger les d tails des param tres SGE 3 Vous voyez appara tre une fen tre avec quatre onglets identiques ceux de SafeGuard Easy Administration c est dire G n ral Chiffrement Gestionnaire d amor age et Utilisateurs Chaque onglet montre la configuration SGE du client s lectionn Affichage pour la Configuration Poste de Travail WK503 G n ral Gestionnaire d amor age Chiftement Les utisateurs Param tre Configuration Mots de passe interdits Type d installation Par partition Authentification avec token Non Mode d initialisation du Token Non Activer l activation distance Non Nombre de connexion automatique 0 Activation du mot de passe au d marrage Qui Masquer la longueur du mot de passe Non Longueur minimum de nom de l utilisateur Longueur minimum du mot de passe 6 D lai minimal de l utilisation du mot de passe 30 jour s Historique des mots de passe 4 Composition du mot de passe Caract res 0 Composition du mot de passe Majuscules et minuscules m lang es 0 Composition du mot de passe Num ros 0 Composition du mot de passe Symboles 0 Protection MBR Afficher le menu Action pour le MBR Afficher un avertissement Dui Action pour le MBR Restaurer le MBR Qui Action pour le MBR Arr ter le syst me Non Acc s la partition de configuration de Compa
221. et serveur communiquent par le biais du service RPC DCOM de Microsoft Vous pouvez d terminer librement via quel port ou quel protocole la communication doit tre tablie Si vous utilisez un programme de pare feu les ports via lesquels le client et le serveur communiquent doivent tre d bloqu s Pour plus de d tails sur RPC DCOM consultez la documentation Microsoft correspondante Authentification client serveur Pour l authentification mutuelle SafeGuard Easy utilise un chiffrement s r de type cl publique cl priv e Pour g n rer une paire de cl s la proc dure RSA est utilis e avec une longueur de cl de 1 024 bits La communication entre la version Client et Server est prot g e par le protocole Interlock Quand il n existe pas encore de paire de cl s RSA elle est g n r e sur le client et sur le serveur au moment de l installation du logiciel SafeGuard Easy Une fois les touches de la paire g n r es ces derni res sont stock es sans modification sur l ordinateur Lorsque le serveur et le client entrent en contact ils changent des cl s publiques et s authentifient mutuellement pour la premi re fois Le client et le serveur enregistrent la cl publique et se reconnaissent ensuite de fa on automatique Ainsi lorsque le client et le client communiquent nouveau ils ont recours la cl publique chang e pour v rifier la cl priv e de leur correspondant et v rifier son iden
222. euillez taper l identifiant et le mot de passe de l utilisateur Vous ne pouvez d sinstaller SafeGuard Easy que si vous poss dez les droits correspondants Utilisateur system Mot de passe M ouverture de session tendue Utilisez la fonction Requ te R ponse si vous ne poss dez pas actuellement les droits n cessaires la d sinstallation de SafeGuard Easy Requ rir lt Pr c dent Annuler Side Tout utilisateur qui souhaite d sinstaller le programme doit entrer son nom d utilisateur et son mot de passe SafeGuard Easy L utilisateur doit poss der la bonne cl Nouveaut s de SafeGuard Easy Apr s avoir entr les donn es utilisateur correctes cliquez sur Suivant ce qui confirmez la v rification de s curit Entra ne la d sinstallation de SafeGuard Easy de fa on automatique 6 2 D sinstallation avec Requ te R ponse Si un utilisateur SGE n est pas autoris en raison de son profil d sinstaller SafeGuard Easy l administrateur peut lui octroyer ce droit l aide de la proc dure Requ te R ponse Dans ce but l utilisateur et l administrateur changent un code de requ te et de r ponse L utilisateur qui g n re le code de r ponse administrateur doit conna tre sur l ordinateur de l utilisateur un profil disposant d un droit de d sinstallation Ce profil utilisateur doit en outre toujours avoir au moins les m mes droits que le demandeur sur l ordinateur de l utilis
223. eul un utilisateur poss dant la cl correcte peut acc der aux lecteurs chiffr s Une cl se compose d une s rie de caract res nombres lettres caract res sp ciaux et tout comme un mot de passe elle est soumise certaines r gles Les cl s de lecteur doivent tre attribu es avant le premier chiffrement Pour tous les lecteurs vous devez soit d finir vous m me une cl soit faire g n rer une cl al atoire par le syst me 11 3 1 Gestion de cl s La gestion des cl s SafeGuard Easy enregistre les cl s de fa on s re Toutes les cl s sont conserv es dans un domaine chiffr du noyau syst me SafeGuard Easy chiffr es avec une cl de chiffrement savoir la cl KEK pour K ey E ncryption K ey La KEK proprement dite n est pas m moris e sur le disque dur mais cr e partir du mot de passe SafeGuard Easy 11 3 2 Cr ation de cl Sans mot de passe correct les cl s ne sont pas accessibles Si la PBA est active les cl s ne sont cr es pour le d chiffrement des lecteurs que lorsque les donn es SafeGuard Easy correctes ont t saisies dans la PBA Si la PBA est d sactiv e les cl s sont chiffr es et m moris es sur le disque dur Le chiffrement et la gestion des cl s sont malgr cela absolument identiques la s lection PBA activ e L utilisation du mot de passe ou du Scan Code ne l est pas Sans attendre au niveau de la PBA que l utilisateur tape manuellement son nom
224. eurs ne peuvent plus ouvrir de sessions sur le syst me Dans de tels cas un noyau syst me intact du poste de travail concern est n cessaire pour restaurer l tat initial et pour r tablir les capacit s de fonctionnement du syst me Cr ation de supports de restauration d urgence et sauvegarde du noyau syst me Cette sauvegarde automatique du noyau syst me vite l administrateur la t che de rappeler les sauvegardes n cessaires aux utilisateurs ou de les effectuer lui m me C est un m canisme de sauvegarde automatique qui se charge de cette t che dans le cadre de l administration centrale Il requiert du client SGE l envoi d une sauvegarde du noyau syst me au serveur SGE apr s un enregistrement avec succ s Apr s des interventions dans la configuration SGE par ex via fichiers de configuration ex cut s le client effectue galement la sauvegarde l envoie au serveur et crase les anciennes donn es La sauvegarde automatique garantit que l administrateur ne d pend pas de la pr sence absence des sauvegardes des utilisateurs en cas d urgence 31 10 1 Stockage du ou des noyaux syst me dans le r pertoire BACKUPS Dans la configuration de base SafeGuard Easy enregistre le noyau syst me d un client SGE sauvegard dans le r pertoire SGE de l ordinateur qui contient la base de donn es SGE en r gle g n rale le serveur SGE Un dossier de sauvegarde est cr pour copier les noyaux syst
225. eurs peuvent galement se servir d autres outils compatibles SafeGuard Easy par exemple Rescue and Recovery de Lenovo disponible galement pour les plates formes non Lenovo 12 1 3 Nouveaut s de SafeGuard Easy La version 4 50 de SafeGuard Easy corrige les probl mes apparus dans les versions pr c dentes Ces modifications sont consign es dans le fichier Lisezmoi txt Nouveaut s de SafeGuard Easy 4 50 Prise en charge des derni res versions des services de syst me d exploitation Le fonctionnement du client SafeGuard Easy a t test avec la derni re version des plates formes prises en charge notamment Windows XP Service Pack 3 et Windows Server 2003 Service Pack 2 Prise en charge de dernier mat riel et intergiciel des jetons SafeGuard Easy a t actulais de prendre en charge le dernier mat riel et le dernienr intergiciel des jetons d Aladdin CardOS et de RSA SID800 SafeGuard Easy permet d sormais d int grer le jeton USB NG Flash d Aladdin Le jeton permet d identifier l utilisateur pour le service PBA de SafeGuard Easy Pre Boot Authentication et les applications de gestion de la m me fa on que les autres jetons d Aladdin Verisign et RSA SafeGuard Easy 4 50 est toujours compatible avec le format de donn es SID800 de RSA Installation en option de l audit de SafeGuard Easy La fonctionnalit SafeGuard Easy Logging l audit de SafeGuard Easy n est plus install e par d faut penda
226. euvent ouvrir une session avec les donn es d acc s du mod le Si SYSTEM et UTILISATEUR sont d finis par d faut 13 autres utilisateurs peuvent tre galement cr s Pour des raisons de s curit il est conseill de n utiliser les mod les qu avec la fonction Renommer 12 6 6 Date d expiration La date d expiration indique la dur e de validit maximum d un profil d utilisateur SGE Vous pouvez sp cifier un jour de r f rence ou une p riode auquel l utilisateur pourra ouvrir une derni re session dans le syst me Vous pouvez taper directement la date ou la p riode Ce param tre est notamment utile dans les cas o l utilisation d un poste de travail n est pr vue que pour un certain temps p ex employ s temporaires ou tudiants etc Une fois le d lai coul le poste de travail est verrouill pour l utilisateur Ce param tre n a aucun effet sur l utilisateur SYSTEM 12 7 Droits utilisateur R fl chissez aux droits d acc s susceptibles d tre octroy s aux diff rents utilisateurs de SafeGuard Easy Pour des raisons de s curit l attribution des droits pour les diff rents utilisateurs doit tre m rement r fl chie Vous pouvez autoriser des utilisateurs l acc s des param tres temporaires et permanents Les param tres temporaires ne sont valables que pour la dur e d une ouverture de session Apr s un red marrage de l ordinateur ils ne sont plus valides et les
227. feGuard Authentication Recovery gt BE RIMISEMIE Please enter the administrator password used during initialization Password Go Dans cette bo te de dialogue chaque mot de passe de puce de s curit Lenovo entr l identification initiale de la machine doit tre saisi M me quand le mot de passe a t modifi apr s l identification initiale de la machine Si la fonction de restauration est utilis e parce qu une nouvelle puce de s curit a t install e le mot de passe de l ancienne puce doit tre entr pour la restauration A partir de CSS gt 6 0 la bo te de dialogue est remplac e par la bo te de dialogue SafeGuard Authentication Restauration et l utilisateur Windows le mot de passe et le domaine sont demand s 352 SafeGuard Authentication Recovery SafeGuard Authentication Please enter an user with administrative privileges User Password Domain D s que avez de nouveau acc s au syst me l identification initiale de la machine doit tre nouveau ex cut e quand une des situations suivantes entra n un chec de la v rification m Le mat riel Module de s curit est endommag m Le Master Key du module de s curit a t modifi m La signature de r f rence a t modifi e m La signature de r f rence manque m La paire de cl s n cessaire pour l op ration de signature a t
228. feGuard Easy vous devez disposer d un enregistrement d amor age principal sans d faut L utilisation de programmes de type Image Cloner peut avoir affect cet enregistrement Nettoyez l enregistrement d amor age principal MBR en d marrant l ordinateur avec une disquette un CD ou DVD syst me identique celui du disque dur recommand et ex cutez fdisk MBR m Quand la partition d amor age est convertie de FAT en NTFS alors que le syst me n a pas encore t r initialis avant l amor age SafeGuard Easy ne doit pas tre install Il est possible ce faisant que l installation ne soit pas termin e tant donn que le syst me de fichiers est encore de type FAT au moment de l installation alors que NTFS a t d tect au moment de l activation Dans ce cas un red marrage est n cessaire avant d installer SafeGuard Easy SafeGuard Easy est constamment perfectionn Votre version peut par cons quent comporter des nouveaut s n ayant pas pu tre prises en compte avant l dition finale de ce manuel ou de l aide en ligne Ces modifications sont consign es dans le fichier Lisezmoi txt 2 2 Conditions pour l installation Pour installer SafeGuard Easy diverses conditions doivent tre remplies sur un poste de travail m Microsoft Windows Software Installer MSI v2 0 Pr sent par d faut dans Windows XP Avec Windows 2000 uniquement partir du ServicePack 3 m High Encryption package
229. ffrement avec des cl s respectivement diff rentes peut tre ex cut en utilisant divers algorithmes A ES 128 AES 256 Rijndael 256 IDEA 3DES DES DES SB II Blowfish 8 Blowfish 16 STEALTH 40 XOR et XOR SB I A B Selon sa d finition la cl est chiffr e et non stock e dans le syst me pour des raisons de s curit chaque amor age du syst me elle est g n r e de nouveau partir d un code enregistr sur le disque dur et du mot de passe SafeGuard Easy de l utilisateur Seules les zones du syst me ou des partitions isol es ou encore un maximum de quatre disque durs peuvent tre chiffr s Les syst mes de fichier suivants sont pris en charge FAT 12 FAT 16 FAT 32 HPFS NTFS et NTFS5 Le nombre de partitions d un disque dur est limit huit 138 Pour d finir avec pr cision la protection d acc s votre syst me nous vous recommandons les modules suivants de la famille de produits SafeGuard m Droits d acc s sp cifiques aux applications ASAR labore un concept de s curit tridimensionnel qui permet de sp cifier explicitement des droits entre les utilisateurs les donn es et les applications Ceci repr sente une protection contre la menace caus e par certains virus actuellement encore inconnus et fournit un haut degr de s curit m me dans un code non administr ou des environnements avec versions Windows mixtes Plug amp Play Management PnP Les utilisateurs peuvent
230. fit m D sactiver l option RAS de l cran d ouverture de session Utimaco Quand la case est coch e l option Ouverture de session via r seau RAS est d sactiv e dans la bo te de dialogue d ouverture de session Utimaco m Afficher le plugin SafeGuard dans les crans d ouverture de session tiers Quand cette option est active la bo te de dialogue d ouverture de session tiers indique galement que SafeGuard Authentication est install Technologie NT rr nn Utilisateur administrateur Mot de passe Lx Annuler Options gt Plug in de s curit SafeGuard Copyright 1996 2004 Utimaco Safeware AG 296 m Replace bitmap with Remplacer le bitmap par Ce champ d dition qui s affiche dans la bo te de dialogue de connexion permet de sp cifier un fichier bitmap tel qu un logo de soci t avec un arri re plan standard Le bitmap doit tre au format bmp et doit r sider dans le dossier System32 du dossier d installation de Windows La taille de l image est fix e 413x140 pixels Utilisateur Administrateur Mot de passe I Domaine FERvER0S z JT Ouvrir la session en utilisant une connexion distance OK Arr ter le ssst me Aide 298 17 3 2 Verrouillage du poste Au verrouillage de poste on d termine apr s combien de tentatives infructueuses d ouverture de session l ordinateur va tre verrouill et comment le temps d attente entre des tentatives
231. ge et d sactivez N afficher que les param tres de strat gie pouvant tre enti rement g r s Double cliquer sur la strat gie pour l ouvrir et proc der aux r glages la page des Propri t s de SGEasy icix Action Affichage I e mlm e rbre Strat gie Ordinateur local g Configuration ordinateur l Param tres logiciel Propri t s de SGEasy 2x E Param tres Windows 4 Mod les d administration Strat gie Expliquer 4 Windows Components E SafeGuard i SGEasy Sgeasy H E Authentication c re H System Non configur e C3 Network Activ e CA Printers C D sactiv e Configuration utilisateur 3 F 0 Param tres logiciel IV Ouverture de session automatique s curis e Param tres Windows JV Bo te de dialogue SGEasy pour annuler le verrouillage de poste d Mod les d administration M Affichage de l image d arri re plan sur le Bureau d ouverture de se F Ouverture de session automatique s curis e avec cartes puce U IV R initialisation de param tres de chiffrement temporaires la ferme Utilisation CPU standard pour le chiffrement Fi 00 FN Utilisation CPU modifiable pour le chiffrement Intervalle d interrogation du client en heures fe a x Les strat gies peuvent avoir trois tats diff rents m Non configur e Les param tres actuel
232. hiffrement de lecteurs 1 Temps coul 0 16 52 Progression du chiffrement pour Temps estim 0 00 00 disque dur Vitesse de chiffrement Le chiffrement se fait en arri re plan ce qui permet l utilisateur de poursuivre son travail Si de tr s petites partitions ou uniquement des zones du syst me sont chiffr es il peut arriver que la bo te de dialogue ne soit pas visible 3 3 1 Masquer la bo te de dialogue SafeGuard Easy permet de masquer l cran de statut du chiffrement Pour masquer la bo te de dialogue entrez une nouvelle cl de registre DWORD HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy ShowECView 0 3 3 2 D finition de la vitesse de chiffrement La vitesse laquelle le chiffrement s effectue est de 100 par d faut mais vous pouvez la modifier avec le r gulateur Plus le pourcentage est lev plus le chiffrement est rapide EE Temps estim 0 00 00 pourcentage r gulateur Si vous utilisez le r gulateur pour r duire la vitesse de chiffrement SafeGuard Easy n enregistre pas la vitesse de chiffrement r duite Une fois la station de travail red marr e le chiffrement reprend sa vitesse optimale 100 D finition d une vitesse de chiffrement par d faut Vous pouvez r gler la vitesse du processus de chiffrement Lorsque le syst me red marre la vitesse de chiffrement adopte cette valeur Pour ce faire entrez une nouvelle cl
233. i t Issue abbreviated C R Code Code C R abr g et l utilisateur SYST ME g n rent des codes de r ponse courts qui ne comptent que 30 caract res tandis que les utilisateurs ordinaires de SafeGuard Easy g n rent des codes de r ponse qui comptent 56 caract res Quand vous le tapez ou le transmettez l utilisateur ceci peut entra ner un pourcentage d erreur lev Pour plus de d tails sur la proc dure Requ te R ponse veuillez consulter le chapitre Administration distance 12 6 5 Personnalisation du compte utilisateur Les mod les ont une fonction bien particuli re Ils servent de profils d utilisateur de base et sont en r gle g n rale utilis s quand SafeGuard Easy doit tre install sur plusieurs ordinateurs avec un fichier de configuration S il n existait pas de mod les les utilisateurs poss deraient le m me ID d utilisateur sur tous les ordinateurs Ceci va cependant l encontre dans de nombreux cas des directives en mati re d organisation dans de nombreuses entreprises exigeant la pr sence de nom mots de passe d utilisateur individuels p ex nom code personnel etc Dans de tels environnements un profil d utilisateur SafeGuard Easy peut tre alors d fini comme mod le Il en r sulte que cet utilisateur de SafeGuard Easy re oit un nouveau nom d utilisateur par cons quent personnalis la premi re ouverture de session avec PBA La fonction de mod le est utili
234. iable sp ciale COMPUTERNAME Le nom de l ordinateur est int gr avec cette variable ind pendamment de la plate forme La variable COMPUTERNAME est toujours convertie dans le nom NETBIOS de l ordinateur Les r gles suivantes sont en outre valables m Les variables d environnement non d finies g n rent des liens vides m Quand la variable dans le champ d identification de la machine est trop longue elle est convertie en m Pourles noms de variables il n est pas n cessaire de respecter la casse majuscules minuscules m Quand un signe de pourcentage est n cessaire dans le lien utilisez m La conversion de variables n est ex cut e qu une seule fois au moment de l installation pas chaque d marrage de l ordinateur 130 9 3 2 Message d avertissement Legal Notice Il s agit ici d une zone de texte de contenu librement configurable affich avant l ouverture de session avec les donn es SafeGuard Easy Dans certains pays l affichage d un champ de texte d un contenu donn est prescrit par le l gislateur Le titre peut contenir jusqu 68 caract res et le bloc des textes peut contenir jusqu 10 lignes avec 70 caract res chacune Les donn es doivent tre confirm es par l utilisateur avant que le syst me poursuive 10 Enregistrement de d marrage principal Ef SafeGuard Easy Administration i loj x Fichiers affichage Utilisateur Aditance Extras
235. ialogue d authentification puis la bo te de dialogue R pertoire cible Vous donnez un nom au fichier de configuration 112 Authentification i 2 Assistant de configuration pour le d ploiement SafeGuard Easy E 21 x Authentification SafeGuard Easy Veuillez sp cifier l identifiant et le mot de passe qui seront utilis s pour ouvrir une session dans le syst me cible Notez que cette donn e pour l authentication n est pas v rifi ici Cette v rification sera faite quand le fichier de configuration fonctionnera sur le s syst me s s lectionn s ID utilisateur SYSTEM Mot de passe a Mot de passe pa lt Pr c dent Annuler Side L utilisateur SafeGuard Easy sp cifi ici doit exister sur le poste de travail sur lequel le fichier de configuration est ex cut et disposer des droits correspondants 8 4 6 Ex cuter le fichier Delta Mode d ex cution du fichier delta 1 D marrez le mode MS DOS 2 Acc dez au r pertoire o est install SafeGuard Easy 3 Tapez la commande EXECCFG EXE f lt chemin et nom du fichier de configuration gt et cliquez ensuite sur OK Tous les param tres sont affich s avec la commande EXECCFG EXE EXECCFG prend en charge le param tre Reboot qui entra ne l arr t apr s l ex cution avec succ s du fichier de configuration d fini Exemple C SGEasy EXECCFG f D Delta cfg Reboot
236. ible apr s l installation Les supports amovibles ne doivent pas tre connect s pendant l installation de SafeGuard Easy mais des exceptions sont possibles si par exemple une cl USB ne fonctionne pas avec le pilote Microsoft standard mais n cessite son propre pilote Premier chiffrement Les p riph riques amovibles ne sont pas sujets un premier chiffrement Ils sont format s d s que le chiffrement est activ la demande apr s l installation de SafeGuard Easy jection SG Les p riph riques amovibles sont trait s comme des disques durs si tant est qu un logiciel fourni par le constructeur du lecteur n est pas utilis Si un p riph rique amovible est chiffr seuls les utilisateurs disposant de droits d administrateur Windows peuvent jecter un p riph rique ins r Les utilisateurs qui ne disposent pas de droits d administration doivent utiliser SG Eject jection SG L option SG Eject figure dans le menu contextuel du lecteur 144 11 2 1 Chiffrement des disques durs Dans l exemple qui suit nous utilisons le chiffrement de disques durs la proc dure tant identique pour les lecteurs de disquettes et les p riph riques amovibles 1 S lectionnez un algorithme pour le disque dur 2 D finissez une cl 3 Cliquez sur Disques durs dans la rubrique Lecteurs Eg SafeGuard Easy Administration 10 x Fichiers Affichage Utilisateur A distance Extras Aide mge c r
237. ibles lecteurs ZIP MO Les disquettes et les p riph riques amovibles restent chiffr s d s qu on d marre l ordinateur partir de la partition chiffr e domaine professionnel Si vous s lectionnez la partition priv e en texte clair les lecteurs de disquette et amovibles ne sont pas chiffr s mais les utilisateurs de SafeGuard Easy qui disposent des droits utilisateurs ad quats peuvent activer ou d sactiver le chiffrement de fa on temporaire REMARQUE D autres partitions pr sentes sur l ordinateur Notebook peuvent tre chiffr es ou rester non chiffr es 14 2 Conditions m Une installation avec double amor age n est autoris e que lorsqu un seul disque dur est connect Si deux disques durs sont d tect s l option Double amor age est affich e en gris D autres disques durs peuvent tre connect s apr s l installation double amor age mais aucun support SafeGuard Easy ne sera toutefois garanti en ce qui concerne le chiffrement pour ce disque dur suppl mentaire m Avant l installation de SafeGuard Easy le disque dur existant doit comporter au moins deux partitions primaires avec respectivement un syst me d exploitation permettant l amor age m AVANT l installation de SafeGuard Easy tous les syst mes d exploitation seul Windows est pris en charge doivent tre install s et le partitionnement du disque dur d termin Les changements post rieurs ne sont pas recommand s
238. ication du nom de requ te Pour donner un autre nom et une autre description une requ te affich e sous l onglet Requ tes ouvrez la commande Changer le nom amp la description dans le menu Requ tes Les entr es modifi es sont imm diatement valid es 31 8 6 Suppression d une requ te Tant qu une requ te n a pas encore t ex cut e avec succ s les modifications ind sirables peuvent tre annul es Dans ce but la requ te doit tre retir e de la file d attente Dans le menu Requ tes Supprimer des requ tes une requ te marqu e est supprim e et retir e de la file d attente 31 8 7 File d attente La file d attente g n rale menu Postes de travail D tails de la queue comporte toutes les requ tes d finies pour les clients SGE leur tat actuel r ussi chou etc ainsi que des indications sur le moment o la requ te a t cr e D tails de la Queue Poste de Travail WK503 d x Nom de requ te Type de reg Date tat Code d erreur D finir les Changements Cr er 1110982954 Changement 16 03 2005 15 23 56 Echou 1132 D finir les Changements Ouvrir partir du Fichier Changement 16 03 2005 15 20 21 R ussi 0 D finir les Changements Cr er 1110982634 Changement 16 03 2005 15 18 31 R ussi 0 REMARQUE Le bouton Supprimer est actif quand aucune des entr es de file d attente s lectionn es n est sur En attente La f
239. ication sur le client SGE devant tre d plac Le traitement d une requ te pour enregistrement correspond peu pr s celui d une requ te normale Une fois l op ration termin e la console d administration entre la requ te pour enregistrement dans la file d attente D s qu un client SGE interroge l ancien serveur SGE il y trouve la requ te pour enregistrement qu il envoie au nouveau serveur SGE L ancien serveur SGE re oit pour finir du client SGE un rapport sur le nouvel enregistrement le client SGE tant alors supprim de l ancienne base de donn es SGE REMARQUE Le nouveau serveur SGE ne doit pas tre enregistr comme client SGE sur l ancien serveur SGE Vous pouvez d placer les clients SGE de fa on individuelle ou par groupes Une fois le client SGE d plac avec succ s la requ te d enregistrement est supprim e car le client SGE a chang d emplacement La requ te d enregistrement ne demeure dans la file d attente que tant que son tat demeure En attente Planifi ou chou Conditions m Une connexion r seau doit exister entre le client SGE et le serveur SGE m L utilisateur de la console d administration doit conna tre les donn es d acc s SafeGuard Easy pour le client SGE m Le client SGE doit d j tre enregistr sur l ancien serveur SGE il doit d j exister dans la base de donn es SGE Comment proc
240. iguration La d sinstallation de SafeGuard Easy est automatis e quand un fichier de configuration avec attribut D sinstaller est appel avec la commande msiexec Syntaxe de ligne de commande msiexec x D SGEasy Sgeasy msi CFGFILE D Deinstall cfg qn 82 7 D marrage du syst me et ouverture de session SafeGuard Easy remplace le m canisme d authentification propre Windows par une ouverture de session avant le processus d amor age appel e authentification avant amor age PBA L ouverture de session PBA est la m thode par d faut utilis e apr s l installation Quand l authentification avant amor age est activ e une ouverture de session n est possible qu avec les donn es d acc s SafeGuard Easy A partir du mot de passe saisi la cl de d chiffrement d un disque dur chiffr requise pour l amor age est calcul e Quand l authentification avant amor age est d sactiv e le disque dur reste chiffr L ordinateur d marre mais sans interaction de l utilisateur jusqu l cran de bienvenue de Windows Dans ce cas les donn es de d marrage SafeGuard Easy sont stock es dans le disque dur sous forme de fichiers cach s Sans authentification avant amor age le niveau est de s curit d un syst me est plus faible Selon la m thode d authentification d finie par d faut louverture de session dans la PBA se fait m comme utilisateur ordinaire avec nom d utilisateur et mot de p
241. ile d attente sp cifique aux requ tes menu Requ tes Postes de travail indique quel poste de travail une requ te marqu e est li e Postes de Travail Requ te D finir les Changements Cr er 1110982634 xj Poste de travail Date tat Code d erreur WKS03 16 03 2005 15 18 31 R ussi 0 Les requ tes d une file d attente peuvent avoir les propri t s suivantes m R ussi la requ te a t ex cut e sur un client SGE et le serveur a re u une information sur le succ s de l op ration m chou la requ te a t ex cut e mais une erreur s est produite pendant l ex cution et le serveur en a t inform La signification du num ro d erreur qui s affiche peut tre consult e au chapitre Erreurs m En attente la requ te a t envoy e au client SGE mais aucune information sur la r ussite l chec de l op ration n est encore parvenue au serveur m Planifi la requ te attend d tre envoy e au client SGE Cet tat est not d s que le client SGE contacte le serveur ou quand la file d attente est mise en mode Push 508 31 9 tat d un client SafeGuard Easy L tat d un poste de travail indique le type de communication entre le serveur SGE et le client SGE L tat sp cifie galement la fa on dont le serveur SafeGuard Easy traite la file d attente de la station de travail Les postes de travail peuvent avoir diff rents tats qui sont m Standard en ligne
242. ime Environment module PKCS 11 2 Uniquement avec RSA Authenticator Client module PKCS 11 ATTENTION Vous devez poss der une version pr cise de RSA Authenticator Client Pour de plus amples informations contactez le fabricant de votre jeton La version 4 50 de SafeGuard Easy ne prend plus en charge RSA Authenticator Utility 3 Uniquement avec logiciel d empreinte digitale Lenovo ThinkVantage 208 15 4 Installation de la prise en charge des jetons Proc dure d installation du support Token jeton 1 D marrez le programme d installation de SafeGuard Easy 2 S lectionnez les options d installation et le mode de chiffrement 3 Dans les param tres de configuration s lectionnez G n ral Authentification Type d authentification S lectionnez si un utilisateur se connecte avec son clavier Token jeton ou Fingerprint empreinte dans le module PBA Clavier Connexion utilisateur avec ID utilisateur et mot de passe Aladdin eToken Connexion utilisateur avec Aladdin eTo ken Fingerprint Connexion utilisateur avec une empreinte RSA SID 800 Connexion utilisateur avec un jeton SID RSA RSA SID 800 Random Connexion utilisateur avec un jeton SID RSA Random Al atoire signifie qu un mot de passe g n r de fa on al atoire par SafeGuard Easy sera crit dans le jeton Les utilisateurs ne connaissent pas ce mot de passe 4 S lectionnez le mode L
243. inistration Sguard adm pour d finir des param tres connexion Windows par l interm diaire de strat gies de groupe On peut ici en outre d finir par ex des param tres d conomiseur d cran normalement intouchables dans Windows g Group Policy Action Affichage Arbre EN Ouverture de session Windows verrouillage d ordinateur Economiseur d cran R paration de la Gina 6 Ouverture de session Novell Strat gie Ordinateur local E Configuration ordinateur E Param tres logiciel Param tres Windows B C Mod les d administration H E windows Components B E SafeGuard Sgeasy E Authentification H E System de aea 294 17 3 1 Personnalisation de l cran de connexion de Windows Ces param tres conditionnent l affichage du bureau pendant les proc dures de connexion et d connexion et lorsque la station de travail est verrouill e Cette strat gie se trouve dans le mod le d administration de SafeGuard Easy sous Configuration ordinateur Mod les d administration SafeGuard Authentification Options d ouverture de session Ouverture fermeture de session Windows m Utiliser l cran d ouverture de session Utimaco Quand la case est coch e la bo te de dialogue d ouverture de session est affich e l ouverture de session Quand la case n est plus coch e vous pouvez ouvrir une session dans le syst me avec la bo te de dialogue d ouver
244. inition du mode d initialisation 215 Mode d initialisation eessesssseosssosssssssesssseo 215 Automatisation de la cr ation 217 Prise en charge des jetons par les utilitaires d administration de SafeGuard Easy 293 Activation de Support Token pour les utilitaires d administration 294 Enregistrement du module PKCS 11 s 295 Interface universelle de jeton 298 Ouverture de session avec jeton sur le syst me d exploitation 239 Initialisation du jeton eseessessssesssssssrssrerssese 2392 16 15 10 2 Donn es Windows enregistr es dans le fichier SAL ssiniiitstesstestsass 234 15 11 G n ration d un jeton partir d un jeton existant Administration 235 15 11 1 Installation du module d administration de Jetons 230 15 11 2 Suppression de donn es sur le jeton 237 15 11 3 Importation de donn es SafeGuard Easy du fichier de configuration 238 15 12 Changement rapide d utilisateur SafeGuard Easy 240 15 12 1 Conditions sssssssssssssssssssssoserssssssosesssssssses 240 15 12 92 Exemple ss 241 15 13 T l assistance 243 15 13 1 Conditions pour la t l assistance 244 15 13 2 Exemple d utilisation 245 15 13 3 Administration de jeton distanc
245. int Si vous rallumez l ordinateur le Bureau r appara t exactement tel que vous l avez quitt l extinction de l ordinateur c est dire que le contenu du fichier Hiberfile sys est r crit dans la m moire de travail Apr s d sactivation du mode de veille prolong e le fichier Hiberfile sys est invalid 20 2 Mise en veille prolong e et SafeGuard Easy Lorsque la partition syst me du syst me d exploitation n est pas chiffr e l activation du mode Veille prolong e repr sente un risque de s curit dans la mesure o cette proc dure transf re tout le contenu de la m moire vive qui est alors accessible librement par des personnes non autoris es Dans une partition de syst me d exploitation chiffr e SafeGuard Easy permet d utiliser le mode de veille prolong e et de chiffrer le fichier Hiberfile sys cr puis de le stocker de fa on s re sur le disque dur Toutes les donn es sont ainsi chiffr es tout moment sur le disque dur L acc s au syst me est r serv exclusivement aux utilisateurs ayant pu s authentifier avec des donn es SafeGuard Easy correctes apr s un red marrage de l ordinateur en mode PBA pour autant qu elle soit activ e REMARQUE Quand plusieurs utilisateurs SafeGuard Easy se partagent un poste de travail chacun d entre eux parvient apr s authentification via diverses donn es SafeGuard Easy dans la PBA dans le profil de l utilisateur qui a initi la mise en veille
246. ion 4 nDescription MSGLINK 1 Impossible de lib rer une m moire allou e Une fonction n est actuellement pas prise en charge Acc s refus Le d marrage du programme 1 a chou Fonction ou ressource non disponible Processus interrompu par l utilisateur Entr e invalide ou incorrecte Le syst me est actuellement en train de proc der des changements de param tres syst mes Les nouveaux changements ne sont pas permis actuellement Type de donn es non valide pour le champ de bo te de dialogue La sauvegarde du noyau a chou La station de travail d finie n existe pas 540 1144 1145 1146 1147 1148 Client d ouverture de session SgeGina dil introuvable Ce composant est vital pour le fonctionnement de PN Sa suppression ou sa d sactivation peuvent causer de s rieux probl mes requ rant une nouvelle installation de PN ou du syst me d exploitation Service SgeCtl exe introuvable Ce composant est vital pour le fonctionnement de base de PN Sa suppression ou sa d sactivation peuvent causer de s rieux probl mes requ rant une nouvelle installation de PN ou du syst me d exploitation Le noyau syst me est alt r Une op ration de chiffrement ou de d chiffrement du disque dur est en cours d ex cution ou une op ration de ce type a t initialis e nVous ne pourrez effectuer une sauvegarde du noyau que lorsque toutes ces op rations auront
247. ion appropri e les r gles de mot de passe peuvent n tre g r es que via les strat gies de Windows 17 2 2 Activation de la synchronisation de mot de passe Comment pr parer l activation de la synchronisation de mot de passe 1 Activez Secure Automatic Logon SAL N cessaire lorsque les noms d utilisateur de SafeGuard Easy et de Windows sont diff rents Non n cessaire lorsque les noms d utilisateur de SafeGuard Easy et de Windows sont identiques 2 Activation de l authentification avant le d marrage 3 Modification des r gles de mot de passe de SafeGuard Easy Si vous avez recours la synchronisation de mots de passe nous recommandons de d sactiver toutes les r gles de mot de passe de SafeGuard Easy 280 En effet lorsque les r gles de mot de passe de SafeGuard Easy sont actives elles risquent d interf rer avec les r gles de compte Windows et d entra ner des incoh rences REMARQUE Vous devez proc der la configuration suivante dans SafeGuard Easy Minimum age of passwords 0 ge minimum des mots de passe 4 Activez la synchronisation des mots de passe D finissez la cl de registre PasswordSync comme indiqu et red marrez le PC 5 Activez la fonctionnalit de connexion SafeGuard Easy Logon Utimaco Master GINA Dans une installation standard de SafeGuard Easy Utimaco Master GINA est syst matiquement install et ne doit pas tre activ nouvea
248. ion enregistre les v nements affectant la SafeGuard E asy Logging s curit Cette fonction offre un m canisme Assistant de configuration pour Cette fonctionnalit sera install e sur le disque Assistant de d blocage dista dur local Administration Token Support Ce composant requiert 2563Ko sur votre disque dur Utimaco Safeware AG Besoin en disque R initialiser lt Pr c dent Suivant gt Annuler 3 Une fois l installation termin e red marrez votre ordinateur 490 29 3 Configuration Tous les param tres pour Auditing sont g r s via des strat gies de groupe objets Strat gie de groupe l aide du composant logiciel enfichable de strat gie de groupe dans la console MMC Microsoft Management Console Par d faut MMC est int gr avec Windows 2000 et Windows XP Proc dez comme suit pour ajouter le composant logiciel enfichable Strat gie de groupe 1 Activez Microsoft Management Console s lectionnez D marrer Ex cuter et tapez mmc 2 Le module MMC s affiche Dans le menu Console cliquez sur Ajouter Supprimer un composant logiciel enfichable et cliquez sur Ajouter 3 Double cliquez sur le composant de strat gie de groupe ajouter 4 Choisissez un ordinateur local c est dire l ordinateur sur lequel la console est active ou un objet Strat gie de groupe via le bouton Parcourir dans un environnement Active Directory Le dossier Aud
249. ion priv e y compris le choix du syst me d exploitation Chiffrement de p riph riques amovibles possible pr sent pour les supports USB SafeGuard Easy tend la palette des p riph riques amovibles pris en charge la g n ration actuelle des cartes m moire Plug amp Play supports USB ceux ci tant ainsi disponibles pour un change de donn es s curis Le chiffrement d un lecteur de disquettes ou de disques amovibles peut tre en outre activ et d sactiv s par ment pour chaque lecteur Gestion souple de l utilisateur lors de l authentification avant amor age Les possibilit s de guidage de l utilisateur dans la PBA ont t am lior es diff rents niveaux Il est notamment possible d afficher une remarque relative aux droits d acc s au propri taire de l appareil etc prescrits par l administrateur R utilisation de fichiers de configuration de versions SafeGuard Easy ant rieures partir de SafeGuard Easy 3 20 Les entreprises utilisent les fichiers de configuration SafeGuard Easy lorsque de nombreux clients doivent poss der un fichier de configuration identique SafeGuard importe les vieux fichiers de configuration et reprend ainsi de fa on simple les param tres et la cl en cas de mise niveau sans avoir les saisir de nouveau D marrage d urgence possible partir d une disquette ou d un CD Au lieu de lecteurs de disquettes les syst mes informatiques ont aujo
250. ionnelle et pour accro tre la s curit L ouverture de session via jeton est bas e sur le principe de l authentification double facteur un utilisateur dispose d un jeton possession mais ne peut l utiliser que lorsqu il en conna t le mot de passe sp cifique connaissance Pour l utilisation les utilisateurs connectent simplement une cl Aladdin eToken initialis e dans un port USB de leur poste de travail mettent l ordinateur en marche et attendent qu il s arr te l authentification avant amor age Le mot de passe du jeton est alors demand SafeGuard Easy Si le mot de passe est correctement entr SafeGuard Easy lit les donn es d utilisateur du jeton les transmet la PBA et ex cute ensuite l ouverture de session L utilisateur n a en fin de compte plus qu entrer son mot de passe de jeton pour obtenir un acc s aux zones chiffr es du disque dur 204 15 1 Avantages d une ouverture de session avec jeton m Les utilisateurs doivent m moriser le mot de passe jeton Lorsque la configuration requise est en place le jeton ou le module SAL Secure Automatic Logon se charge de la connexion SafeGuard Easy et au syst me d exploitation m Dans une entreprise un concept d administration hi rarchis et centralis peut tre mis en uvre par ex pour la cr ation de fichiers de configuration m Le concept d utilisateur SGE reste cach l utilisateur normal quand cel
251. isateur 1012 Le mot de passe attribu fait partie de la liste des mots de passe interdits Erreurs de fichier 1031 Ouverture impossible du fichier 1 1032 Fermeture impossible du fichier 1 1033 Cr ation impossible du fichier 1 1034 Erreur d criture dans le fichier 1 1035 Erreur de lecture du fichier 1 1036 La tentative d acc s au fichier 1 a chou 1037 Fichier 1 introuvable 1038 Chemin ou nom de fichier invalide 1039 Espace m moire insuffisant sur le disque 1040 La partition du disque dur est trop fortement fragment e 1041 D tection d un syst me de fichiers invalide 1042 D tection d un syst me de fichiers inconnu 1043 Le fichier 1 existe d j 1044 D tection d une structure erron e du syst me de fichiers 1045 D tection d une entr e invalide dans le syst me de fichiers 1046 La demande d informations de partition a chou 534 1047 1048 1049 1052 1053 D tection d un syst me de fichiers inconnu ou invalide Impossible de copier le fichier 1 Impossible de supprimer le fichier 1 Le contr le CRC pour le fichier 1 a chou Impossible de renommer le fichier 1 Erreurs d installation 1061 1063 1064 1065 1066 1067 1068 1069 1070 1071 1072 1073 1074 1075 Lecteur d installation invalide SafeGuard Easy est d j install CardMan API n est pas install Le fichier Config sys est prot g en criture Entr e intr
252. isateurs Windows existants 31 6 1 Cr ation Suppression de groupes Pour cr er un groupe cliquez sur l onglet Groupes et s lectionnez Cr er un groupe Une bo te de dialogue s affiche pour vous permettre d entrer le nom de groupe Toute entr e confirm e s affiche dans la liste de l onglet Groupes Les groupes qui ne sont plus n cessaires sont supprim s via le menu Groupes Supprimer des groupes Malgr la suppression les requ tes envoy es pour les groupes demeurent en liste d attente et sont envoy es 31 6 2 Ajout ou suppression d un client SafeGuard Easy un d un groupe Pour administrer des clients SGE sur la base de groupes un nom de groupe existant doit leur tre attribu Cliquez pour ce faire sur l onglet Poste de travail Marquez un client SGE et appelez dans le menu Postes de travail la commande Assigner aux groupes Cochez un groupe et confirmez votre choix Un client est supprim via le menu Postes de travail Supprimer des groupes La composition d un groupe ne doit pas tre modifi e tant qu il existe encore des requ tes ex cuter 31 6 3 Identification de membres de groupe Les administrateurs doivent se faire rapidement une id e g n rale des compositions de groupes pour garantir que les clients recevront toujours les donn es correctes La console d administration fournit ces donn es via le menu Postes de travail Configurer la relation pour les groupes m Statio
253. isques durs sont d chiffr es m l authentification avant amor age PBA si elle est install e est supprim e m l ouverture de session Windows initiale est restaur e si la fonction SAL Smartcard SAL tait install e m tous les fichiers SafeGuard Easy sont effac s m toutes les entr es dans la base de registres de SafeGuard Easy sont supprim es Dans la configuration de base SafeGuard Easy ne peut tre d sinstall que par l utilisateur SYSTEM En r gle g n rale toutefois chaque utilisateur SGE poss dant un droit de d sinstallation peut supprimer le programme d un poste de travail N essayez pas de supprimer SafeGuard Easy en effa ant les fichiers Si SGE n est pas correctement d sinstall des entr es demeureront dans la base de registres Ceci pourrait ventuellement emp cher une nouvelle installation de SafeGuard Easy Dans ce cas le syst me d exploitation de l ordinateur devra tre r install 78 6 1 D sinstallation locale S lectionnez successivement D marrer Param tres Panneau de configuration Ajout Suppression de programmes et enfin SafeGuard Easy ou galement des composants SGE tels que Server ou Runtime Via Supprimer et en cliquant sur Suivant dans l cran de bienvenue vous entrez dans la bo te de dialogue Ouverture de session SafeGuard Easy ss Utilitaire de d sinstallation SafeGuard Easy E 21x Ouverture de session dans SafeGuard Easy V
254. iting s affiche ensuite dans la configuration Utilisateur et Ordinateur des param tres Windows mi Console1 Racine de la console Strat gie GPO Inst lin Console Fen tre ction Affichage Favoris Slm Arbre Favoris CA Racine de la console S lsi Strat gie GPO Installation testlab w2k srv W2K test E Configuration ordinateur E Param tres logiciel E Param tres Windows E SafeGuard O A Destinations SafeGuard Authentication Compo EX SafeGuard Easy 29 4 Configuration de la journalisation des v nements Pour consigner les v nements dans un journal les tapes suivantes doivent tre ex cut es en s rie m d finir la destination des v nements m d terminer les v nements enregistrer m afficher les donn es enregistr es 29 4 1 D finition des destinations L ex cution manqu e ou r ussie d v nements est consign e dans ce qu il est convenu d appeler des modules de sortie SafeGuard Auditing appelle ces modules Destinations La destination peut tre soit l observateur d v nements de Windows soit un fichier journal L enregistrement des v nements est galement possible d une station de travail l autre Dans une destination SafeGuard Auditing ne consigne que les v nements associ s un produit Utimaco Observateur d v nements L observateur d v nements de Windows est un outil permettant de recueillir des informations de
255. journal Logfile Le fichier journal de SafeGuard Auditing est le pendant du fichier journal de Windows Il ne contient toutefois que les v nements d clench s par un produit Utimaco Vous pouvez exporter les donn es d audit et galement les convertir et les analyser dans un programme de base de donn es REMARQUE Pour l enregistrement des v nements veuillez ne pas utiliser de fichiers cod s EFS ou se trouvant dans un r pertoire cod EFS L entr e dans un fichier journal peut avoir par exemple l aspect suivant ini x Fichier Edition Format 2 LAB1 16 07 30 04 2004 SYSTEM Information 1501 Authentisierung SGauthentication L utilisateur administrateur s est authentifi Les diff rentes entr es ont la signification suivante Lab1 Nom de l ordinateur 20 00 Time 03 05 2004 Date Syst me Sp cifie un utilisateur ou un groupe ayant cr cet v nement Information Warning level 1511 ID de l v nement Authentification Cat gorie SGAuthentication Source L utilisateur Administrateur description de l v nement s est authentifi 29 7 Remarques m Si un fichier journal doit tre enregistr sur un support externe comme par ex un disque amovible un message d erreur est affich dans l observateur d v nements en cas de d passement de la m moire du disque Nous d conseillons de consigner les v nements
256. ken Support et Token Administration doivent tre install s sur le PC de l utilisateur et la cl lectronique connect e au poste de travail m l administrateur doit conna tre le code PIN responsable s curit de la cl d utilisateur Voici comment administrer la cl lectronique distance 1 Authentifiez vous en tant qu administrateur sur le PC d utilisateur auquel la cl lectronique est connect e 2 tablissez une nouvelle communication avec le PC de l utilisateur via la gestion de l ordinateur Enter Network Password j 2 x Incorrect password or unknown username for w Gli2 Cancel Connect As administrator Password p 250 3 S lectionnez le PC de l utilisateur ajx Look in ef DEVELOPMENT DEVELOPMENT ei GSE DEVELOPMENT mi Sasi DEVELOPMENT Shur DEVELOPMENT 4 Ouvrez Token Administration via la gestion de l ordinateur du PC d administrateur ation ven e AmB e Tree Computer Management GLIZ H System Tools H Storage E Services and Applications E SafeGuard a ADM Settings viewer 5 Ouvrez une session sur Token Administration avec le code PIN responsable s curit Vous pouvez pr sent attribuer un nouveau code PIN utilisateur d bloquer des cl s lectroniques etc 252 16 Authentification par le lecteur d empreinte digitale de Lenovo Les utilisateurs doivent d sormais se souvenir de diverses combinaisons
257. l installation de SafeGuard Easy sont compl tement chiffr s SafeGuard Easy reconna t automatiquement le nombre de disques durs de votre ordinateur Le programme peut tre install sur des syst mes comprenant jusqu quatre disques durs physiques et prend en charge jusqu huit disques partitions logiques par disque dur Si plus de quatre disques durs sont identifi s SafeGuard Easy interrompt la proc dure d installation Un disque dur peut compter jusqu huit partitions logiques m Protection des zones d amor age La protection des zones d amor age a pour avantage que quiconque ne poss dant pas d autorisation ne pourra d marrer l ordinateur partir d une disquette syst me CD DVD pour obtenir l acc s au disque dur de cet ordinateur Une protection efficace des zones d amor age n est assur e que lorsque l authentification avant amor age est activ e voir Activation du mot de passe au d marrage du syst me Les partitions non format es ou inconnues sont compl tement chiffr es Avec FAT et FAT32 les zones syst me sont chiffr es Avec NTFS le chiffrement est effectu du d but de la partition la fin de la MFT Master File Table 36 m Double amor age Cette option permet de cr er une partition chiffr e et une partition non chiffr e L une est chiffr e et l autre est en clair Les deux partitions doivent tre des partitions primaires amor ables Quand la partition chiffr e e
258. la configuration affich e ci dessous G n ral B Tokens lt Chiffrement Token Logon without token gP L utilsateurs E Activation distance Activer l activation distance Non Nombre de connexion automatique 0 Configuration du mot de passe Activation du mot de passe au d me Qui Masquer la longueur du mot de pass Qui Longueur minimum du mot de passe amp D lai minimal de l utilisation du mot d 20 Historique des mots de passe BEGGES Majuscules et miniscules m lang es 0 E Mots de passe ind sirables Mots de passe Mots de passe E Identification Identification de l ordinateur xl 110 A la page de configuration L utilisateur veuillez noter les fonctionnalit s des boutons d cr ation copie et suppression d utilisateur Assistant de configuration SafeGuard Easy E 21x Configuration de poste de travail Veuillez changer la configuration affich e ci dessous G n ral lt lt Chiffrement at L utilsateurs E Personnalisation du compte utilisateur Longueur minimum de nom de l utilisat 4 af Mary lt Supprimen Paul lt Modifier gt D finir EE Simon lt Nouveaux gt D finir EE User lt Modifier gt D finir E lt Pr c dent Annuler ide m Cr er un utilisateur l ex cution du fichier de configuration cr e un nouvel utilisateur SafeGuard Easy de ce nom dans notre exemple Simon m Copier un utilisateur RA Tous les param tres de l utilisateur copi
259. la file d attente D tails de la Queue Poste de Travail WK503 E xj Type de requ te Date tat _Code d erreur tat 10 03 2005 11 57 59 Planifi 0 Nom de requ te Changer l tat 1110452279 31 9 1 tat Standard en ligne Apr s change des informations de communication paire de cl s cr ation GUID assignation d un nom de serveur SGE et le premier enregistrement qui suit sur le serveur chaque client poss de l tat Standard Les clients avec l attribut Standard sont les PC qui entrent r guli rement en contact avec le r seau par ex ordinateurs stationnaires dans les bureaux Ces clients SGE recherchent toujours d eux m mes le contact avec le serveur et reprennent les requ tes qui les concernent chaque prise de contact la premi re fois au d marrage du client SGE puis toutes les 6 heures 31 9 2 tat Hors connexion Les clients hors connexion sont des ordinateurs dont on sait d avance qu ils ne sont jamais connect s au r seau ou au serveur SGE par ex ordinateurs portables des collaborateurs des services ext rieurs mais qui doivent tre toutefois administr s de fa on centrale L installation pour de tels ordinateurs est ex cut e comme d habitude avec premier enregistrement au serveur SGE Dans la console d administration l administrateur commute galement Hors connexion l tat du client concern II ne le fait que quand il sait que c
260. la session et retire son jeton une fois la session ferm e La bo te de dialogue d ouverture de session de Windows appara t L utilisateur ins re son jeton avec donn es SafeGuard Easy et Windows dans le port USB entre son code PIN de jeton et ouvre sa session avec ces donn es de profil SafeGuard Easy Nom d utilisateur User2 Mot de passe password2 Droits SGE Activer le chiffrement de disquettes Le profil SafeGuard Easy de l utilisateur 2 est actif L utilisateur est en droit d activer ou de d sactiver le chiffrement de disquettes 249 15 13 T l assistance L administration distante est requise lorsque l utilisateur et l administrateur sont loign s physiquement par exemple si l utilisateur est un commercial et si l administrateur ne peut pas r soudre une erreur personnellement sur site La t l assistance peut tre n cessaire pour les sc narios suivants m L utilisateur a perdu son jeton m l utilisateur a oubli son jeton par ex chez lui m l utilisateur a oubli le mot de passe de son jeton Dans tous les cas le m canisme Requ te R ponse de SafeGuard Easy fournit un rem de La proc dure Requ te R ponse assiste l administrateur du syst me en lui permettant un certain nombre d ouvertures de session sans le jeton de l utilisateur L emploi de la proc dure Requ te R ponse permet donc l utilisateur d acc der au syst me quand le jeton n est pas disponible ou quand le mot de
261. lation en mode Disques complets ou Protection des zones d amor age le nombre maximum de partitions par disque dur est de 8 2303 L enregistrement du composant a chou 2304 2305 L installation de PN requiert Microsoft s Windows Installer nVeuillez lire le fichier LISEZMOI pour la mani re d installer Windows Installer D tection d une version incorrecte du syst me d exploitation n nLe syst me d exploitation Windows NT 2000 est requis Erreurs de l Assistant de cr ation de disquette de d marrage 2401 2402 Erreurs SAL 2501 2502 2503 2504 2505 2506 2507 2508 2509 2510 2511 550 La cr ation du fichier de sauvegarde de noyau a t annul e Tous les outils de secours n ont pas pu tre copi s avec succ s Impossible d ouvrir le fichier SAL Le fichier SAL est dans un tat ind fini Une erreur ind finie s est produite lors d op rations sur le fichier Impossible de positionner correctement le fichier SAL Erreur la lecture du fichier SAL Erreur l criture du fichier SAL L utilisateur sp cifi est introuvable Aucune utilisateur actuellement connect n a t trouv L criture dans le fichier SAL a chou L enregistrement existant doit avoir la m me taille Le tampon de destination est trop petit pour toute l entr e Pas de m moire disponible Erreurs de la base de donn es 2601 2602 2603 2604 2605
262. le Fran ais Si par exemple Fran ais est le param tre actif l interface utilisateur s affiche en Fran ais Vous disposez galement d une interface en Anglais tats Unis et en Allemand L aide en ligne est toujours disponible dans la langue s lectionn e au moment de l installation La modification des param tres r gionaux et linguistiques n influe en rien sur la langue de l aide en ligne Si l installation est lanc e via fichier de msi la langue de l interface utilisateur est toujours l Anglais Pour activer d autres langues Fran ais ou Allemand des fichiers Transforms doivent tre ex cut s Le module Windows Installer utilise les fichiers de transformation pour commuter automatiquement le logiciel d installation sur la nouvelle langue Les fichiers de transformation suivants sont actuellement disponibles Sgeasy_g mst pour l Allemand et Sgeasy f mst pour le Fran ais Afin d obtenir des textes transform s pendant l installation ex cutez la commande suivante msiexec I lt MSI package gt TRANSFORMS lt fichier transform gt Une installation en Fran ais requiert l ex cution de cette ligne de commande msiexec I Sgeasy msi TRANSFORMS Sgeasy f mst Veuillez noter que le param tre TRANSFORMS doit toujours tre crit en majuscules Pour simplifier l installation vous pouvez utiliser le fichier setup exe qui s lectionne automatiquement la langue de l Assistant d installati
263. le pour l ID de contr le Impossible d crire le journal des v nements de Windows NT Un lien fichier ou message invalide a t d tect n nindentificateur de message 1 nCommande de lien 2 Le format du fichier de message 1 est invalide Erreur de mot de passe Erreurs li es au mot de passe 549 1181 1182 1183 1184 1185 1186 1187 1188 1189 1190 Erreurs de cl 1201 1202 1203 1204 Aucun mot de passe d administrateur syst me n est d fini Mot de passe inconnu Veuillez retaper votre mot de passe Aucun mot de passe n est d fini Le mot de passe d fini est trop court Le mot de passe d fini est trop long Les mots de passe d finis ne correspondent pas Le mot de passe est faible nVoulez vous entrer un autre mot de passe Un autre utilisateur poss de d j ce mot de passe nVoulez vous l utiliser quand m me Le mot de passe ne contient pas le nombre requis de caract res des caract res de casse diff rente des caract res avec des chiffres et des symboles Le mot de passe n a pas encore atteint sa dur e minimale d finie Une cl de disque dur n est pas encore d finie n inL activation du d chiffrement pour des partitions de disque dur n est pas autoris e ntant qu aucune cl n est d finie pour ces disques durs Une cl de lecteur de disquette n est pas encore d finie n nL activation du d chiffrement pour des
264. le supprimer ni l administrer L utilisateur SYSTEM est le seul pouvoir modifier les param tres de tous les autres profils d utilisateurs Seul le responsable au niveau sup rieur de la s curit du syst me doit par cons quent pouvoir ouvrir une session avec le nom d utilisateur SYSTEM Le mot de passe de l utilisateur SYSTEM ne doit tre connu que du responsable au niveau sup rieur de la s curit Il doit noter ce mot de passe et le conserver p ex dans un coffre fort 12 2 2 Utilisateur USER Comme l utilisateur SYSTEM l utilisateur USER est automatiquement pr sent apr s une installation de SafeGuard Easy Ce profil d utilisateur ne dispose d aucun droit et peut tre supprim tout moment 12 2 3 Utilisateur AUTOUSER L utilisateur AUTOUSER est particulier SafeGuard Easy cr e toujours quand la PBA est d sactiv e un utilisateur AUTOUSER et lui attribue un mot de passe al atoire Partag en diff rents l ments ce mot de passe est stock dans le noyau SGE A l amor age SafeGuard Easy est en mesure de restaurer le mot de passe complet et d ex cuter l ouverture de session 162 Par d faut AUTOUSER n a aucun droit Les droits suivants peuvent tre octroy s modification temporaire d une cl de disquette commutation sur le chiffrement de disquette modification temporaire d une cl de p riph rique amovible commutation sur le chiffrement de p riph rique amovible Qua
265. lecteurs de disquettes n est pas autoris e ntant qu aucune cl n est d finie pour ces lecteurs Une cl de p riph rique amovible n est pas encore d finie n nL activation du d chiffrement pour des p riph riques amovibles n est pas autoris e ntant qu aucune cl n est d finie pour ces p riph riques La cl d finie est trop longue 1205 1206 1207 1208 1209 1210 Erreurs IPC 1221 1222 1223 1224 1225 1226 1227 1228 1229 1230 1231 Erreurs de lecteur 1241 1242 1243 La cl d finie est trop courte Les cl s d finies ne correspondent pas Aucune cl n a t d finie Le mode de protection de zones d amor age requiertinune cl de chiffrement pour le disque dur Le mode Disques complets requiert une ncl de chiffrement pour le disque dur La cl est banale nVoulez vous en d finir une autre Impossible de d marrer le serveur IPC Impossible de d marrer le client IPC Impossible d tablir la communication IPC Impossible d appeler le message IPC Impossible d attribuer le message IPC La fonction IPC IPC_SGE_ PROCESS DEF _MSG nn a pas pu tre trait e Impossible de fermer le serveur IPC Impossible de fermer le client IPC Impossible de d marrer le thread IPC L attente d un message IPC a chou Objet de communication IPC introuvable Lecteur inconnu ou invalide Autres lecteurs introuvables L op ration E S lecteur a chou 1244
266. lectionn S lectionnez l utilisateur SafeGuard Easy voulu Importez utilisateur depuis un fichier de x Annuler 9 Cliquez sur OK pour confirmer votre s lection Ces donn es sont ensuite crites sur le jeton 15 12 Changement rapide d utilisateur SafeGuard Easy En r gle g n rale les utilisateurs SafeGuard Easy partageant un ordinateur ont les m mes droits Il peut toutefois arriver que des utilisateurs poss dant des droits SafeGuard Easy diff rents se partagent un ordinateur Normalement sans authentification avec jeton un changement d utilisateur SafeGuard Easy n est possible que si l ordinateur est compl tement arr t le nouvel utilisateur ouvrant alors une session dans la PBA avec ses donn es de profil Ceci peut dans certaines circonstances prendre beaucoup de temps Les utilisateurs pr f rent cependant qu il s coule le moins de temps possible entre la fermeture de session de l ancien utilisateur et l apparition du Bureau du nouvel utilisateur Un long red marrage de l ordinateur pour un changement d utilisateur SafeGuard Easy n est pas n cessaire quand des jetons sont utilis s Dans ce cas une simple fermeture de session Windows suffit Dans la bo te de dialogue d ouverture de session Windows le l utilisateur concern ins re son jeton dans le port USB s authentifie avec le code PIN et ouvre sa session avec le profil de droits SafeGuard Easy et Windows enregistr sur le jeton La
267. les tapes 10 et 11 ne sont pas n cessaires 470 Ex cutez depuis le r pertoire d installation SGE Server le fichier SetDBPwd exe et entrez les donn es demand es Enregistrer Authentification par d faut de la Base de NBI E3 m Information du serveur de SafeGuard Easy Nom du serveur SERVEROS m Authentification par d faut de la base de donn es Nom de l utilisateur helpdesk O Mot de passe de e l utilisateur Annuler REMARQUE m Dans le champ Nom du serveur vous devez avoir le nom ou l adresse IP de l ordinateur sur lequel est install le serveur SGE dans notre exemple SGE Server et SQL Server sont install s sur le m me ordinateur m Sous Authentification de la base de donn es les donn es d utilisateur de la base de donn es SGEASY doivent tre entr es sur le SQL Server Si au lieu de l utilisateur par d faut dans notre exemple helpdesk un autre compte utilisateur veut s authentifier il doit tre pr sent pour la base de donn es SGEASY et disposer des droits correspondants 12 Red marrez l ordinateur Les utilisateurs peuvent galement remplacer les tapes 4 7 1 Ouvrez le fichier du Registre SGE_ SOLSRV reg Ouvrez le fichier d enregistrement SGE_SQLSRV reg sur le CD SafeGuard Easy dans le r pertoire TOOLS SQL info zip Fj SGE_SQLSRY Bloc notes Fichier Edition Format 2 Windows Registry Editor
268. li res des donn es Cela se d roule g n ralement sans probl me Si plusieurs disques durs sont utilis s par ex d connexion d un disque dur chiffr et connexion d un disque dur non chiffr des probl mes peuvent survenir la suite par ex d incoh rences dans le tableau de chiffrement SGE R gle g n rale La num rotation du disque DiskManagement utilis doit correspondre la num rotation pendant la proc dure d installation ou le premier chiffrement Les restrictions cit es ne valent pour les disques durs ATA s rie uniquement lorsqu ils sont utilis s comme disques durs connectables chaud Divers types de disque dur vitez si possible de m langer plusieurs types de disque dur IDE SCSI sur un syst me Zones non format es Si une partition n a pas t affect e de fa on fixe un syst me de fichiers SafeGuard Easy ne le d tecte pas le type d installation Protection des zones d amor age et la partie non format e du disque dur est galement chiffr e Disques durs suppl mentaires SafeGuard Easy reconna t automatiquement le nombre de disques durs de votre ordinateur Apr s l installation de SafeGuard Easy aucun disque dur suppl mentaire ne doit tre int gr dans le syst me Si vous souhaitez int grer un disque dur suppl mentaire dans votre syst me vous devez d abord d sinstaller enti rement SafeGuard Easy Apr s la d sinstallation vous int grez le nouveau disq
269. lients SGE peuvent galement tre directement export es par le biais de la console d administration Enregistrez le noyau syst me sauvegard via le menu Postes de travail Exporter sauvegarde du noyau dans un fichier Le r pertoire de destination le nom de fichier et son extension peuvent tre choisis votre convenance g Console d Administration de SafeGuard Easy Fichier Edition Affichage Poste de Travail Extras Aide Afficher la Configuration Changer la Description Supprimer le Poste de Travail Groupes Postes de Tra Description Configurer la Relation pour les Groupes D tails de la Queue Exporter Sauvegarde du Kernel Poste de Travail A Administration Distance Assigner aux Groupes R pertoire cible Supprimer des Groupes E E Changer l tat a D finir les Changements Nom du fichier Transmettez le fichier l utilisateur sur l ordinateur duquel une erreur syst me s est produite Voir le chapitre pour apprendre comment des erreurs du syst me peuvent tre r par es sur les postes de travail avec un noyau syst me intact Cr ation de supports de restauration d urgence et sauvegarde du noyau syst me 599 32 Administration distance Avec l administration distance l administrateur se connecte de son poste de travail avec un seul client SGE et adapte la configuration SGE en fonction des besoins L administrateur a ainsi directement acc s au client SGE
270. lisation Initialisation est la d signation du processus via lequel des donn es sont crites sur le jeton lesquelles sont ensuite utilis es pour l authentification de l utilisateur F Assistant de configuration SafeGuard Easy 1x Configuration de poste de travail Veuillez changer la configuration affich e ci dessous G n ral B Authentification lt Chiffrement Type d authentification Aladdin eToken si Les utilsateurs Mode d authentification Token optionnel Mode d initialisation Utilisateur z E Antiuastinn dicisnrs Utilisateur Par code de requ te Centralis e Le mode d initialisation indique quelle instance est en droit d crire des informations SafeGuard Easy sur le jeton L utilisateur qui initialise le jeton doit conna tre le mot de passe du jeton Sinon il est impossible d initialiser le jeton 15 8 1 Mode d initialisation Mode d initialisation Utilisateur Quand cette m thode est s lectionn e l utilisateur peut entrer lui m me ses donn es d acc s SafeGuard Easy apr s sa premi re apparition dans la PBA Ces donn es sont ensuite crites sur le jeton La condition en est bien entendu que l utilisateur connaisse les donn es d acc s SafeGuard Easy d un profil d utilisateur et qu elles soient pr sentes sur le poste de travail Mode d initialisation Par code de requ te Quand cette option est s lectionn e un utilisateur ne peut initialiser un eToken
271. liser de la mani re suivante une ouverture de session ayant chou 1 Ins rez la disquette de secours dans le lecteur et amorcez le syst me depuis le lecteur A 2 Appelez le programme Sgeasy exe 3 Un menu avec les options D sinstaller Restaurer et R parer appara t 4 Quittez le menu en cliquant sur Annuler Options de d sinstallation R parer Restaurer 5 Red marrez le syst me Ceci r initialise la p riode d attente 7 7 imposer l ouverture de session PBA avec la touche F2 Lorsque PBA est d sactiv vous pouvez attendre qu une ic ne de disquette s affiche dans le coin sup rieur gauche de l cran puis appuyer sur F2 pour activer PBA et vous connecter de la fa on habituelle FM r21 pour annuler l ouverture de ion automatique 99 7 8 Ouverture de session automatique dans le syst me d exploitation SafeGuard Easy peut en option ex cuter une ouverture de session automatique dans Windows Dans SafeGuard Easy cette fonction est appel e Ouverture de session automatique s curis e en abr g SAL Apr s la saisie des donn es Windows la SAL les place dans une plage s curis e et y revient apr s chaque ouverture de session avec succ s par l utilisateur dans la PBA La seule condition est que la PBA soit activ e La SAL appara t apr s l ouverture de session dans le syst me d exploitation SafeGuard Easy Ouverture de session automatique s curis e SafeGuar
272. logue de saisie du code PIN L ancien code PIN sp cifi d clenche un message d erreur et l utilisateur est invit saisir le code PIN correct Quand l utilisateur tape alors le nouveau code PIN l ouverture de session a lieu et le code PIN est enregistr pour les ouvertures de session venir 17 1 3 D sactivation temporaire du module SAL Avec CHGSAL EXE dans le r pertoire SafeGuard Easy les fonctions SAL Smartcard SAL peuvent tre d sactiv es ult rieurement par un utilisateur poss dant des droits d administrateur Windows et de nouveau activ es Proc dez de la fa on suivante 1 D marrez l ordinateur en mode MS DOS ou s lectionnez la commande Ex cuter dans le menu D marrer de Windows puis ex cutez cmd pour afficher l invite DOS 2 Acc dez au r pertoire o est install SafeGuard Easy Tapez la commande suivante avec les param tres correspondants CHGSAL EXE SAL ON SAL OFF SCSAL ON SCSAL OFF ISAL ON ISAL OFF ISCSAL ON ISCSAL OFF 1 PES E a Activer SAL D sactiver SAL Activer SAL avec carte puce D sactiver SAL avec carte puce Sommaire de l Aide Cet outil ne fonctionne que lorsque SafeGuard Easy a t install avec SAL ou Smartcar d SAL SAL et Smartcard SAL peuvent galement tre activ es via une strat gie dans le mod le d administration Utimaco La strat gie se trouve sous Configuration ordinateur Mo
273. ls Cependant avec l activation distance il est impossible de d sactiver l authentification avant amor age et de s introduire dans le syst me avec un identifiant Windows WOL repr sente un compromis optimal entre la protection avant amor age et l ex cution de t ches ex cut es de mani re centralis e 312 19 1 Aper u En g n ral l activation distance s curis e permet tout ordinateur d un r seau local d tre d marr par un autre ordinateur du r seau Ceci peut se produire de fa on charger les nouvelles mises jour ou proc der des t ches de maintenance de routine Il n tait pas possible d utiliser cette m thode simple d ex cution de t ches centralis es sur les ordinateurs s curis s avec les versions de SafeGuard Easy ant rieures la version 4 0 du fait de l authentification avant amor age PBA Ceci tait d au fait que l ordinateur s arr tait la phase d authentification avant amor age PBA et que l utilisateur devait entrer ses donn es SafeGuard Easy Dans ce cas le syst me d exploitation ne red marre pas et ne cr e pas de lien r seau Par cons quent les t ches contr l es de fa on centrale devenaient impossibles ex cuter La nouvelle technique WOL dans SafeGuard Easy permet l administrateur d autoriser aux clients SafeGuard Easy un certain nombre de red marrages avant d activer nouveau l authentification avant amor age Par exemple lors
274. lternative le disque dur peut tre d chiffr via la disquette de secours et l utilitaire DOS Sgeasy exe d sinstallation de SafeGuard Easy Utimaco recommande soit de chiffrer la partition de service soit d installer l environnement Rescue and Recovery sur la partition virtuelle La partition virtuelle est toujours prot g e d s que le disque syst me de Windows est chiffr 379 24 10 Que faire si un avertissement de virus est affich l cran par SafeGuard Easy apr s red marrage de l ordinateur SafeGuard Easy AST UM GER The master boot record has been modified possibly by a virus Default Action Undo Changes Ignore Changes Keep Changes Causes possibles 1 Le syst me contient un virus Contactez sans retard votre administrateur syst me 2 Vous avez oubli apr s l installation la modification ou la d sinstallation de Rescue and Recovery de synchroniser le MBR avec la commande MBRsync exe SafeGuard Easy d tecte des modifications du MBR et affiche un avertissement de virus si n cessaire Si vous tes s r que le message a t affich par Rescue and Recovery cliquez sur Reprendre dans le menu Seul le SYST ME peut afficher le menu le syst me de fichiers est endommag Il suffit ici en r gle g n rale de charger simplement une copie de sauvegarde avec SafeGuard Easy avec Rescue and Recovery En alternative le disque dur peut
275. m tat poste de travail en ligne par d faut ou hors ligne m Description informations d taill es sur le poste de travail enregistr m Date de configuration indique quand date heure un client SGE a envoy la derni re fois ses donn es de configuration actuelles au serveur SGE g Console d Administration de SafeGuard Easy Serveur SERYERO3 Fichier Edition Affichage Groupes Extras Aide Groupes Postes de Travail Requ tes D veloppment Marketing 478 Groupes Affiche tous les groupes SGE cr s o sont rassembl s des clients SGE individuels Configurer la Relation pour les Groupes Poste de Travail WKS03 x Le poste de travail n est pas membre de ces groupes Le poste de travail est membre de ces groupes Nom Description Nom Description D veloppment Marketing Requ tes Affiche une liste de toutes les modifications de configuration effectu es et ex cut es sur les clients SGE Console d Administration de SafeGuard Easy Serveur SERYER03 Fichier Edition Affichage Requ tes Extras Aide Groupes Postes de Travail Requ tes Changement Mots de passe ind siderables Les commandes les plus importantes pour un poste de travail un groupe ou une requ te sont disponibles dans le menu contextuel respectif En outre vous pouvez appeler toutes ces commandes par l interm diaire de diff rentes menus Stations de travail Groupes Requ tes Le syst me affiche
276. m tre similaire l ancien mot de passe Le terme Similaire signifie ici que la s quence de caract res du nouveau mot de passe doit se diff rencier d au moins 20 de l ancien mot de passe nom d utilisateur Par exemple l utilisateur UTILISATEUR SafeGuard Easy peut utiliser le mot de passe U2TILISATEUR13 U345TILISATEUR etc mais SafeGuard Easy refuse les mots de passe tels que UTILISATEUR UTILISATEUR2 UTILISATEURab 12UTILISATEUR 1UTILISATEURF etc 176 13 2 Les cl s autoris es pour le mot de passe SafeGuard Easy Le mot de passe SafeGuard Easy peut se composer de caract res alphanum riques et de signes de ponctuation SafeGuard Easy accepte m toutes les touches signal es par dans l illustration m les touches Maj et Verr Maj signal es par dans l illustration SafeGuard Easy n accepte pas m la touche Maj lorsque la touche Verr Maj est d j enfonc e m la touche Alt m latouche Ctrl m les touches du pav num rique m les touches de fonction par ex F1 F2 les touches de direction L CO LD CO EEE MEM 178 13 3 Configuration de SafeGuard Easy pour l utilisation dans un contexte international SafeGuard Easy enregistre toutes les s quences de caract res en format Scan Code tant donn qu aucun pilote de clavier n est normalement charg dans la phase avant l amor age Le
277. m tre SGElInteg corrige les donn es du chemin d acc s Vous devez ensuite red marrer l ordinateur L appel de SGElnteg sans param tre entra ne la correction du chemin et une analyse du syst me de fichiers 74 ld R tablit l entr e d enregistrement CRAREA La cr ation de cette entr e d enregistrement pendant l installation tait probl matique avec les versions ant rieures de SafeGuard Easy Si cette entr e d enregistrement est absente cela peut tre une source de probl mes au moment de la d sinstallation et d une mise jour de version SGElnteg d r tablit l entr e sous HKEY_LOCAL MACHINE SOFTWARE Utimaco SGEasy CRAREA Jien Rescue and Recovery RnR r sout le probl me Pendant la mise jour avec la derni re version de SafeGuard le probl me suivant peut appara tre si RnR est install Le programme SGEDemon exe appara t chaque red marrage puis s interrompt tant donn que SGEDemon sert uniquement afficher un message d avertissement apr s la mise jour il est possible de d sactiver sans craindre d effets n gatifs SGElnteg len supprime SGEDemon exe dans HKEY_LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run N Active le mode prolixe Des messages d tat et d erreur d taill s s afficheront l cran si vous avez activ ce mode ly Active le mode sans surveillance Tous les
278. m Hors connexion m Activer Push m D sactiver Push Les tats standard en ligne et hors connexion montrent le type de connexion entre le serveur SGE et le client SGE et d terminent ainsi les conditions de communication entre le serveur SGE et le client SGE Push on et Push off peuvent tre combin s avec les deux autres tats standard en ligne et hors connexion Les postes de travail avec l attribut Push on sont des postes de travail dont la file d attente doit tre imm diatement trait e apr s ex cution d une commande dans la console d administration du serveur SGE Le changement d tat se fait via le menu Postes de travail Changer l tat g Console d Administration de SafeGuard Easy Serveur SERYERO3 Fichier Edition Affichage Poste de Travail Extras Aide Afficher la Configuration Changer la Description EE Configurer la Relation pour les Groupes Reis Afficher les d tails de la Queue Ouvrinl dministration Distance Groupes Postes de Tra tion Assigner aux Groupes Supprimer des Groupes Changer l tat a Offline D finir les Changements gt Standard Enregistrer en autre Serveur Supprimer des Postes de Travail Suppr Push on Push off Exporter Sauvegarde du Noyau Exporter Fichier de Requete D s que l tat standard ou hors connexion d un client SGE est modifi SafeGuard Easy entre une requ te d tat dans
279. me reconna t le r pertoire dans lequel la version ant rieure de SafeGuard Easy tait enregistr e et le propose comme r pertoire par d faut En cliquant sur le bouton Parcourir vous pouvez choisir vous m me le r pertoire dans lequel le fichier doit tre enregistr La migration est d marr e et le fichier de migration cr en cliquant sur Suivant 5 2 Mise jour pr configur e avec fichier de migration Pour une mise jour automatis e de SafeGuard Easy il convient de cr er tout d abord un fichier de migration avec l assistant de migration de la version SafeGuard Easy actuelle La mise jour est ex cut e automatiquement apr s la commande Cr ation d un fichier de configuration Pour cr er un fichier de migration 1 Sur l ordinateur de l administrateur installez au moins l assistant de configuration pour le d ploiement L assistant de migration est alors galement disponible 2 D marrez l assistant de migration via WI ZLDR EXE dans le r pertoire SafeGuard Easy 3 Dans l assistant de migration entrez toutes les donn es requises voir Mise jourlocale 4 Le fichier SGEMig cfg est cr dans le r pertoire s lectionn Ligne de commande exemple msiexec i D Sgeasy msi CFGFILE D SGEmig cfg qn 70 Cas particulier Administration centrale Quand un client SGE doit tre g r de fa on centrale via la console d administration SGE apr s la mise jour n oubliez
280. ment avec logiciel d empreinte digitale Lenovo ThinkVantage 254 16 1 Pr paration Ordinateur de bureau ou portable Lenovo des s ries 5x ou 6x Un BIOS r cent est recommand Lecteur d empreinte digitale int gr l ordinateur portable ou clavier USB avec lecteur d empreinte digitale lecteur d empreinte digitale USB SafeGuard Easy partir de la version 4 30 Logiciel d empreinte digitale ThinkVantage support Logiciel ThinkVantage Fingerprint 5 5 0 ThinkVantage Fingerprint Software 5 60 5 6 1 minimum partir de la version 5 60 5 61 vous devez modifier l entr e HKLM SOFTWARE Protector Suite QL 1 0 du registre d finissez la valeur BiosFeatures DWORD sur 2 Software 16 2 quipements compatibles SafeGuard Easy accepte l authentification via le lecteur d empreinte digitale int gr aux ordinateurs de bureau ou portables Lenovo qui sont commercialis s depuis l automne 2005 Ordinateurs portables Lenovo compatibles Z60 Z61 T60 T61 X60 X61 R60 Ordinateurs de bureau Lenovo compatibles A51 A52 M51 M52 M52e Ordinateurs portables Lenovo non compati 3000 bles T4x Portables Tablet PC Lenovo non compatibles X41 R61 256 REMARQUES Les portables Lenovo de la gamme 3000 ne sont pas compatibles puis qu ils int grent un lecteur d empreinte digitale d un autre fournisseur Les
281. ment long 11 4 1 S lection d algorithme Pour s lectionner un algorithme s lectionnez Algorithms Algorithmes et cliquez sur un lecteur de disque S lectionnez ensuite un algorithme pour ce lecteur de disque dans le menu d roulant AES 256 est automatiquement s lectionn par d faut 11 42 Algorithmes SafeGuard Easy Ci apr s vous trouverez une liste de tous les algorithmes utilisables avec leurs normes correspondantes Algorithme Longueurs de cl s AES 256 32 octets 256 bits AES 128 16 octets 128 bits Rijndael 256 32 octets 256 bits DES 7 octets 56 bits 3DES 21 octets 168 bits IDEA 16 octets 128 bits Blowfish 8 32 octets 256 bits Blowfish 16 32 octets 256 bits STEALTH 40 5 octets 40 bits XOR 8 octets 64 bits 150 AES 128 L algorithme Advanced Encryption Standard AES est un algorithme de chiffrement qui remplace l algorithme DES Pour cet algorithme on a choisi l algorithme Rijndael du National Institute for Standards and Technology USA Il s agit d un algorithme de chiffrement tr s rapide et tr s s r L AES 128 travaille avec une cl de 128 bits AES 256 Cet algorithme correspond l algorithme A S 128 mais il travaille avec une cl de 256 bits et une longueur de bloc de 128 bits Rijndael 256 Cet algorithme est une impl mentation sp cifique de l AES 256 Il correspond l AES 256 mais il dispose d une longueur de bloc d
282. messages sont automatiquement valid s par OUI Active le mode prolixe Des messages d tat et d erreur d taill s s afficheront l cran si vous avez activ ce mode IR Active le mode de r paration Dans ce mode le syst me r pare les erreurs du syst me de fichiers Si SGElnteg R est ex cut la commande de d tails du chemin param tre P et une analyse du syst me de fichiers sont ex cut s sans intervention de l utilisateur en arri re plan Le syst me peut avoir tre red marr Active le mode sans surveillance Tous les messages sont automatiquement valid s par OUI 76 IP Corrige le nom de chemin de SafeGuard Easy accessible par HKEY_LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run Pour les versions ant rieures de SafeGuard Easy les donn es de chemin sont introduites dans la cl de registre sans guillemets Dans les nouvelles versions de Windows sous certaines circonstances ceci peut emp cher l ex cution de ces programmes Lorsque ce param tre est utilis SGElnteg corrige les d tails du chemin Vous devez ensuite red marrer l ordinateur L appel de SGElInteg sans param tre entra ne la correction du chemin et une analyse du syst me de fichiers 6 Desinstallation Une d sinstallation de SafeGuard Easy a les cons quences suivantes m toutes les zones jusqu pr sent chiffr es du ou des d
283. mod les Tablet PC requi rent un clavier connect pour l authentification par empreinte digitale Une saisie via un clavier sera demand e lors de l authentification au d marrage afin d tablir la liaison entre les donn es d acc s SafeGuard Easy et l empreinte digitale Une d tection manuscrite est impossible lors de l authentification au d marrage 258 16 3 Installer le lecteur d empreinte digitale Lenovo AVERTISSEMENT En cas d authentification par empreinte digitale la fonction Utilisateur standard de SafeGuard n est pas prise en charge Un utilisateur SafeGuard Easy connect via une empreinte digitale doit toujours conna tre le nom d utilisateur et le mot de passe de SafeGuard Easy Installation de la fonction de lecture d empreinte digitale 1 Installez le logiciel ThinkVantage Fingerprint s il n est pas d j install Relevez l empreinte d un ou plusieurs doigts dans le logiciel de lecture d empreinte digitale La proc dure d inscription lie ces empreintes avec les donn es de connexion Windows pour plus de d tails sur l enregistrement d une empreinte consultez l aide du logiciel ThinkVantage ou consultez la page http www 307 ibm com pc support site wss document do Indocid MIGR 58403 Pour tester l empreinte red marrez le PC ordinateur portable Apr s le red marrage ins rez le doigt enregistr dans le lecteur La connexion Windows s
284. mpreinte digitale 16 5 Foire aux questions Faut il avoir d autres logiciels comme Client Security Solution CSS de Lenovo La solution d empreinte digitale SafeGuard Easy fonctionne ind pendamment de CSS Vous avez seulement besoin du logiciel ThinkVantage Fingerprint pour relever les empreintes Est ce que plusieurs utilisateurs sont accept s Le lecteur peut m moriser 21 empreintes digitales Chacune de ces empreintes peut tre associ e n importe quel utilisateur Windows via le logiciel ThinkVantage Fingerprint SafeGuard Easy fonctionne de la m me fa on La seule diff rence est que les empreintes et les donn es utilisateur de SafeGuard Easy sont li es pendant l authentification avant le d marrage par exemple vous pouvez utiliser l index de la main gauche pour vous connecter en tant qu utilisateur SYST ME et celui de la main droite pour vous connecter en tant qu UTILISATEUR Que se passe t il lorsque l authentification par empreinte digitale ne fonctionne pas par ex lecteur d fectueux L appui sur la touche chap permet l utilisateur d acc der l authentification au d marrage et de s identifier en saisissant son nom d utilisateur et son mot de passe SafeGuard Easy Si l utilisateur ne conna t pas le mot de passe un nouveau mot de passe pourra tre attribu par le proc d Requ te R ponse 264 Comment supprimer un utilisateur 1 S lectionnez Programmes gt ThinkVantage
285. munication d objet existent d j La zone de communication d objet existe d j Les informations requises pour la zone de communication d objet existent d j Zone de communication d objet introuvable Les informations requises pour la zone de communication d objet n existent pas Informations d objet suppl mentaires trouv es 1511 La configuration des composants n a pas pu tre charg e Erreurs ADMLOGON 1601 La tentative d ouverture de session a chou Essayez nouveau 1602 Le sous syst me PN n autorise pas plus de 5 tentatives d ouverture de session Vous devez red marrer votre ordinateur pour relancer cette application 1603 1604 1605 La tentative de d marrage de la composante d ouverture de session de PN a chou L ouverture de la session PN s est effectu e avec succ s mais vous nne poss dez pas les droits suffisants pour d sinstaller le produit Erreurs Administration USER 1801 1802 1803 1804 1805 1806 1807 L utilisateur 1 ne peut pas tre cr car nle nombre d utilisateurs maximum est atteint Il n est pas possible de cr er ou de supprimer le AUTOUSER L utilisateur 1 existe d j Veuillez sp cifier un autre nom d utilisateur Le nombre d utilisateurs maximum a t d pass Il n est pas possible de cr er ou de supprimer le profil d utilisateur n SYSTEM Il est seulement permis de le modifier Le pr
286. n cessaire uniquement pour ladministration centrale avec base de donn es SGE L administration centrale via base de donn es SGE et serveur SGE requiert la prise en charge par Windows du chiffrement avec des cl s de 128 bits Install par d faut sous Windows XP Install sous Windows 2000 partir du Service Pack 2 2 3 Modules pouvant tre install s SafeGuard Easy se compose de diff rents modules qui fonctionnent ind pendamment l un de l autre Les diff rents modules se pr sentent sous forme de packages MSI sur le CD du produit dans le r pertoire SGEASY INSTALL sous les rubriques CLIENT SERVER et RUNTIME Les fichiers requis sont stock s class s par langue dans les sous r pertoires Ces modules sont disponibles SGEasy msi Client Application pour SafeGuard Easy Runtime msi Syst me ex cutable Server msi Composant SafeGuard Easy Server SafeGuard Easy le syst me d ex cution et SafeGuard Easy Server sont install s en tant que produits distincts Par cons quent ils peuvent s afficher de fa on diff rente dans la liste de logiciels du syst me 2 4 Interface utilisateur en plusieurs langues Si vous lancez l installation avec setup exe la langue de l interface utilisateur pendant et apr s l installation de SafeGuard Easy correspond celle qui est d finie dans la section Param tres r gionaux du Panneau de configuration SafeGuard Easy prend en charge l Anglais l Allemand et
287. n constitue un risque de s curit et doit tre modifi longueur maximale de 32 caract res Entrez un nouveau mot de passe du jeton 212 5 Saisissez les donn es d acc s SafeGuard Easy nom d utilisateur et mot de passe Les donn es sont crites sur le jeton Le mode de d livrance param tr tablit si un utilisateur peut crire lui m me les donn es d acc s SafeGuard Easy sur le jeton SENTEOTET TEEN 6 L authentification SafeGuard Easy est effectu e A louverture de session suivante il suffira d entrer le mot de passe du jeton 15 6 Modification du mot de passe du jeton La proc dure de modification du mot de passe lors de l authentification avant amor age est la suivante 1 Ins rez le jeton dans le port USB D marrez l ordinateur 2 3 Saisissez le mot de passe du jeton dans la PBA 4 Appuyez sur la touche F10 5 Entrez un nouveau mot de passe du jeton Les r gles suivantes s appliquent aux nouveaux mots de passe de jeton m le nouveau mot de passe doit tre diff rent de l ancien m le nouveau mot de passe ne doit pas tre banal par ex 1234 ou asdf 15 7 Modification suppression des donn es d acc s SafeGuard Easy Les donn es d acc s SafeGuard Easy sont supprim es ou modifi es via l administration du jeton voir galement G n ration d un jeton partir d un jeton existant Administration 214 15 8 D finition du mode d initia
288. n es M amp public db_accessadmin amp db_securityadmin C1 db ddladmin 30 4 3 Enregistrement de la nouvelle base de donn es vide de SafeGuard Easy sur SafeGuard Easy serveur 1 Installez le serveur SafeGuard Easy en appelant le fichier Server msi du r pertoire SERVER sur le CD produit En plus du serveur vous pouvez galement installer la console d administration AVERTISSEMENT NE PAS red marrer l ordinateur apr s l installation E SafeGuard Easy Server Setup Select Features Please select which features you would like to install z Administration Console 2 Appelez successivement Param tres Panneau de configuration Outils d administration Sources de donn es ODBC 466 3 Ouvrez l onglet Sources de donn es syst me et retirez de la liste la base de donn es SafeGuard Easy par d faut avec le pilote Microsoft Access M Administrateur de sources de donn es ODBC 21x Pilotes ODBC Pas pas l Groupement de connexions propos Sources de donn es utilisateur Sources de donn es syst me Sources de donn es fichier Sources de donn es syst me LocalServer SafeGuard Easy D Ajouter d SQL Server GEES Microsoft Access Treiber mdb Configurer Une source de donn es syst me ODBC stocke des informations sur la connexion du fournisseur de donn es sp cifi Elle est visible tous les utili
289. n C chec C Succ s C Tous r Compte du service de d marrage D marrer et ex cuter SQL Server dans le compte suivant C Compte syst me Dans l onglet S curit d finissez l authentification sur SQL Server et Windows 8 Option un autre compte syst me que le compte syst me standard l utilisateur sa pour la base de donn es SGEASY est cr via S curit gt Nom de l utilisateur gt Nouvel utilisateur dans le menu contextuel Sous l onglet G n ral dans la rubrique Authentification choisissez l option Authentification SQL Server et tapez le mot de passe Sp cifiez la base de donn es SGEASY i SQL Server Enterprise Manager Console Fen tre En Racine de la console Serveurs Microsoft SQL Groupe SQL Server SERYERO3 Windows NT S curit Connexions Action Affichage o e Em TABIR Sly a e Arbre Connexions 3 l ments L Racine de la console Type acc sauserveur Base de donn es p La Serveurs Microsoft SQL BUILTIN Administrateurs Groupe Win Autoriser master French B g Groupe SQL Server sa Standard Autoriser master French E Er SERVEROS Windows NT SERVEROS Administrateur Utilisateur Autoriser master French Bases de donn es Propri t s de la connexion SQL Server Nouvelle connexion xi G n ral R les du serveur Acc s aux bases de donn es Gestion plica o S curit
290. n d une installation SafeGuard Easy existante ledit fichier Delta m Pour une d sinstallation F assistant de configuration pour le d ploiement SafeGuard Easy 21xl Type de fichier de configuration Veuillez s lectionner le type de fichier de configuration que vous souhaitez cr er Modifier C D sinstaller 104 8 4 3 Cr ation d un fichier de configuration pour une installation La propri t Installer g n re un fichier de configuration avec lequel SafeGuard Easy peut tre automatiquement install sur un client voir Installation centrale Apr s s lection de l option Installer indiquez tout d abord si vous souhaitez utiliser une configuration de base pour le nouveau fichier de configuration Configuration de base i jd Assistant de configuration pour le d ploiement SafeGuard Easy 2 x Configuration de base Veuillez indiquer si vous souhaitez utiliser un fichier de configuration de base ou non Le fichier de configuration de base contient tous les param tres d une installation de SafeGuard Easy et doit tre utilis pour l installation du syst me cible IMV Utiliser la configuration de base c nstall cfg Pr c dent Suivant gt Annuler Side Un fichier de configuration de base est un fichier de configuration existant avec propri t Installer II sert de mod le de base pour un nouveau fichier d installation
291. n de SafeGuard Easy Serveur SERYERO3 Fichier Edition Affichage Groupes Extras Aide Appliquer Requ tes Push Groupes Pi Postes de Travail Re ou s Nom Enregistrer Poste de Travail F9 4 Une bo te de dialogue appara t demandant le nom du client SGE et les donn es d authentification pour ce client Le profil de l utilisateur SafeGuard Easy entr doit exister sur le client SGE Le profil ne requiert aucun droit SafeGuard Easy particulier Enregistrer Poste de Travail f x m Information d enregistrement Nom du poste de travail wWKS03 Authentification de SafeGuard Easy en poste de travail Nom de l utilisateur pem Mot de passe de pee y l utilisateur Annuler 5 Confirmer la saisie avec OK Le succ s ou l chec de l op ration sont indiqu s dans une bo te de dialogue SafeGuard Easy 3 x lt La commande a t envoy avec succ s au serveur 486 Le client d pose alors des informations sur le serveur SGE Selon le taux d utilisation du r seau ceci peut prendre un certain temps Une fois la p riode d attente termin e le nouveau client SafeGuard Easy s affiche dans la console Administration Vous pouvez galement mettre jour l affichage de fa on manuelle dans la console Administration en appuyant sur F5 g Console d Administration de SafeGuard Easy Serveur SERYERO3 Fichier Edition Affichage Poste de Travail Extras Aide Groupes Poste
292. n de travail Configuration de l appartenance de groupe Cette option de menu permet d identifier les membres d un groupe sur un client SafeGuard Easy Vous pouvez utiliser les touches de direction pour modifier l appartenance au groupe Configurer la Relation pour les Groupes Poste de Travail WK503 xj Le poste de travail n est pas membre de ces groupes Le poste de travail est membre de ces groupes Nom Description Marketing Nom Description D veloppment m Groupes Postes de travail Ce menu donne la liste des membres d un groupe Fichier Edition Affichage Groupes Extras Aide Groupes Postes de Travail Requ tes D veloppment Cr er un Groupe Changer le Nom et la Description Supprimer des Groupes Postes de Travail Groupe Marketing Description Suppr D finir les Changements Enregistrer en autre Serveur 496 31 6 4 Modification d un nom de groupe Pour modifier un nom de groupe cliquez sur Changer les groupes dans le menu Groupes Entrez le nom du groupe et confirmez le avec OK 31 6 5 Suppression de groupes Pour modifier un nom de groupe cliquez sur Supprimer des groupes dans le menu Groupes 498 31 7 D finition de filtre La console d administration poss de un m canisme de filtrage au moyen duquel l administrateur peut d terminer avec pr cision quels clients SGE groupes ou requ tes il voit l cran Cette m th
293. n secondes La valeur par d faut est 3 Valeur minimum maximum 0 99 m D sactiver le Ctril Alt Suppr lorsque la station est verrouill e Le verrouillage du poste ne peut pas tre annul avec Ctrl Alt Suppr en cas d ouverture de session par jeton Exemple D lai de 10 secondes et multiplicateur de 1 tentative infructueuse 50 secondes d attente 5 2 me tentative infructueuse 250 secondes d attente 5 38 tentative infructueuse 1250 secondes d attente 250 5 REMARQUE Le verrouillage du poste peut tre annul m en red marrant l ordinateur m via l ouverture de session par l administrateur m en r pliquant des donn es partir du contr leur de domaine A ce sujet veuillez noter galement le verrouillage d utilisateur de Windows 300 17 3 3 conomiseur d cran Si sur un poste de travail on a sp cifi la mise en route de l conomiseur d cran au bout d une dur e donn e vous pouvez d cider comment le syst me doit r agir son activation apr s une p riode d termin e Les param tres ne sont effectifs que lorsque l conomiseur d cran de Windows est lui aussi activ Cette strat gie se trouve dans le mod le d administration de SafeGuard Easy sous Configuration ordinateur Mod les d administration SafeGuard Authentification Options d ouverture de session conomiseur d cran m Action La section Action permet de d finir les r actions
294. nd Recovery 1 ne sont install s D sinstallez toutes les versions Rescue and Recovery avec Rapid Restore qui sont ant rieures la version 4 0 Installez Rescue and Recovery Installez SafeGuard Easy partir de la version SafeGuard Easy v rifie si la version Rescue and Recovery correcte est install e et ajoute ses fichiers et ses param tres dans l environnement de secours Lenovo Veuillez vous assurer que l authentification avant amor age est bien activ e de fa on ce qu aucune personne non autoris e ne puisse restaurer des sauvegardes L authentification avant amor age est activ e pendant l installation ou plus tard dans l administration via le dossier G n ral Configuration de mot de passe Activation du mot de passe au d marrage du syst me 24 3 2 Seul SafeGuard Easy est d j install SafeGuard Easy partir de la version 4 10 est install 1 Installez Rescue and Recovery 2 Avant le red marrage appelez successivement les outils suivants du r pertoire SafeGuard Easy MBRsync exe MBRsync exe WinPERepair exe SafeGuard Easy lt 4 10 est install 1 Installez SafeGuard Easy gt Version 4 10 mise jour 2 Installez Rescue and Recovery 3 Avant le red marrage appelez successivement les outils suivants du r pertoire SafeGuard Easy MBRsync exe MBRsync exe WinPERepair exe O 1 Installez Rescue and Recovery 2 Avant le red marrage appele
295. nd la PBA est d sactiv e tous les utilisateurs ouvrent la session avec les droits octroy s sur le syst me l utilisateur AUTOUSER Quand la PBA est de nouveau activ e AUTOUSER dispara t de la liste des utilisateurs 12 3 Cr ation d utilisateurs Un nouveau profil d utilisateur est cr dans les programmes d administration via la page de configuration Utilisateur Apr s un clic sur l ic ne pour la cr ation d un nouvel utilisateur G la bo te de dialogue Nouvel utilisateur s ouvre Nouvel utilisateur x La liste ci dessous affiche le nombre de noms qui existe d j User Nouveau nom de l utilisateur Veuillez sp cifier un nom pour l identification de l utilisateur qui n existe pas Nom de l utilisateur use Annuler Donnez un nom au nouvel utilisateur en tapant une d signation dans le champ de saisie Le nom du nouvel utilisateur ne doit pas d passer 16 caract res au maximum Si le nom est d j attribu un message d erreur s affiche Par d faut le nouveau profil ne dispose d aucun droit Pour l attribution de droits voir plus loin Attribution de droits 164 12 4 Copie d un utilisateur Les profils d utilisateurs similaires peuvent tre copi s puis modifi s si besoin est Ceci permet de gagner du temps Apr s un clic sur l ic ne pour la copie d un nouvel utilisateur fi la bo te de dialogue Copier utilisateur s ouvre Nouvel utilisateur x La liste
296. ndant l installation Allemand Anglais ou Fran ais Les utilisateurs n ont plus d sinstaller SafeGuard Easy pour afficher le texte d authentification avant le d marrage dans une autre langue IMPORTANT Vous pouvez seulement modifier ult rieurement l affichage des textes sur l cran PBA pas la composition du clavier Param tres de changement de langue Vous pouvez lancer SetPBALang avec les param tres suivants SetPBALang en de fr n en de fr D finit la nouvelle langue n Utilise un num ro 1 255 pour le r glage de la langue Les langues suivantes sont propos es 9 Anglais 7 Allemand 12 Fran ais Le r glage de la langue prend effet apr s le red marrage Vous trouverez SetPBALang dans le r pertoire programme de SafeGuard Easy 126 9 2 Activation du mot de passe au d marrage du syst me L option Activation du mot de passe au d marrage active d sactive l authentification avant amor age PBA Si la PBA est activ e un cran d ouverture de session appara t avant le chargement du syst me d exploitation Windows ne d marre qu une fois l authentification effectu e avec les donn es d acc s SafeGuard Easy correctes Si vous d sactivez la fonction PBA une ouverture de session avant le d marrage du syst me n est pas n cessaire L authentification s effectue alors comme d habitude via la bo te de dialogue d ouverture de session du syst me
297. ndant pas ces standards n est accept Ef SafeGuard Easy Administration j lol x lt amp Chiffrement Authentification avec token Les utilsateurs E Activation distance Activer l activation distance Non Nombre de connexion automatique 0 Conhiguraton du mot de passe Activation du mot de passe au d marrage Oui Masquer la longueur du mot de passe Non Longueur minimum du mot de passe 6 D lai minimal de l utilisation du mot de passe 30 Historique des mots de passe 4 Caract res 0 0 0 0 Sans token Mots de passe Identification de l ardinateuur lah1 13 4 1 Activation du mot de passe au d marrage du syst me Voir Authentification avant l amor age PBA 13 4 2 Entr e de mot de passe masqu Contrairement aux proc dures d ouverture de session conventionnelles aucun caract re de remplacement par ex n est affich la saisie du mot de passe SGE Ceci signifie par exemple que d autres personnes peuvent voir le nombre de caract res entr s Si cette option est activ e le d placement du curseur est galement d sactiv Veuillez aviser vos utilisateurs qu aucun caract re n appara t l appui sur les touches Toutefois les permettent d viter les erreurs de saisie 13 4 3 Longueur minimum du mot de passe Vous devez sp cifier la longueur du mot de passe dans ce champ Dans ce champ vous d terminez le nombre de caract res minimum que
298. nistration de jeton dans G n ration d un jeton partir d un jeton existant Administration 15 8 2 Automatisation de la cr ation Vous avez la possibilit d automatiser la cr ation de cl s lectroniques Pour ce faire vous devez recourir un script Visual Basic vbs Pour ce faire le syst me cr ant la cl lectronique labore un script Visual Basic vbs qui crit en une op ration les informations d ouverture de session souhait e Windows terminal serveur SSO SafeGuard Easy etc sur le jeton Ce proc d est particuli rement bien appropri pour la premi re cr ation d un grand nombre de cartes d utilisateur Exemple de script La liste suivante montre un exemple de script Ouvrez un diteur copiez l exemple ligne par ligne et enregistrez le en tant que fichier vbs Ensuite fournissez les informations de connexion requise Par exemple remplacez User PIN Code utilisateur par le code utilisateur du jeton dim scard dim res dim slotiD dim pin dim mustChangePIN dim userID dim password dim domain dim terminalServer dim fileName dim cerFile dim linkFile dim pkcsFile dim protFile dim cardinserted dim authFile dim configFile set scard WScript CreateObject SCardAdmScriptAPI SCScriptAPI Initialiser IMPORTANT 11 slotiID 0 res scard Initialize slotiD 7 Carte ins r e cardinserted scard IsCardinserted if cardinserted then 218 WS
299. nitialiser une bo te de dialogue Impossible de cr er un thread Impossible de cr er une fen tre Vous devez poss der des droits d administrateur pour l installation ou la d sinstallation Une violation d acc s la m moire s est produite Impossible d ouvrir le fichier journal 1 Vous ne pouvez pas ex cuter simultan ment les programmes D sinstallation et Administration de PN n nVeuillez quitter le programme en cours avant d en d marrer un autre Fichier noyau introuvable L installation du gestionnaire de contr le a chou D finition d une variable d environnement inconnue Impossible de d finir une variable d environnement Taille de m moire tampon insuffisante 1124 1125 1126 1127 1128 1129 1130 1131 1132 1133 1134 1135 1136 1137 1139 1141 1143 Impossible de charger la biblioth que de liaisons dynamiques 5 La fonction 5 sp cifi e est introuvable Impossible d ouvrir le s maphore 5 Impossible de lib rer le module 5 Une exception s est produite pendant l ex cution d une nfonction sous syst me de PN nCode derni re erreur 1 nCode de retour fonction 2 nModule 3 nNum ro de ligne 4 nAdresse 5 nVeuillez contacter Utimaco Safeware AG Une erreur critique s est produite pendant l ex cution ind une ou de plusieurs fonctions sous syst me de PN n nCode d erreur fatale 1 nCode d erreur OS 2 nModule 3 nFonct
300. nouveau client SGE et s authentifier avec ces donn es sur le client REMARQUE Vous ne pouvez enregistrer qu un et un seul client la fois Conditions Une connexion r seau doit exister entre le nouveau client SGE et le serveur SGE SafeGuard Easy doit tre install sur le client SGE concern avec l option Liaison serveur Le nouveau client SGE ne doit pas tre enregistr sur le serveur Si le nouveau client SGE est d j enregistr sur le serveur SGE et doit imp rativement tre r enregistr l entr e client doit tre d abord supprim e de la base de donn es puis enregistr e nouveau Les clients sont supprim s de la base de donn es SGE via le menu Postes de travail Supprimer le poste de travail L utilisateur de la console d administration doit conna tre les donn es d acc s SafeGuard Easy au nouveau client SGE Comment proc der 1 Contr ler la connexion r seau entre le client et le serveur 2 D marrer la console d administration et ouvrir une session dans la base de donn es Connexion la Base de Donn es J x m Information du serveur de SafeGuard Easy Nom du serveur SERVEROS M Utiliser l authentification par d faut de la base de donn es m Authentification de la Base de donn es Nom de l utilisateur Mot de passe de utilisateur Annuler 3 Appeler le menu Extras Enregistrer poste de travail Console d Administratio
301. ns aux questions Vous pouvez voir le caract re qui doit tre entr Alphab tique indique avec quel mot le caract re peut tre li pour viter les confusions comme les mots de code radio dans cet exemple En r gle g n rale on utilise des pr noms dont la premi re lettre est alors entr e dans les champs de code La fen tre affiche le code de r ponse r el Il vous suffit de le lire de haut en bas Code de r ponse 30 caract res 1PM AJB 4GY 7XM 6VR TLM XYL 87X F4K TBJ Aide l pellation Copier dans le presse papiers lt Pr c dent Un Papa Mike Alpha Juliette Bravo Quatre Golf Yankee Sept x Ray Mike Six Victor Romeo LD C0 J O7 O1 4e UN I DLNEXI lt NDeNeREU Aide l pellation E Position Caract re Alphab tique 2 Iv 399 26 4 largissement du concept Requ te R ponse Outre le proc d standard il existe encore diverses solutions Requ te R ponse logicielles et mat rielles 26 4 1 Console service assistance Pour les environnements de plus grande tendue dans lesquels le personnel du service d assistance ne doit pas conna tre les mots de passe principaux des clients SGE le syst me peut tre tendu par un module mat riel de chiffrement CryptoServer et une solution logicielle Console service assistance mat rielle Quand on utilise le CryptoServer 2000 les mots de passe de l administrateur SafeGuard
302. nstallation le client en informe le serveur qui supprime alors l entr e du client concern de la base de donn es 449 30 1 4 Combinaisons SGE client SGE serveurs prises en charge Les versions SGE Client et SGE Server peuvent tre syst matiquement combin es Par exemple SafeGuard Easy Server v4 50 fonctionne avec SafeGuard Easy Clients v4 40 sans aucun probl me et inversement Pour les clients SGE lt v4 11 toutefois il existe les restrictions suivantes en mati re de fonctionnalit m pas de changement de l tat client apr s mise OFFLINE m pas de nouvel enregistrement d un client m L enregistrement d autres versions de SafeGuard Easy Clients sur un autre serveur SafeGuard Easy Server est impossible 444 30 2 change de donn es entre client et serveur Dans la version actuelle de SafeGuard Easy les informations SafeGuard Easy sensibles ne sont plus simplement transf r es l aide des fichiers de configuration mais galement chang es en ligne entre SafeGuard Easy Server et SafeGuard Easy Client Cette connexion doit tre prot g e et configur e 30 2 1 Communication s curis e Pour prot ger de fa on appropri e les informations Safeguard Easy le transfert des donn es est chiffr Le chiffrement de la connexion n est toutefois utile qu une fois que chaque client s est authentifi sur le serveur SGE pour l change d informations et inversement REMARQUE Client
303. nstaller Non autoris 4 cage autoris partir de support es Modi itoris fier la temporisation de verrouillage de poste Non autoris Modifier les param tres de poste de travail Non autoris Modifier les param tres de MBR Non autoris 4 gt Annuler Les nouveaux utilisateurs n ont aucun droit lors de leur cr ation Seul l utilisateur SYST ME dispose de tous les droits Les droits auxquels l utilisateur n a pas acc s ne sont pas affich s dans l aper u et ne peuvent pas tre modifi s 12 7 2 Transfert de droits d utilisateurs Un utilisateur peut galement transf rer des droits d autres utilisateurs si tant est qu il en dispose lui m me Si un administrateur par ex un sous administrateur syst me souhaite modifier des propres droits il ne peut pas le faire lui m me II doit s adresser un administrateur plus haut que lui dans la hi rarchie p ex l administrateur syst me et lui demander de proc der aux modifications souhait es Pour transf rer ses propres droits d autres utilisateurs un profil d utilisateur doit avoir la propri t Modifier les param tres d utilisateur 174 13 Param tres du mot de passe Le mot de passe joue un r le central dans SafeGuard Easy A partir du mot de passe SafeGuard Easy saisi l authentification avant amor age
304. nt nous recommandons de ne pas utiliser une base de donn es serveur pour administrer un nombre important de stations de travail Vous devez alors mettre en place une structure organisationnelle et administrative dans laquelle les stations de travail sont administr es par diff rents serveurs 30 3 5 Restauration de serveur base de donn es SafeGuard Easy Pour restaurer avec succ s le serveur SGE ce qui suit est essentiel m Sauvegardez certains fichiers se trouvant par d faut dans le r pertoire de produit C Programme Utimaco SafeGuard Easy Sgeasy mdb Wksinfo stg Pubkey sto m Noter le nom NetBIOS et l adresse IP de l ancien serveur SGE fins de restauration Avec les fichiers sauvegard s le NetBIOS et l adresse IP vous pouvez restaurer l tat du dernier niveau des fichiers la remise en service d un serveur SGE 456 Ce faisant veuillez noter ce qui suit 1 Affectez au nouvel ordinateur serveur la m me adresse IP et le m me nom de NetBIOS R installez ensuite le serveur SGE server msi Une fois l installation termin e ne red marrez pas imm diatement l ordinateur Copiez les trois fichiers SGE sauvegard s dans le r pertoire de produit de SafeGuard Easy Red marrez l ordinateur Apr s red marrage ouvrez la console d administration de SGE Les entr es des clients SGE sont nouveau disponibles 458 30 4 Prise en charge Microsoft SQL Server Pour l en
305. nt d finis dans l administration Le programme de configuration n est pas requis Il n est pas non plus n cessaire de cr er un fichier de configuration m Fonctions distinctes sur un PC l administrateur du syst me configure SafeGuard Easy sur le PC de l utilisateur Si l administrateur syst me cr e un compte administrateur en suppl ment du compte utilisateur trois personnes ont acc s au syst me La configuration se fait l aide de la fonctionnalit d administration Le programme de configuration n est pas requis tant donn qu aucun fichier de configuration ne doit tre cr m Fonctions distinctes sur plusieurs PC l administrateur du syst me configure SafeGuard Easy sur son ordinateur pour plusieurs postes de travail Un assistant d administration peut tre int gr pour d autres t ches d administration Pour ce travail utilisez l assistant de configuration pour le d ploiement Vous cr ez ainsi un fichier dans lequel les d finitions sont sauvegard es Le fichier de configuration est transmis aux utilisateurs via une installation pr configur e Si sur l ordinateur de l administrateur du syst me vous souhaitez utiliser d autres param tres servez vous galement de l utilitaire d administration 96 8 2 D marrage de l utilitaire d administration et de l assistant de configuration pour le d ploiement LE Configurer les programmes par d faut NE accessoires b D m
306. nt l installation de SafeGuard Easy Client Il est d sormais possible de s lectionner cette fonctionnalit en option dans le programme d installation de SafeGuard Easy Client sous Utilitaires d administration Diverses am liorations mineures Plusieurs am liorations mineures ont t apport es notamment les suivantes Le programme d installation recherche le syst me d exploitation et ne poursuit pas l installation si Windows Vista est le syst me d exploitation utilis Sous Windows Vista la solution de s curit privil gi e consiste d ployer SafeGuard Enterprise L outil RepPBA exe est d sormais fourni sur le CD du produit SafeGuard Easy Cet outil permet de changer de m thode de connexion dans PBA par exemple de passer d une connexion avec un clavier une connexion avec une cl cryptographique La liste exhaustive des am liorations figure dans le fichier Lizemoi txt 14 1 4 Modifications par rapport aux versions ant rieures R initialisation du jeton USB Les jetons USB cr s avecles versions SafeGuard Easy ant rieures la version 4 11 ne peuvent pas tre automatiquement r utilis s dans la version actuelle car le format de donn es du jeton a chang Ces anciens jetons doivent tre r initialis s pour pouvoir ouvrir comme d habitude une session dans la PBA En r gle g n rale l utilisateur se charge lui m me de la r initialisation s il dispose du droit SafeGuard Easy cor
307. nternet Information Services Le code de r ponse correspondant aux requ tes est calcul et est pr sent l employ du centre d assistance Les membres du service d assistance s identifient de fa on individuelle et distance sur la page Web du serveur d informations Internet La console service d assistance centrale est disponible sous forme de compl ment autonome 26 4 2 Auto assistance Web L avantage essentiel de l assistance Web est que les utilisateurs peuvent r initialiser les mots de passe SGE oubli s sans faire appel au service d assistance Pour qu un utilisateur soit autoris red finir lui m me son mot de passe il doit d abord s enregistrer dans une base de donn es centrale L enregistrement se fait via un m canisme sp cial l utilisateur tape ses r ponses pour un nombre de donn es de questions au choix Ces r ponses sont enregistr es dans la base de donn es L utilisateur enregistr est valid par l administrateur et re oit un courrier lectronique contenant un code PIN Si l utilisateur souhaite ensuite g n rer un code de r ponse d auto assistance Web pour son profil SGE il doit saisir le code PIN et les r ponses correctes La proc dure s effectue sur le Web et est donc accessible de pratiquement n importe o sans logiciels suppl mentaires La fonctionnalit d auto assistance est disponible sous forme de compl ment autonome 394 26 4 3 VOICE TRUST Une autre extension p
308. ode est pratique quand de nombreux objets doivent tre administr s pour faciliter l administration et conserver une clart suffisante Le menu Affichage de chaque onglet permet d acc der la d finition du filtre Le filtre est d fini en deux tapes m Param trage du filtre m Activation du filtre Console d Administration de SafeGuard Easy Serveur SER Fichier Edition Affichage Poste de Travail Extras Aide Groupes Pi SA P Poste de Travail n a Requ tes WKS 0a Param trer Filtre Ctrl F 31 7 1 Configuration d un filtre Les postes de travail peuvent tre affich s masqu s de diverses mani res Une option avanc e permet m me de d finir comme r gle l intersection de groupes marqu s c est dire que les postes de travail ne sont affich s que lorsqu ils sont membres du groupe A et du groupe B Param trer Filtre pour les Postes de Travail Vue des stations de travail Pour les groupes et requ tes le filtrage est possible par nom et description Avec les requ tes il est en outre possible de n afficher que les requ tes ayant chou Param trer Filtre pour les Groupes M Vue des Ej groupes Param trer Filtre pour les Requ tes E Vue des requ tes Des caract res g n riques peuvent galement tre utilis s dans les champs Nom comme et Description comme Seul l ast risque est accept comme car
309. ofil d utilisateur requiert un Token pour l ouverture de session dans FILELINK SGE_INFO DLL IMSGLINK 102 L application a t bloqu e pendant plus de 30 secondes car elle attend un appel pour se terminer Dans la plupart des cas ceci se produit lorsque l ordinateur est occup Voulez vous attendre jusqu ce que l application soit pr te ou terminer l appel Erreurs de l Assistant de migration 2001 548 L Assistant Migration n a pas pu tre initialis Erreurs SGEGINA 2100 La tentative d ouverture automatique de session a chou n nVoulez vous modifier la relation actuelle entre l utilisateur de PN net l utilisateur du syst me d exploitation 2101 Vous devez modifier votre mot de passe nLa connexion automatique SAL sera d sactiv e au cours de cette session de connexion Erreurs de d sinstallation 2201 La proc dure de d sinstallation ne peut pas tre d marr e car une nop ration de chiffrement ou de d chiffrement est actuellement en cours 2202 Le d senregistrement d un composant a chou 2203 La proc dure de d sinstallation ne peut pas continuer car au moins une partition trang re de disque dur a t d tect e La d sinstallation de MSGFILE SGE_INFO dI MSGLINK 102 ne peut pas se poursuivre Erreurs d installation tendue 2301 Le programme d installation poss de le mauvais num ro de version et n a pas pu tre utilis 2302 Pour l instal
310. ogin Connexion si vous avez choisi Token Jeton Aladdin RSA ou Fingerprint Empreinte Jeton obligatoire Cette option indique que SafeGuard Easy impose l ouverture de session avec jeton pour tous les utilisateurs SGE d un poste de travail AVERTISSEMENT Dans le mode Uniquement avec jeton vous devez poss der un jeton comportant les donn es d acc s SafeGuard Easy Avec un jeton vide vous ne pourrez plus ouvrir de session sur votre ordinateur lorsque l authentification avant amor age aura t activ e apr s l installation Jeton facultatif Cette option signifie que des utilisateurs ouvrent leur session soit avec jeton soit en saisissant les donn es SGE Avec cette option un utilisateur SafeGuard Easy peut tre contraint d utiliser uniquement un jeton tandis que tous les autres utilisateurs peuvent s lectionner un jeton ou des donn es utilisateur de SafeGuard Easy pour se connecter 5 Si vous avez s lectionn Token optional Jeton facultatif s lectionnez User lt username gt Logon Utilisateur lt nom d utilisateur gt Connexion puis sp cifiez la personne devant se connecter avec un jeton Vous pouvez par exemple sp cifier qu un utilisateur particulier appel utilisateur_1 doit se connecter avec un jeton Required Requis tandis que l utilisateur utilisateur SYST ME peut choisir entre un jeton et la saisie manuelle des donn es d acc s Safe
311. ois Cependant avant de proc der le profil utilisateur de SafeGuard Easy doit disposer de droits suffisants Si un utilisateur ne dispose pas de droits de d sinstallation ces derniers ne peuvent tre affect s par l interm diaire de la proc dure Requ te R ponse voir Maintenance distance Requ te R ponse Il est judicieux de proc der galement une v rification des supports de donn es dans Windows Vous trouverez des informations ce sujet dans votre documentation Windows chec du d chiffrement Veuillez contacter notre quipe de support en cas d chec de la proc dure de chiffrement ou d chiffrement Support tendu des expertises param tre NoReboot La fonction de d chiffrement d urgence de SafeGuard Easy inclut le pa ram tre de commande NoReboot pour le programme d urgence SGE ASY exe Ce param tre de ligne de commande permet d viter le red marrage automatique apr s le d chiffrement d urgence Ceci est par ticuli rement utile en cas d expertise du disque dur Comment proc der 1 D marrez le support d urgence D marrer Sgeasy exe NoReboot 2 3 Le d chiffrement ou la d sinstallation d urgence est termin e 4 L ordinateur est arr t et le syst me affiche un texte d information Il est possible d ex cuter d autres programmes ou d effectuer toute autre op ration avec l ordinateur 408 Le disque dur est endommag Veuillez noter ce qui suit
312. om de serveur dans le mod le administratif d Utimaco Cette strat gie se trouve dans le mod le d administration de SafeGuard Easy sous Configuration ordinateur Mod les d administration SafeGuard SGEasy Propri t s de SGEasy 21x Strat gie Expliquer l E SGEasy C Non configur e C D sactiv e M Ouverture de session automatique s curis e IV Bo te de dialogue SGE asy pour annuler le verrouillage de poste de tra FN Affichage de l image d arri re plan sur le Bureau d ouverture de sessio F Ouverture de session automatique s curis e avec cartes puce Utim IV R initialisation de param tres de chiffrement temporaires la fermeture Utilisation CPU standard pour le chiffrement Fi 00 4 FN Utilisation CPU modifiable pour le chiffrement Intervalle d interrogation du client en heures 6 Nom du serveur server03 Strat gie pr c dente Strat gie suivante 30 3 4 Capacit maximale de la base de donn es SafeGuard Easy La base de donn es SafeGuard Easy est dans ses param tres de base une base de donn es Microsoft Access La taille d une base de donn es Microsoft Access est limit e 2 Go mais peut tre agrandie en renvoyant d autres bases de donn es Un client SafeGuard Easy requiert apr s l enregistrement environ 5 7 Ko de l emplacement m moire de la base de donn es Pour 50 000 clients ceci repr sente donc env 340 350 Mo Cependa
313. on Utilisateur Administrateur Assistance Helpdesk Envoie l utilisateur un nouveau jeton vide avec mot de passe standard Entre ses donn es d utilisateur SGE dans la PBA et requiert le code de requ te avec F9 Appelle l administrateur assistance aide Appelle l assistant de d blocage distance Demande le code de requ te de l utilisateur Choisit dans la bo te de dialogue Actions ex cuter l option Accorder permission d initialisation d un jeton Transmet le code de r ponse l utilisateur Entre le code de r ponse dans les cases pr vues cet effet et ouvre une session Connecte le nouveau jeton au red marrage de l ordinateur entre le mot de passe standard et crit les donn es d acc s SGE sur le jeton quand celui ci n est pas encore initialis L utilisateur n crit pas personnellement les donn es du syst me d exploitation sur le jeton ces derni res proviennent du fichier SAL et sont enregistr es sur le jeton pendant la connexion REMARQUE Quand le jeton a d j t initialis via Token Administration une proc dure Requ te R ponse est inutile L administrateur doit uniquement communiquer le mot de passe du jeton l utilisateur L utilisateur a oubli son mot de passe de jeton Utilisateur Administrateur Assistance Helpdesk Autoriser une ouverture de session unique sans jeton l utilis
314. on d action d pend de son profil de droits 8 3 2 Barre d ic nes et d outils L utilitaire d administration comporte une barre d ic nes avec des boutons pour les commandes les plus importantes de gauche droite ID rt m Enregistrer Enregistre les nouveaux param tres Si des modifications de param tres requi rent un red marrage du syst me une bo te de dialogue est affich e m Poste de travail Permet de retrouver l utilitaire d administration la prochaine ouverture de session tel qu il a t quitt m me taille position de fen tre m me page de configuration etc m Aide Affiche l aide en ligne m Signe plus moins Le signe plus affiche dans la fen tre de droite tous les param tres subalternes le signe moins minimise la vue ne laissant que les titres des rubriques m Cr er un utilisateur Ajoute un nouvel utilisateur affichage d pendant du profil des droits de l utilisateur ayant ouvert la session m Copier un utilisateur Copie un utilisateur existant affichage d pendant du profil des droits de l utilisateur ayant ouvert la session m Supprimer un utilisateur Supprime un utilisateur de la liste affichage d pendant du profil des droits de l utilisateur ayant ouvert la session m Modifier le mot de passe Permet l utilisateur ayant ouvert la session de modifier son mot de passe 102 Toutes ces commandes peuvent tre galement appel es via les diff rents menus Fichie
315. on et ex cute SGEasy msi SGEasy msi utilise le fichier Setup ini dans lequel les param tres suivants peuvent tre d finis condition qu ils soient pr sents dans la syntaxe CmaLine param trei param tre Ceci est galement valable pour l installation du syst me ex cutable Runtime msi et du serveur SafeGuard Easy SGEasy msi 26 3 Installation locale Dans le cas d une installation locale SafeGuard Easy est install sur un client autonome partir du CD de produit Les tapes suivantes expliquent comment on proc de une installation locale L utilisateur qui doit installer SafeGuard Easy doit se connecter avec des droits d administration de Windows car il doit acc der au disque dur pour installer des pilotes et des services syst me qui n cessitent galement des droits de niveau administrateur 28 3 1 Comment proc der Comment installer SafeGuard Easy 1 Si vous utilisez un CD de programme l installation est automatiquement lanc e lorsque vous ins rez le CD dans le lecteur CD ROM si ce n est pas le cas appelez le fichier Setup exe dans le r pertoire Client du CD de programme Un assistant d installation vous guide alors dans l installation Cliquez sur Suivant La bo te de dialogue Contrat de licence appara t Si vous acceptez les termes du contrat de licence cochez la case J accepte le contrat de licence Vous devez accepter les modalit s du contrat de licence p
316. orisation d initialisation d un jeton L assistant de d blocage distance peut tre install sur un ordinateur ou sur le PDA du collaborateur du service assistance 380 26 1 1 Version PDA de l assistant de d blocage distance La version PDA de l assistant de d blocage distance se trouve sur le CD SafeGuard Easy 1 Copiez le fichier SGE CRW PPC30 ARM cab du r pertoire TOOLS du CD SafeGuard Easy sur le PDA 2 Acc dez au fichier SGE CRW PPC30 ARM cab l aide de l explorateur de fichiers du PDA L installation est imm diatement effectu e 3 Apr s l installation un d marrage chaud est n cessaire Si le code de r ponse est g n r sur un PDA SafeGuard PDA doit y tre install 26 2 Cr ation d un code de requ te Le code de requ te est g n r par l utilisateur qui a par ex oubli son mot de passe SafeGuard Easy Ind pendamment du type de d marrage du syst me il en r sulte des m thodes diff rentes la cr ation du code de requ te D marrage du syst me avec PBA Lors du d marrage du syst me avec PBA l utilisateur doit entrer son nom SGE dans la PBA puis modifier son mot de passe Le code de requ te est affich apr s appui sur F9 SafeGuard Easy D marrage du syst me sans PBA Au d marrage du syst me sans PBA un symbole de disquette appara t pendant quelques secondes dans le coin de gauche dans le haut de l cran lors de l amor age de l o
317. ossible du syst me Requ te R ponse est la configuration d un serveur biom trique de VOICE TRUST avec modules connecter pour SafeGuard Easy ou SafeGuard PDA Le serveur VOICE TRUST est en mesure d authentifier la voix des utilisateurs Voiceprint et ex cute automatiquement la proc dure Requ te R ponse compl te avec l utilisateur sous forme de reconnaissance et synth se vocale 24 heures sur 24 Le personnel du service d assistance n est mis contribution que dans des cas exceptionnels ce qui permet de le lib rer des t ches de routine telles que la r initialisation de mots de passe oubli s Veuillez contacter votre fournisseur SafeGuard Easy local pour plus de d tails sur les extensions en option 27 Cr ation de supports de restauration d urgence et sauvegarde du noyau syst me Quand votre ordinateur affiche des messages d erreur SafeGuard Easy une fois le disque dur chiffr le noyau syst me SafeGuard Easy ne peut pas tre trouv dans la plupart des cas Le noyau syst me contient les pilotes pour SafeGuard Easy et le MBR Les erreurs qui se sont produites peuvent tre fr quemment corrig es en chargeant le noyau syst me actuel s curis Pour charger le noyau syst me l utilisateur doit cependant disposer la fois d un noyau syst me intact et d une disquette CD cl de USB de secours Cette disquette CD cl USB contient le noyau syst me s curis et les fichiers de r solution des erreurs Safe
318. oupe Pour adapter le fichier MSI vous devez disposer d un diteur permettant de traiter les fichiers MSI par ex ORCA ou Netinstall REMARQUES ORCA fait partie du PSDK Microsoft Platform Software Development Kit Vous pouvez t l charger le PSDK sur le site Web de Microsoft 4 2 1 Conditions m Vous devez vous assurer que ni Windows 2000 ni Windows XP ne sont en service sur les ordinateurs des utilisateurs m Avant un red marrage tous les appareils pr vus pour l installation doivent tre d plac s galement dans l unit d organisation pour laquelle l OSG configur est utilis m Pour la distribution centralis e du logiciel les PC clients doivent tre reli s au domaine Directory et un compte d ordinateur doit tre d fini et actif pour le PC et m lIdoit y avoir suffisamment d emplacement m moire sur la partition syst me 48 4 2 2 Personnalisation des packages MSI avec un diteur Cette section indique comment cr er un fichier de transformation extension mst afin de modifier le package MSI SGEasy msi Utilisez l outil Orca pour ce faire Le fichier MST modifie les caract ristiques d installation du fichier MSI Le fichier MSI reste cependant inchang IMPORTANT modifications L installation de paquets MSI modifi s n est pas prise en charge Nous recommandons d utiliser des fichiers de transformation MST pour les Proc dez comme sui
319. our conclure l installation Cliquez sur Suivant La bo te de dialogue Dossier destination s affiche Sp cifiez le dossier cible requis Le r pertoire d installation par d faut est UTIMACO SafeGuard sur le lecteur d amor age Si un produit SafeGuard existe d j sur le poste de travail son r pertoire d installation est automatiquement s lectionn Pour le nom du r pertoire n utilisez pas de caract res sp ciaux Cliquez sur Suivant La bo te de dialogue S lectionner mode d installation appara t Vous pouvez y s lectionner les composants que vous souhaitez installer Cliquez sur Suivant Chiffrement Installe compl tement SafeGuard Easy avec tous les composants disponibles Options facultatives m SAL Secure Auto Logon Connexion automatique s curis e M morise les donn es d acc s Windows lors de la connexion initiale de fa on ce que seules les donn es utilisateur de SafeGuard Easy doivent tre entr es dans le module PBA authentification avant le d marrage pour se connecter voir Ouverture de session unique Single Sign On dans le syst me d exploitation Connexion un serveur Imp ratif pour la communication chiffr e entre le client et le serveur quand le poste de travail doit tre administr de fa on centralis e Il n est pas n cessaire d installer l agent de r seau quand le poste de travail est utilis de fa on autonome voir Administration centrale
320. ours DIRECTEMENT partir du disque dur Cela s applique galement au premier red marrage la fin du chiffrement Ne plus modifier les partitions Apr s le chiffrement du premier disque dur de votre ordinateur ou d une seule partition vous ne pourrez plus modifier les partitions Pour changer les partitions vous devez commencer par d sinstaller SafeGuard Easy supprimer le chiffrement du premier disque dur puis cr er supprimer les partitions et r installer SafeGuard Easy Ne pas interrompre le chiffrement initial des disques durs connectables chaud Le terme connectable chaud d signe les p riph riques USB qui peuvent tre connect s et d connect s sans devoir red marrer le syst me Il ne faut pas interrompre le chiffrement initial des disques durs connectables chaud Dur e du chiffrement initial L op ration de chiffrement initial avec AES 256 par SafeGuard Easy n cessite environ 10 Go et dure entre 20 et 30 minutes sur un ordinateur portable de derni re g n ration 38 3 3 Bo te de dialogue d affichage de la progression du chiffrement Si pendant l installation le chiffrement du disque dur ou d une partition a t activ une fen tre indiquant la progression du chiffrement est affich e ss 1 SafeGuard Easy i x Chiffrement 1 Temps coul 0 16 50 Progression du chiffrement pour Temps estim 0 00 00 une pa rtition chiffrement C
321. ous voyez appara tre le champ de saisie du nom d utilisateur quand vous appuyez sur F2 IMPORTANT L utilisateur SYSTEM doit toujours ouvrir une session avec le nom d utilisateur et le mot de passe 7 3 Ouverture de session avec jeton SafeGuard Easy vous donne la possibilit d ouvrir une session PBA avec un jeton lectronique Ceci est une m thode rapide et confortable pour ouvrir une session sur un ordinateur s curis Si un jeton USB est connect la bo te de dialogue PBA comporte un champ de saisie pour le mot de passe de ce jeton Apr s confirmation de la saisie le syst me v rifie si l utilisateur SGE enregistr sur le jeton existe sur l ordinateur En cas de concordance des donn es l ouverture de session a lieu SafeGuard Easy 88 7 4 Modifier le mot de passe SafeGuard Easy avec la touche F10 Les utilisateurs peuvent modifier eux m mes le mot de passe SafeGuard Easy avec la touche F10 L utilisateur entre d abord dans ce cas ses donn es SGE actuelles et les confirme avec F10 II est ensuite invit entrer un nouveau mot de passe L administrateur SGE peut toutefois prescrire galement la d finition d un nouveau mot de passe apr s coulement d un certain laps de temps En cas d ouverture de session avec jeton F10 sert modifier le mot de passe du jeton et non pas les donn es SGE qu il contient 7 5 Fonction d aide pour r initialiser les mots de passe oubli s
322. ouvable dans le fichier INI ou dans le fichier de configuration Un syst me PN complet ou ex cutable ne peut pas tre install avec des disques dynamiques n nSeuls les utilitaires d administration peuvent tre s lectionn s pour l installation Impossible de cr er le fichier de noyau Impossible de modifier le fichier Config sys Impossible de copier le fichier 1 Aucun r pertoire de destination n a t d fini Un mot de passe d administrateur syst me incorrect a t sp cifi n nVoulez vous essayer nouveau Aucun mot de passe d administrateur syst me n a t d fini En mode double amor age le lecteur d amor age de Windows doit tre d fini sur amor able Le lecteur d installation doit tre chiffr pour le mode double amor age 1076 1077 1078 1079 1080 1081 1082 1083 1084 1085 1086 1087 1088 536 L op ration de d sinstallation a chou nVous trouverez des informations additionnelles dans le fichier Sgeasy log La d sinstallation du syst me GINA a chou De nouveaux pilotes et services ont t install s Nous vous recommandons fermement de cr er maintenant une nouvelle sauvegarde parce que vous ne pouvez pas utiliser les anciennes sauvegardes pour la restauration lorsque SafeGuard Easy est install La d sinstallation du client GINA SGEGINA a chou La suppression d une entr e de menu syst me a chou La supp
323. param tres du syst me sont r tablis Les param tres permanents sont ceux qui restent conserv s m me apr s red marrage du syst me Les droits suivants peuvent tre octroy s Modifier temporairement Permet de modifier la cl de la cl de p riph rique p riph riques amovibles pendant une amovible session de travail Modifier temporairement Permet de modifier la cl de la cl de disquette disquettes pendant une session de travail Commuter le chiffrement Permet d activer ou de d sactiver le de disquettes chiffrement de disquettes Commuter le chiffrement Permet d activer ou de d sactiver le de p riph riques chiffrement de p riph riques amovibles amovibles Modifier les cl s de Permet de modifier les cl s pour tous chiffrement les lecteurs Ceci n est pas valable pour le disque dur quand il est chiffr Modifier les cl s de Permet de modifier l tat de chiffrement chiffrement et les cl s Modifier les r gles de mot Permet de modifier les r gles de passe g n rales des mots de passe 170 Modifier les param tres de l utilisateur Permet de modifier les param tres des utilisateurs Doit tre d fini pour octroyer des droits d autres utilisateurs Modifier le Gestionnaire d amor age Permet de modifier les param tres des Gestionnaire d amor age Pour une d sinstallation Permet de d sinstaller SafeGuard Easy Amor age autoris
324. pas d enregistrer aussi les options correspondantes ServerCon SERVER dans la ligne de commande par ex msiexec i D Sgeasy msi ADDLOCAL Sgeasy Encryption ServerCon CFGFILE D SGEmig cfq SERVER Server01 qn REMARQUES La connexion au serveur et le support jeton ne peuvent plus tre ult rieurement activ s apr s la mise jour Apr s la mise jour Apr s la mise jour le client red marre et la migration est achev e 5 3 V rification du noyau syst me la mise jour La mise jour sera possible si le noyau syst me SafeGuard Easy est intact A partir de la version 4 20 1 SafeGuard Easy v rifie le noyau avant chaque mise jour et avertit l utilisateur de cette op ration par un message dans la fen tre d installation Votre syst me de fichiers est en cours d analyse veuillez patienter Si le noyau syst me est intact la mise jour se d roule sans probl me Si le noyau syst me n est pas intact un message d erreur s affiche l cran pour indiquer les probl mes possibles et recommander l ex cution d un programme de r paration SGEInteg avant de lancer la mise jour 5 3 1 Que se passe t il lorsque le noyau syst me n est pas intact 1 Lancer la mise jour du syst me 2 Le programme de v rification SGElInteg d marre en arri re plan analyse le noyau syst me et tablit s il est intact ou non 3 Un message s affiche SGElnt
325. passe du jeton a t oubli Cette m thode garantit en outre que seul un utilisateur l gitime peut ouvrir une session 244 15 13 1 Conditions pour la t l assistance Une t l assistance jeton effective n cessite l installation des param tres suivants sur le client SGE m Mode d authentification jeton optionnel voir General Authentication Login Mode G n ral authentification Mode de connexion m Type d authentification pour l utilisateur requis voir Users lt nom_utilisateur gt Logon Utilisateur lt nom_utilisateur gt Connexion REMARQUES m L utilisateur doit conna tre les donn es de l utilisateur SafeGuard Easy sur l ordinateur de l utilisateur Dans le cas contraire il n est pas possible de lancer la proc dure Requ te R ponse moins que l administrateur ne fournisse les donn es d un autre utilisateur SGE l utilisateur m Une d sactivation permanente du support de jeton n est pas possible via la proc dure Requ te R ponse 15 13 92 Exemple d utilisation Dans les exemples ci dessous nous allons expliquer quelles sont les t ches de l utilisateur et de l administrateur quand un utilisateur oublie perd son jeton ou ne se rappelle plus son mot de passe de jeton Pour tous les exemples les conditions suivantes doivent tre remplies sur le client SGE Mode d authentification jeton facultatif voir General Authentication Login Mode G n ral a
326. posant de connexion Utimaco maintenez enfonc e la touche F8 lorsque le syst me passe de l cran bleu au bureau vide au d part m Si vous n appuyez pas sur F8 une bo te de dialogue s affiche Cette bo te de dialogue permet l utilisateur de d cider si les composants d ouverture de session Microsoft d origine ou ceux d un tiers sont adress s apr s appel des composants d ouverture de session Utimaco Cette demande est affich e jusqu ce que l utilisateur d cide galement de d sactiver la demande Dans ce cas la derni re s lection effectu e reste valide L utilisation de composants Microsoft d origine garantit un fonctionnement correct de l ouverture de session mais d sactive le cas ch ant certaines fonctions du produit tiers suppl mentaire Le manque d homog n it rend parfois difficile l ex cution concomitante de plusieurs composants d ouverture de session Windows 94 Pour des restaurations importantes il est possible de contourner cette interaction utilisateur Pour ce faire l administrateur doit s assurer que avant le red marrage suivant l installation du nouveau composant de connexion la valeur de registre ForceKnownGina de la cl HKLM Software Utimaco SGLogon passe de 0 1 le nouveau composant de connexion sera appel par les extensions de connexion de SafeGuard Par le r glage de cette valeur sur 2 les composants d ouverture de session d origine continueront tre app
327. pprimer l utilisateur Dans un fichier de configuration il est aussi possible de sp cifier une nouvelle commande de suppression pour supprimer un profil d utilisateur partir de la machine cible Commande de la configuration un mode de Configuration Annuler Dans la liste d utilisateurs s lectionnez le profil d utilisateur que vous souhaitez supprimer Tous les profils faisant partie de votre domaine d administration s affichent Ouvrez le menu d roulant derri re le nom d utilisateur et choisissez la propri t Supprimer correspondant au nom d utilisateur supprimer Vous pouvez cependant ne supprimer que les profils poss dant un niveau hi rarchique inf rieur votre propre profil La suppression d un utilisateur est irr versible 166 12 6 Caract ristiques d utilisateur On reconna t les droits attribu s un utilisateur aux extensions derri re son nom inix Fichiers Affichage Utilisateur Adistance Extras Aide De EE RE G n ral isati lt lt Chiffrement fP Les utilsateurs Ouverture de session simplifi e dis Non Date d expiration Changement du mot de passe Changer le mot de passe la proch Oui Mot de passe Mot de passe D fini Droits Droits Appuyez sur F1 pour obtenir de l aide Par partition pas de lecteur chiffr Num 12 6 1 Longueur minimum du nom de l utilisateur Dans ce champ vous indiquez le nombre minimum de caract res que doit compo
328. pression des destinations Si une destination n est plus requise vous pouvez la supprimer de la liste Choisissez la commande Supprimer et confirmez votre choix la demande du syst me REMARQUE Vous pouvez supprimer les destinations qui restent utilis es Pour viter tout probl me un avertissement s affiche D s qu une destination est supprim e tous les v nements qui y sont li s sont d sactiv s 29 4 4 Copie de destinations Les destinations sont copi es entre diff rents OSG m via les commandes copier coller dans le menu contextuel Auditing m avec la fonctionnalit glisser d poser Toutes les destinations existantes sont cras es 494 29 5 S lection d v nements Chaque produit de la famille SafeGuard comprend sous SafeGuard Auditing divers r pertoires contenant les v nements pr d finis pour chacun des produits install s Voici comment configurer les v nements et les affecter des destinations d finies 1 Cliquez sur un des r pertoires de l arborescence sous Auditing 2 Diff rentes colonnes apparaissent dans la partie droite de l cran Cliquez sur un en t te de colonne pour trier les v nements en fonction de ce dernier Vous pouvez trier les donn es en fonction de la cat gorie du type de l v nement du statut ou de la destination v nement 2008 Propri t s 1x G n ral Code PIN chang C Non configur C D sacti
329. pri t s de Affichage E aixi Ari re plan cran de veille Apparence Web Effets Param tres cran de veille Bo te florissante 3D OpenGL Param tres Aper u M Prot g par mot de passe Attente 54 minutes Fanctinns d ranamis d nerais dii manieri Il convient de choisir galement un conomiseur d cran et d adapter ensuite les options Prot g par mot de passe et Attente m Prot g par mot de passe Impose la demande du mode de passe SafeGuard Easy la case doit tre coch e m Attente Indique la dur e en minutes devant s couler sans intervention de l utilisateur sur le poste de travail avant que le verrouillage du poste de travail ne s active 308 Si vous entrez ici 15 l cran sera teint au bout de 15 minutes si aucune intervention de l utilisateur n a lieu pendant ce temps Pour continuer son travail l utilisateur doit ouvrir nouveau une session avec le mot de passe SafeGuard Easy Pour prot ger le poste de travail contre l intervention non autoris e de tierces personnes veuillez activer le verrouillage de poste de travail 18 3 D sactivation du verrouillage de poste de travail SafeGuard Easy Vous avez la possibilit de d sactiver le verrouillage de poste de travail SafeGuard Easy et d afficher la place la bo te de dialogue Windows normale AVERTISSEMENT La bo te de dialogue Windows normale n est pas d verrouill e avec le
330. profit de la s curit dans le mat riel avec contr le int gral simultan de leur infrastructure Pour plus amples informations sur TPM ESS et CSS veuillez vous r f rer votre documentation Lenovo 23 1 SafeGuard Easy et TPM Le support SafeGuard Easy TPM offre une fonctionnalit tendue pour PC avec puce ESS TPM Les fonctions les plus importantes sont Int gration CSS Quand des utilisateurs de postes de travail avec puce TPM veulent continuer utiliser CSS SafeGuard Easy int gre sans probl mes cette fonction Si SafeGuard Easy est combin avec CSS l utilisateur a la possibilit de faire ouvrir automatiquement une session dans le TPM apr s authentification avant amor age Dans ce cas les donn es sont enregistr es par SafeGuard Easy et transf r es automatiquement au processus de connexion de SafeGuard Ceci vite l utilisateur d avoir m moriser un autre mot de passe G n rer une cl al atoire via TPM La puce Lenovo ESS TPM Chip comporte un g n rateur de nombres al atoires SafeGuard Easy exploite ce m canisme pour g n rer des cl s de session et des cl s al atoires S curiser la connexion client serveur SGE via TPM SafeGuard Easy peut galement utiliser le g n rateur TPM pour s curiser la connexion client serveur dans le cadre de l administration centrale Dans le cadre de l administration centrale client et serveur SGE g n rent respectivement une paire de cl s RSA pou
331. prolong e Il est possible dans ce cas d exiger l entr e du mot de passe Windows au red marrage Options d alimentation Avanc Demander un mot de passe lorsque l ordinateur sort de mise en veille Ce param tre oblige l utilisateur ouvrir une session suppl mentaire avec ses donn es Windows inconv nient double authentification 318 20 3 Conditions et restrictions La combinaison de SafeGuard Easy et de la mise en veille prolong e fonctionne dans les conditions suivantes La mise en veille prolong e avec SafeGuard Easy prend en charge Windows 2000 et Windows XP les disques durs Microsoft IDE Serial ATA SCSI qui utilisent les interfaces par d faut de Microsoft Si aucune interface par d faut n est utilis e Serial ATA risque de provoquer des probl mes pour certains p riph riques Modes de chiffrement SGE Standard et Partitionnement La mise en veille prolong e avec SafeGuard Easy ne prend pas en charge Pilotes de disque dur d autres fabricants Mode de chiffrement SGE Protection des zones d amor age REMARQUE Lorsque vous utilisez des p riph riques externes ou des cartes d extension cartes son etc assurez vous qu elles prennent en charge les fonctionnalit s de gestion d nergie Microsoft et que l ordinateur peut tre plac en mode Veille prolong e et r activ m me si SafeGuard Easy n est pas install
332. q Non 31 3 1 Modification de la description du client Pour donner un autre nom et une autre description un poste de travail affich sous l onglet Poste de travail ouvrez la commande Changer la description dans le menu Poste de travail Les entr es modifi es sont imm diatement valid es 31 3 2 Suppression de client Pour supprimer un client cliquez sur Supprimer le poste de travail dans le menu Postes de travail Le client est alors supprim de la liste des postes de travail enregistr s 484 31 4 Nouvel enregistrement du client SafeGuard Easy Le mode utilis pour le nouvel enregistrement d un client SGE est n cessaire quand le client SGE n est pas connu du serveur SGE Dans la pratique la fonction peut tre appliqu e par exemple dans le cas suivant dans une entreprise la base de donn es SGE est sauvegard e chaque jour 5 h A 8 h un nouveau client SGE s enregistre avec succ s sur le serveur SGE et une panne de serveur se produit 10 h Le serveur SGE est restaur avec toutefois la l ancienne sauvegarde de base de donn es ex cut e 5 h Cette sauvegarde ne comporte pas le nouveau client SGE qui s est enregistr 8 h Via le nouvel enregistrement le client SGE est nouveau ajout dans la base de donn es SGE Pour que ce nouvel enregistrement soit valid l utilisateur de la console d administration doit conna tre les donn es d utilisateur SafeGuard Easy valides du
333. qu s Une entr e de ligne peut avoir par ex l aspect suivant password distribution Si par ex aucun mot de passe ne doit tre entr dans un champ laissez les guillemets en place dans la ligne comme caract res g n riques par ex password m Indiquez toujours les codes PIN actuellement valides pour la cl lectronique connect e Dans le cas contraire le script est interrompu et un message d erreur appara t m Apr s ex cution d un script un compte Windows d j existant sur la cl lectronique est cras m Apr s ex cution du script un nouveau r le suppl mentaire est cr sur la cl lectronique Si des r les MultiDesktop existent d j ils ne sont ni supprim s ni cras s m Siun compte Terminal Server existe d j il n est ni supprim ni cras apr s l ex cution du script Explications sur les entr es ditables pour SafeGuard Easy m configFile D signe le chemin absolu et le nom du fichier de configuration SafeGuard Easy Ex configFile D nstall cfg Le fichier de configuration doit avoir t cr avant le d ploiement automatique via l assistant de configuration pour le d ploiement SafeGuard Easy Il doit s agit ici d un fichier de configuration disposant de la propri t Installer 290 Le fichier de configuration doit imp rativement contenir les profils d utilisateurs SGE suivants 1 l utilisateur qui doit tre inscrit
334. que le nombre de connexions automatiques est d fini sur 3 le PC peut tre red marr trois fois de suite avec l authentification avant amor age PBA d sactiv e Lors du quatri me d marrage l cran d authentification avant amor age PBA s affiche de nouveau de fa on automatique si cette fonction est active Lors de ces phases de connexion automatique la bo te de dialogue de connexion de Windows ne s affiche pas L ordinateur d marre de fa on autonome et la mise jour automatique du logiciel peut tre ex cut e via le r seau 19 2 Verrouillage de l ouverture de session Windows En mode Wake On LAN l ordinateur est prot g contre les ouvertures de session Windows locales par l utilisateur Par contre le syst me affiche une bo te de dialogue d activation distance Windows logon is not allowed because this workstation was started by Wake On LAN without authentication La connexion Windows n est pas autoris e car cette station de travail a t activ e distance sans authentification r 44 SafeGuard Easy Une authentification Windows n est pas permise car cet ordinateur a t initialis par un d marrage distance W ake On L N sans aucune authentification Arr t du syst me Cependant le verrouillage de connexion Windows en mode d activation distance fonctionne uniquement lorsque SafeGuard GINA Utimaco Master GINA est install 314 19 3 Adapter le m
335. quez sur OK 6 La bo te de dialogue SAL est alors affich e SafeGuard Easy Ouverture de session automatique s curis e SafeGuard Easy peut automatiquement vous connecter Windows avec les informations que vous avez saisies au moment o vous d marrez le syst me 3 avec l ID d utilisateur actuel de SafeGuard Easy Voulez vous que SafeGuard Easy m marise vos nom d utilisateur et mot de passe Windows J Ne plus reposer la question pour l actuel utilisateur SafeGuard Easy _m Le PP Ve Oui Active la relation entre l utilisateur SafeGuard Easy et l utilisateur Windows Non N utilise pas la fonctionnalit SAL L tat de la case cocher Don t ask this question again for the current SafeGuard Easy user Ne plus poser cette question pour l utilisateur SafeGuard Easy actuel indique si la bo te de dialogue doit tre affich e apr s chaque connexion ou non 7 Cliquez sur OK et cochez la case 8 L utilisateur SafeGuard Easy est associ l utilisateur Windows Au prochain red marrage de l ordinateur l ouverture de session dans Windows sera automatiquement effectu e apr s saisie des donn es d utilisateur SafeGuard Easy dans la PBA 270 Modification du mot de passe Windows quand la fonction SAL est activ e Pour des raisons de s curit les mots de passe Windows doivent toujours tre chang s de temps autre La mani re d int grer un mot de passe nouvellement d fini dan
336. r s identifier de plusieurs fa ons D sormais il leur suffit d entrer leurs donn es utilisateur une fois pendant la pr paration du d marrage Pour que louverture de session Windows soit encore plus conviviale le mod le d administration comprend des options suppl mentaires 17 1 Ouverture de session unique Single Sign On dans le syst me d exploitation L ouverture de session automatique est une fonction confortable pour la proc dure d ouverture de session Un utilisateur entre une fois ses donn es Windows Pour les autres ouvertures de session la connexion Windows s effectue automatiquement et l utilisateur n a plus s authentifier qu avec les donn es d utilisateur SafeGuard Easy dans la PBA SafeGuard Easy appelle cette proc dure d ouverture de session une ouverture de session automatique s curis e en bref SAL La SAL peut s effectuer avec ou sans carte puce Ceci peut tre s lectionn pendant l installation de SafeGuard Easy L ouverture de session automatique dans le syst me d exploitation est optionnelle et peut tre d sactiv e ult rieurement avec la commande SafeGuard Easy Chgsal exe IMPORTANT Installez soit la SAL soit l ouverture de session automatique avec carte puce Toutes les autres ouvertures de session dans d autres applications doivent se faire manuellement L ouverture de session dans Novell n est prise en charge qu avec une carte puce Si l option Window
337. r Affichage Utilisateur Outils Aide 8 4 Assistant Fichier de configuration La seule t che de l assistant de configuration pour le d ploiement est de cr er des fichiers l aide desquels l installation et la d sinstallation de SafeGuard Easy peuvent tre automatis es Des t ches administratives telles que la modification d une installation SGE existante peuvent tre r solues galement via les fichiers de configuration Dans les environnements r seau l administrateur envoie les fichiers de configuration aux ordinateurs des utilisateurs et les y ex cute sans intervention des utilisateurs Une fois le m me fichier de configuration ex cut sur plusieurs ordinateurs SafeGuard Easy fonctionne sur ceux ci avec la m me configuration Un fichier de configuration ne d pend pas d un syst me particulier c est dire qu il peut tre utilis avec des syst mes autres que celui sur lequel il a t cr L essentiel est que la version de SafeGuard Easy utilis e sur les diff rents syst mes soit identique REMARQUES Seuls les outils d administration sont n cessaires pour cr er un fichier de configuration A la cr ation d un fichier de configuration SafeGuard Easy n est pas install sur votre ordinateur SafeGuard Easy ne prend en charge que les fichiers de configuration cr s avec l assistance de configuration pour le d ploiement actuel Les fichiers de configuration doivent tre prot g s con
338. r er une disquette de secours ex cutable incluant les outils de secours de SafeGuard Easy et la sauvegarde du noyau Cr e une disquette ex cutable avec une version FreeDOS le noyau syst me et les fichiers de d marrage 2 Vous choisissez ensuite l endroit o les donn es noyau syst me et fichiers de secours doivent tre enregistr es SafeGuard Easy Cr ation d une disquette de secours E lol xj m Info du chemin Choisissez le chemin de destination pour les fichiers copier Fax Nom du fichier de sauvegarde Backup svf Pr c dent Snnuler Le champ nfo du chemin permet de d finir l emplacement d enregistrement du noyau syst me et des fichiers d urgence si s lectionn s Entrez le nom du noyau syst me dans le champ Nom du fichier de sauvegarde La valeur par d faut est BACKUP svf mais vous pouvez modifier le nom et l extension svf si n cessaire Vous pouvez galement enregistrer le noyau syst me sur un disque dur ou un r seau 398 En cas d erreur syst me cependant il est probable que vous ne pourrez pas acc der au disque dur Vous devez pas cons quent toujours stocker le noyau syst me et les fichiers de d marrage d urgence sur une disquette un autre type de support amovible ou le lecteur r seau Dans la bo te de dialogue Rappel vous pouvez indiquer ici les intervalles de rappels de sauvegarder du noyau syst
339. r l interm diaire du Panneau de configuration Outils d administration Strat gie de s curit locale E Param tres de s curit locaux Fichier Action Affichage 2 gt R J Strat gies de comptes Strat gies locales Strat gie Bacc s r seau les autorisations Tout le monde s appliqu D s Bfacc s r seau les canaux nomm s qui sont accessibles CON iN c Strat gie d audt te Bfacc s r seau les chemins de Registre accessibles dist car Attribution des droits utilisate R lacc s r seau les partages qui sont accessibles de mani Peer er 5 ssas mod le de partage et de s curit pour 5 Strat gies de restriction logicielle Acc s r seau ne pas autoriser le stockage d informatio Da H a Strat gies de s curit IP sur Ord Fflacc s r seau Ne pas autoriser l num ration anonyme D s fR lacc s r seau ne pas autoriser l num ration anonvme Acti 526 32 2 Installation de l administration distance Pour la configuration distance des clients SGE il est n cessaire d installer l administration distance sur l ordinateur PC d administrateur partir duquel vous souhaitez configurer les clients SGE L installation requiert ce qui suit 1 Appelez Sgeasy msi dans le r pertoire du CD CLIENT S lectionnez le type d installation Standard Appelez Server msi dans le r pertoire du CD SERVER S lectionnez
340. r avec pouvoir Choisissez ci dessous un ID d utilisateur C Utilisateur avec pouvoir G n ration d un code C A abr g C Autre ID d utilisateur Entrez le mot de passe pour l ID d utilisateur choisi Mot de passe Confirmer le mot de l Utiliserle Toker passe BEN En m SYSTEM Nom de l administrateur du syst me pour SafeGuard Easy m Utilisateur avec droit G n ration d un code C R abr ge L utilisateur auquel ce pouvoir a t affect sur le syst me cible Il doit poss der au moins les droits de l utilisateur distance m Autre ID d utilisateur Nom d un utilisateur SafeGuard Easy pouvant octroyer le droit sp cial m Bouton Utiliser jeton Charge le mot de passe utilisateur SafeGuard Easy du jeton lorsque ce dernier est utilis pour la connexion Les noms de l utilisateur choisis ici influent sur la longueur du code r ponse g n r ult rieurement Plus il est long plus grand est le risque d erreurs au moment de sa saisie et ou de sa transmission l utilisateur ID d utilisateur Longueur de la r ponse CEE TE TT SYSTEM 30 G n ration d un code C R 30 abr ge Autre ID d utilisateur 56 386 ID du demandeur distant Dans la bo te de dialogue suivante s lectionnez le nom de l utilisateur distant Demandez cet utilisateur de fournir les donn es d ouverture de session Assistant de d blocage distance SafeGua
341. r de 32 octets 256 bits Elle est ensuite raccourcie la longueur de l algorithme s lectionn Les caract res dans le champ de saisie de la cl ne servent que de caract res de remplacement Nous recommandons de g n rer une cl al atoire pour les disques durs ou les partitions lorsque SafeGuard Easy est install sur plusieurs stations de travail avec un seul fichier de configuration Dans ce cas bien que les m mes param tres de configuration soient utilis s sur chaque ordinateur des cl s diff rentes et fortes sont g n r es En cas de fort trafic de disquettes p riph riques amovibles ou entre les collaborateurs la cl ne doit jamais tre g n r e de mani re al atoire Les supports chiffr s avec cette cl al atoire ne peuvent tre lus que sur le poste de travail sur lequel ils ont t chiffr s 148 11 3 6 D finition de cl s Toutes les cl s ne peuvent tre saisies dans la configuration de base que par l administrateur du syst me SYSTEM Pour que les autres utilisateurs puissent disposer de cette possibilit un droit correspondant doit leur tre octroy Les cl s pour disque dur disquette et p riph rique amovible peuvent tre diff rentes Une seule cl peut tre attribu e pour tous les lecteurs Lorsque vous affectez une cl pour la premi re fois ou modifiez une cl s lectionnez le menu Key Cl La saisie de la cl se fait de mani re identique pour tous les lecteur
342. r les Changements Cr er 11109 Description de requ te D finir les Changements Cr er 16 03 2005 15 17 14 V Bas sur Poste de travail Fichier pour l installation Nom du poste de travail wrs 03 Annuler Il est conseill de charger un mod le quand il contient des param tres qui ne se diff rencient que peu de ceux de la requ te planifi e II facilite le travail de l administrateur tant donn que celui ci n a pas taper s lectionner des options de fa on r p t e Le mod le pour la requ te est bas soit sur les param tres d un client enregistr sur le serveur SGE taper par ex WKS soit sur un fichier de configuration avec l attribut Installer Cette m thode permet par ex de copier des param tres d une machine l autre Sans mod le une nouvelle requ te est cr e en ne basant ses param tres ni sur un fichier de configuration ni sur un poste de travail La confirmation des entr es de la bo te de dialogue d marre l assistant de configuration pour le d ploiement voir Assistant Fichier de configuration Si l assistant de configuration pour le d ploiement reconna t comme base un fichier d installation il demande une authentification avant l affichage de toutes les donn es 504 31 8 3 Utilisation de fichier de configuration existant comme requ te Via Postes de travail Groupes D finir les changements Charger partir du fichier
343. r s authentifier mutuellement et pour s curiser la connexion la base de donn es Cette paire de cl s peut galement tre g n r e par la puce ESS TPM Int gration machine Permet l int gration d un disque dur dans un ESS TPM donn Il n est alors plus possible d utiliser un disque dur ventuellement vol dans un autre ordinateur m me quand le mot de passe est connu 338 23 2 Pr paration de l utilisation de la puce Avant de pouvoir utiliser la puce et avant l installation de SafeGuard Easy les pr paratifs suivants sont n cessaires 1 Assurez vous que la puce ESS est activ e dans le BIOS 2 Installez le pilote Atmel pour la puce ESS TPM No est requis partir de la version CSS 6 0 3 Installez le pilote SMBus chaque Thinkpad Lenovo poss de son propre pilote 4 Pour SafeGuard Easy il vous faut les versions suivantes du Client Security Software CSS m Pour la g n ration de cl s al atoires et l int gration UVM Client Security Software CSS partir de la version 5 21 m Pour l authentification client serveur Client Security Software CSS partir de la version 5 30 93 3 Param tres requis pour l int gration CSS L int gration dans CSS de SafeGuard Easy requiert un CSS configur en cons quence Vous trouverez des d tails ce sujet dans le manuel CSS Voici comment combiner CSS et SafeGuard Easy 1 Pr parez l utilisation de la puce
344. r sur le client SafeGuard Easy Si au moins l un des param tres de la requ te de modification ne peut pas tre appliqu l ensemble de la requ te de modification sera rejet quand l authentification du demandeur a chou sur le client SGE quand pour des raisons d termin es aucune connexion r seau n est tablie entre le client SGE et le serveur SGE dans les cas d urgence il est recommand de travailler avec des clients hors connexion quand des entr es dans la requ te ne correspondent pas aux param tres SGE sur le client par ex saisie d un mot de passe SGE invalide dans la requ te pour un utilisateur SGE Tout chec de t che arr te le traitement des autres t ches de la file d attente D autre part par exemple il est impossible d enregistrer des fichiers de requ te pour les clients hors connexion en cas d chec d une t che D s que la requ te ayant chou est retir e de la file d attente ou y est r introduite menu Extras Modifications ayant chou toutes les requ tes en attente sont nouveau ex cut es Pour supprimer les t ches qui ont chou ou les ajouter nouveau s lectionnez l option Extras Failed changes Extras chec des modifications g Console d Administration de SafeGuard Easy Fichier Edition Affichage Requ tes Extras Aide Groupes Postes de Travail Req Description Appliquer Requ tes Push Supprimer Replanifier 31 8 5 Modif
345. r votre syst me contre les virus de type cheval de Troie qui pourraient tre utilis s pour d tecter un mot de passe SafeGuard Easy employez un verrou m canique ou toute autre mesure interne permettant d emp cher le d marrage de votre syst me avec une disquette 20 1 8 Remarques relatives la licence Toute reproduction non autoris e du manuel et du logiciel SafeGuard Easy fera l objet de poursuites judiciaires SafeGuard Easy ne doit tre install que sur un seul ordinateur L utilisation abusive de la copie de sauvegarde pour une installation sur plusieurs ordinateurs est contraire aux dispositions des r glementations r gissant les licences et fait l objet de sanctions p nales Si vous souhaitez prot ger plusieurs ordinateurs une licence doit tre acquise pour chacun d entre eux Les termes et conditions du contrat de licence du logiciel sont applicables Autres remarques relatives la licence STEALTH Encryption Copyright c 1994 Intelligence Quotient International Limited Tous droits r serv s Brevets en cours d obtention STEALTH encryption est une marque commerciale d intelligence Quotient International Limited Droits brevet s d Ascom Tech Ltd en EP JP US IDEA est une marque de Ascom Tech Ltd Remerciements Un merci tout particulier au Dr Brian Gladman dont nous avons utilis l impl mentation AES comme base de notre pilote de chiffrement AES 2 Mise en route Ce chapitre pr sen
346. rd Easy A 21 x ID du demandeur Entrez pr sent l identifiant du demandeur Ce sera le seul pouvoir utiliser le code de r ponse Veuillez choisir ci dessous un ID d utilisateur 0 C Autre ID d utilisateur lt Pr c dent Annuler side m Utilisateur par d faut l utilisateur ouvre sa session avec son mot de passe SafeGuard Easy Ceci signifie qu il est enregistr comme utilisateur par d faut sur le syst me cible et qu il ne conna t pas son nom d utilisateur par d faut m Autre ID d utilisateur l utilisateur ouvre sa session avec le nom d utilisateur SafeGuard Easy et le mot de passe Le nom de l utilisateur SafeGuard Easy est par cons quent connu Entrez le dans le champ Code de requ te Dans les champs r partis par paires de la bo te de dialogue suivante tapez le code que l utilisateur distant vous a transmis p ex Par t l phone Le code de requ te s affiche sur l ordinateur de l utilisateur comme cha ne de caract res ASCII 14 caract res ssistant de d blocage distance SafeGuard Easy 1x Code de requ te Veuillez entrer le code de requ te que vous avez re u du demandeur pee Me PR Code de requ te lt Pr c dent Snnuler hide 388 Commande distante Dans la bo te de dialogue suivante s lectionnez l action qui doit tre ex cut e par l utilisateur Assistant de d blocage distance SafeGuard Easy i 21 x Action
347. rdinateur L utilisateur doit appuyer sur la touche F2 pendant ce laps de temps La bo te de dialogue d ouverture de session de la PBA s ouvre et l utilisateur y entre son nom SGE dans la PBA Le champ de mot de passe est ensuite activ Le code de requ te est affich apr s appui sur F9 389 Cas particulier d sinstallation Pour d sinstaller SafeGuard Easy via Requ te R ponse le code de requ te doit tre g n r dans la bo te de dialogue de d sinstallation Programmes Panneau de configuration Ajout Suppression de programmes puis SafeGuard Easy Une d sinstallation de SafeGuard Easy avec la fonctionnalit Requ te R ponse ne peut pas tre lanc e dans la PBA 26 3 Code de r ponse Le code de r ponse est g n r par l administrateur ou le collaborateur du service d assistance avec l assistant de d blocage distance Quiconque g n re le code de r ponse doit d abord conna tre les donn es d un profil d utilisateur SafeGuard Easy sur un ordinateur loign par ex les donn es du profil utilisateur Helpdesk Sur l ordinateur de l utilisateur Helpdesk doit avoir au moins les m mes droits que le demandeur SafeGuard Easy Pour que le profil d utilisateur Helpdesk puisse octroyer des droits sp ciaux il doit disposer pour l action concern e des droits d utilisateur suivants Action SafeGuard Easy Droit d utilisateur requis de SafeGuard Easy Pour une
348. re syst me nous recommandons de chiffrer en outre les partitions de donn es compl tes en plus de la partition de syst me d exploitation 320 91 Activation d sactivation du chiffrement de disquettes et de p riph riques amovibles Pour prot ger de mani re optimale un poste de travail il est recommand d activer le chiffrement de disquettes et de p riph riques amovibles de SafeGuard Easy Certaines situations requi rent toutefois une manipulation plus souple du m canisme de chiffrement SafeGuard Easy vous permet d activer ou de d sactiver le chiffrement de lecteurs de disquettes et de p riph riques amovibles pendant la dur e d une ouverture de session et de d finir provisoirement vos propres cl s Les param tres temporaires sont r initialis s une fois que l utilisateur de Windows a ferm sa session de travail et les param tres syst me sont de nouveau valables La condition pour le changement provisoire des param tres de chiffrement est qu une authentification avec des donn es d utilisateur ait eu lieu dans la PBA et que le chiffrement de disquettes p riph riques amovibles soit activ Afin d viter tout probl me lisez attentivement les conseils relatifs au chiffrement des lecteurs amovibles dans la section Remarques 21 1 Droits SafeGuard Easy requis La condition pour l activation du chiffrement est que l utilisateur dispose des droits SafeGuard Easy correspondants Le droit octroy
349. registrement d informations sur les clients SGE SafeGuard Easy utilise comme type standard une base de donn es Microsoft Access Certains utilisateurs peuvent pr f rer un autre type de base de donn es SafeGuard Easy r pond ce souhait de certains clients et agrandit la palette des bases de donn es prises en charge avec Microsoft SQL Server Deux phases sont n cessaires pour l installation de la prise en charge de Microsoft SQL Server m convient tout d abord de cr er une base de donn es SafeGuard Easy vide sur le serveur SQL m Cette base de donn es vide doit ensuite tre enregistr e sur le serveur SGE 30 4 1 Remarques importantes m La solution Microsoft SQL Server n est prise en charge qu partir de la version SafeGuard Easy 4 11 m Microsoft SQL Server peut tre install sur la machine sur laquelle le serveur SafeGuard Easy sera ult rieurement install Ceci n est toutefois pas une obligation m S il est pr vu d utiliser une base de donn es SQL aucun client SGE ne doit tre install ou enregistr avant que la solution der Microsoft SQL Server ait t install e comme base de donn es par d faut m La prise en charge par SafeGuard Easy du serveur SQL a t con ue et test e avec les versions suivantes SQL Server 2005 SQL Server Enterprise Edition8 00 760 ServicePack3 SQL Server Developer Edition 8 00 194 RTM 460 30 4 2 Cr ation d une base de donn es SafeG
350. respondant Lors de la premi re ouverture de session avec le jeton dans le nouveau SafeGuard Easy la PBA affiche alors le message Pas de donn es SafeGuard Easy sur le jeton veuillez initialiser d abord le jeton Les utilisateurs d anciens jetons ne doivent cependant pas s inqui ter il leur suffit de saisir les donn es SafeGuard Easy dans les champs pr vus cet effet Si les donn es sont correctes elles sont crites sur le jeton et la saisie du code PIN suffit nouveau pour la prochaine ouverture de session Au cas d oubli des donn es SafeGuard Easy l utilisateur peut contacter un interlocuteur le service d assistance Celui ci crit les donn es sur le jeton via le nouveau module d extension SafeGuard Easy Le module d extension SafeGuard Easy pour la gestion de jetons se trouve sur le CD produit dans le r pertoire TOOLS SCAdmin_SGEasy msi SGElnteg remplace CheckArea MigHelp A partir de la version 4 30 SGElnteg d signe la fonction de r paration lors d une mise jour du noyau syst me de SafeGuard Easy SGElnteg reprend les fonctions de CheckArea MigHelp Vous le trouverez dans le r pertoire TOOLS du CD du programme 1 5 Configuration syst me requise Syst mes d exploitation minimum m Windows 2000 Professional Service Pack 4 m Windows XP dition Familiale m Windows XP dition Professionnelle m Windows 2000 Server Standard m Windows Server 2003 Standard Les Service packs ac
351. ression d une entr e de menu syst me a chou Entr e introuvable dans le fichier INI L installation de Cardman API a chou Pour le mode double amor age Twin Boot le lecteur contenant le noyau doit tre chiffr Pour le mode double amor age au moins un lecteur d amor age non chiffr doit tre d fini Un syst me PN complet est d j install nsur votre ordinateur dans un autre syst me d exploitation Vous devez d sinstaller ce syst melnavant de pouvoir d sinstaller la composante ex cutable du syst me d exploitation actuel L installation d un syst me PN n est pas autoris e Un fichier de ressources PBA requis MOD n a pas pu tre trouv 1089 1090 1091 1092 1093 1094 1095 1096 1097 1098 1099 L i de PN n a pas t effectu e avec succ s n inL chec de l i est d l erreur suivante n n 1 n nVeuillez cliquer sur le bouton OK pour supprimer tous les composants install s de PN nEnsuite un red marrage automatique du syst me D tection d une version incorrecte du syst me d exploitation n nLe syst me d exploitation Windows NT v4 00 est requis D tection d une version incorrecte du syst me d exploitation n nLe syst me d exploitation Windows 95 98 ME est requis La proc dure de d sinstallation ne peut pas tre d marr e car un ou plusieurs composants FILELINK SGE_INFO DLLJIMSGLIN K 102 sont actuellement ina
352. rit doit tre toutefois consid r e comme minime XOR a recours une cl de 64 bits Conseil Si vous avez besoin d un syst me tr s s r utilisez les algorithmes IDEA ou AES Rijndael Algorithmes sp ciaux pour lecteurs de disquettes m DES SB L algorithme DES SB II est compatible avec le chiffrement de disquettes du SafeBoard Il et III ou avec le chiffrement de disquettes du SafeBoard X Il et III avec ancienne gestion de cl s m XOR SB I A B Pour les propri t s cf XOR XOR SB I A B est compatible avec le chiffreur de disquettes de SafeBoard partir de la version 1 43 C Crypt et Crypton DOS 11 43 Changement d algorithme D s que SafeGuard Easy est install il est impossible de changer ensuite les algorithmes Un autre algorithme requiert une nouvelle installation de SafeGuard Easy 152 11 5 Affichage de l tat de chiffrement dans l Explorateur Windows L tat de chiffrement des lecteurs est indiqu dans l Explorateur Windows par une cl en couleur Une cl jaune indique qu un lecteur est chiffr Une cl rouge signifie qu un lecteur chiffr est en cours de d chiffrement ou inversement miax Fichier Edition Affichage Favoris Outils Pr c dente gt Rechercher Dossiers z Adresse e Poste de travail z EK Dossiers Ez Ci Bureau A Mes documents Disquette 314 GEE al Disquette 314 A Disque local C 1 i 0 Documents and Settings H C2
353. rter un nom d utilisateur Vous pouvez saisir le nombre souhait des caract res soit directement soit en augmentant ou diminuant la valeur l aide des touches de direction La valeur pour la longueur du mot de passe peut se situer entre un et 16 caract res 12 6 2 Authentification avec un jeton Ce param tre indique si un utilisateur doit ouvrir une session avec un jeton ou non Cette option ne peut tre s lectionn e que si la prise en charge des jetons a t install e avec l option En option lors de l installation Vous trouverez des d tails sur la prise en charge des jeton dans la section Support Token 12 6 3 Utilisateur par d faut mot de passe uniquement Tout utilisateur de SafeGuard Easy peut tre d fini comme utilisateur par d faut l exception de l utilisateur SYSTEM Pour se connecter l utilisateur par d faut doit seulement entrer le mot de passe SafeGuard Easy Si d autres utilisateurs que l utilisateur par d faut souhaitent se connecter au poste de travail ils doivent activer la fonction de connexion tendue pendant la phase PBA en appuyant sur F2 12 6 4 G n ration d un code C R abr ge Cette fonction est particuli rement adapt e aux administrateurs de sous syst mes qui sont charg s de l administration distance Cette propri t influe sur la longueur du code de r ponse chang pendant une proc dure Requ te R ponse Les utilisateurs disposant de la propr
354. s Connecter toujours cet utilisateur est activ e aucune SAL ne peut tre effectu e 268 17 1 1 Installation de SAL Secure Automatic Logon Techniquement la SAL fonctionne comme suit un utilisateur ouvre une session dans la PBA avec des donn es d acc s SafeGuard Easy et entre ensuite ses donn es Windows dans la bo te de dialogue d ouverture de session de Windows La SAL tablit une relation entre l utilisateur SafeGuard Easy ayant ouvert la session et l utilisateur Windows et l enregistre dans le fichier chiffr Sgsa1 dat Sgsal dat se trouve dans lt disque syst me gt SYSTEM une nouvelle ouverture de session dans la PBA la SAL transmet les donn es Windows dans la bo te de dialogue d ouverture de session Windows sans intervention de l utilisateur Comment configurer SAL 1 installez SafeGuard Easy avec m Ouverture de session automatique s curis e ATTENTION n installez pas l option Connexion automatique avec carte puce m Authentification avant amor age PBA option Activation du mot de passe au d marrage du syst me 2 Red marrez l ordinateur 3 Authentifiez vous dans la PBA avec les donn es d utilisateur SafeGuard Easy 4 Apr s l ouverture de session la bo te de dialogue d ouverture de session Windows usuelle appara t la premi re ouverture de session 5 Remplissez les champs de saisie avec les informations d ouverture de session correctes et cli
355. s ex cuter Choisissez l action que vous souhaitez que le syst me distance ex cute apr s votre autorisation Actions ex cuter D sinstaller C D finir un nouveau mot de passe d utilisateur C Ouverture de session unique Droit temporaire pour activer d sactiver le chiffrement de disquette C Obtenir la permission d initialiser un token C Authentification sans le token po 1 authentific Permet l utilisateur de d sinstaller SafeGuard E asy for Windows lt Pr c dent Snnuler Side Une des actions suivantes peut tre ex cut e m D sinstaller L utilisateur est autoris d sinstaller SafeGuard Easy Ce mode de d sinstallation n est utile que lorsque l administrateur du syst me est absent m D finir un nouveau mot de passe d utilisateur L utilisateur peut modifier son mot de passe par ex quand il a oubli l ancien ou quand le temps d attente la PBA est d pass la suite d une saisie incorrecte r p t e du mot de passe Le mot de passe de l utilisateur SYSTEM ne peut pas tre de nouveau attribu via Requ te R ponse m Ouverture de session unique L utilisateur obtient l acc s l ordinateur concern pour la dur e d une session de travail Ceci peut tre utile par ex quand un technicien ex cute des travaux de maintenance m Droit temporaire pour activer d sactiver le chiffrement de disquettes Pendant une session de travail l utilisateur est
356. s Les m mes r gles de cl sont galement applicables Une fois que vous avez d fini la cl ou si vous avez choisi la d finition d une cl al atoire cliquez sur le bouton OK pour valider votre choix D finir la Cl Chiffrement E x D finir la Cl Veuillez sp cifier la cl de chiffrement qui va tre utilis e pour chiffrer d chiffrer les donn es Cl Cl al atoire R p ter la cl EE Annuler Ne transmettez jamais une cl que vous avez choisie vous m me des tiers non autoris s 11 3 7 Modifier les cl s de chiffrement Un disque dur ou des partitions chiffr s doivent d abord tre d chiffr s avant de pouvoir d finir une nouvelle cl La cl pour disquettes ou p riph riques amovibles peut tre tout moment red finie soit par l utilisateur SYSTEM de SafeGuard Easy soit par un utilisateur poss dant les droits appropri s Veuillez toutefois noter que les supports de donn es chiffr s avec l ancienne cl ne seront plus lisibles Les utilisateurs ne peuvent acc der aux supports anciens que s ils poss dent le droit d activer la cl de disquettes p riph riques amovibles voir Activation d sactivation du chiffrement de disquettes et de p riph riques amovibles 11 4 Algorithmes C est leur s curit en particulier qu on mesure les diff rents algorithmes Plus un proc d est s r plus le processus de chiffrement est g n rale
357. s e comme suit L administrateur cr e un utilisateur SGE et le d finit comme mod le SafeGuard Easy est install avec ces param tres sur l ordinateur de destination Le nom d utilisateur et le mot de passe de l utilisateur d fini comme mod le sont indiqu s par l administrateur l utilisateur de l ordinateur de destination la premi re ouverture de session Quand un utilisateur ouvre alors une session pour la premi re fois il est tenu d entrer ces donn es d acc s sur l cran d ouverture de session Il est ensuite invit entrer son nouveau nom d utilisateur et son nouveau mot de passe avec lesquels il devra galement se connecter la prochaine ouverture de session Un mod le peut servir soit renommer soit copier un utilisateur Renommer un mod le Si vous souhaitez absolument vous assurer qu un seul utilisateur par mod le ouvre une session sur p ex ordinateurs portables pour collaborateurs des services ext rieurs attribuez au mod le la propri t Renommer Le mod le est cras avec les nouvelles donn es d utilisateur Une ouverture de session avec les donn es d acc s connus n est plus possible celles ci ayant t remplac es par celle de l utilisateur connect 168 Copier un mod le Si l attribut Copier est s lectionn le nouveau nom d utilisateur est ajout la liste des utilisateurs de SafeGuard Easy mais le mod le reste conserv Les autres utilisateurs p
358. s View Help DU RGB Fee M Tables Msi ssembly ProductName Msi ssemblyName Froductversion MsiDigitalCertificate Manufacturer MsiDigitalSignature ReinstallFileOlderVersion MsiFileHash ReinstallRepair ODBCAttribute InstallMode ODBCDataSource ErrorDialog ODBCDriver Accept ODBCSource ttribute ALLUSERS ODBCTranslator WiselnitSpaceError Patch _WiseDialogFontDefault PatchPackage ProductiD ProgId _WiseDialogTitleFontDefault NoServerCon PublishComponent RadioButton DiskPrompt RegLocator ApplicationUsers Registry WiselnitLangDefault RemoveFile UpgradeCade RemovelniFile WiseCRLF RemoveRegistry ProductLanguage ReserveCost WiseInitSuffix SelfReg UTIPRODUCT ServiceContral _WiseDialogSuffix Servicelnstall Wiselnit dminError Value SafeGuard Easy Client 4 40 4 40 Utimaco Safeware AG o r Custom ErrorDialog No 1 Could not create temporary file not enough free 8MSSansSerif8 H amp Arial8 0 EtnstalscEinstala ProductName 1 AllUsers English 1033 D6987043 87B8 448F B1CD 383D11131CE3 1033 wizard SGE Setup You must have administrator rights to run this ins s Property 79 rows Value Localizable 0 6 S lectionnez Transform gt Generate Transform Transformer gt G n rer transformation Sgeasy msi transformed by Untitled Orca File Edit Tables Transform Tools View Help DH Tables Msi ssembly Generate Transform MsiAssemblyNami Ce Transform Value m
359. s chez l utilisateur ne sont pas modifi s c est dire que le r glage effectu pr c demment demeure m Activ Les param tres sont transf r s m D sactiv Les param tres sont supprim s 124 9 Authentification avant l amor age PBA E f SafeGuard Easy Administration s lol x Fichiers Affichage Utilisateur Adistance Extras Aide F Authentification avec token Sans token i Li Les utilsateurs E Activation distance Activer l activation distance Non Nombre de connexion automatique 0 Longueur D lai minimal de l utilisation du mot c 30 Historique des mots de passe 4 Caract res 0 Num ros Symboles 0 Majuscules et minuscules m lang e 0 E Mots de passe ind sirables Mots de passe B Identification Identification de l ordinateur Message d avertissement Message d avertissement Protection MBR Afficher le menu Actions MBR ctions MBA Appuyez sur F1 pour obtenir de l aide Par partition pas de lecteur chiffr Pum D La fonction Pre Boot Authentication PBA est une fonction qui requiert une authentification avant l amor age Vous trouverez de plus amples informations sur l authentification avant amor age sous D marrage du syst me et ouverture de session Vous pouvez sp cifier les param tres PBA sur la page de configuration G n ral 9 1 Vous pourrez modifier la langue choisie ult rieurement L cran de connexion applique la langue s lectionn e pe
360. s de Travail Requ tes l Standard 31 4 1 Nouvel enregistrement de plusieurs clients SafeGuard Easy Ce nouvel enregistrement concerne tous les clients SGE partir de la version 4 11 La proc dure de nouvel enregistrement de plusieurs clients SGE est la suivante 1 488 Utilisez l assistant de configuration pour g n rer un nouveau fichier de configuration avec la propri t Installer Saisissez dans ce fichier de configuration le mot de passe de l utilisateur SYSTEM d fini pour les clients SGE Enregistrez le fichier de configuration sous SGEREG cfg Dans le client SGE copiez le fichier SGEREG cfg dans le r pertoire lt lecteur syst me gt System 32 Dans le client SGE cr ez deux nouvelles entr es de registre valeurs DWORD dans la section HKEY_LOCAL_MACHINE SOFTWARE Utimaco Sgeasy NotRegistered 1 RegReport 1 Red marrez le client SGE ou le service SGE 31 5 Enregistrement de clients SGE sur un autre serveur SGE Si des clients SGE doivent tre administr s par un serveur autre que le serveur sur lequel ils sont enregistr s ceci peut se faire avec la fonction Enregistrement sur un autre serveur Pour ce faire une requ te d enregistrement est g n r e Cette requ te est similaire une requ te normale mais elle contient au lieu de la mise jour de configuration le nouveau nom de serveur SGE et les donn es SafeGuard Easy pour l authentif
361. s de travail d une entreprise Le fichier de configuration doit prendre en outre en charge un concept d administration hi rarchis et comporter les profils d utilisateur suivants m SYSTEM administrateur SafeGuard Easy poss dant tous les droits m SUBADMIN sous administrateur auquel les t ches administratives ont t d l gu es Permet de modifier les param tres utilisateur et de changer de mode de chiffrement de la disquette m USER utilisateur final ne disposant d aucun droit Comment proc der 1 D marrez l assistant de configuration pour le d ploiement 2 S lectionner le type de fichier de configuration Installer 3 Ne pas choisir de configuration de base 4 Choisissez le mode de chiffrement Disques complets 5 Sous la rubrique G n ral choisissez l option Activation du mot de passe au d marrage 118 10 Dans les param tres d utilisateur choisir les param tres suivants m SYSTEM mot de passe System Droits tous m SUBADMIN Subadmin G n ration d un code C R abr ge Activee Droits modifier les param tres d utilisateur activer le chiffrement de disquettes m USER User Droits aucun Dans les param tres de chiffrement choisir les param tres suivants Disquettes Activer Disques durs Activer P riph riques amovibles Activer Sous MBR conserver les param tres par d faut Enregistrer le fichier de configuration de base Install cfg
362. s internationales unitaires pour SafeGuard Easy D s que SafeGuard Easy est utilis dans un contacte international il convient de s assurer que mot de passe et code peuvent tre saisis de fa on correcte sur tous les claviers disponibles Pour une utilisation internationale il faut en particulier veiller ce que les profils d utilisateur SafeGuard Easy remplissent les t ches d administration Il faudrait mentionner par exemple la proc dure Requ te R ponse si l utilisateur appelant et l utilisateur helpdesk qui fait office d assistant de codes de r ponse utilisent diff rents claviers Siles donn es SGE ou bien s quences de touches sont cr es partir d une combinaison des 21 touches suivantes il y a de fortes chances pour qu elles puissent tre utilis es sans probl me dans un contexte international 180 Valeurs inscrites sur les touches Scan Code hexad cimal 30 2E 20 12 21 22 23 17 24 25 26 31 18 19 13 1F 14 16 X 2D Vv 2F Espace 39 13 4 R gles g n rales de mots de passe Les r gles de mot de passe g n rales permettent de d finir des mod les pour la composition de mots de passe comme par exemple le pourcentage de lettres et de chiffres ou leur longueur maximum Ces mod les sont valables pour chaque utilisateur SGE et aucun mot de passe ne correspo
363. s l ouverture de session automatique s curis e d pend cependant de la m thode utilis e pour le modifier Modification forc e du mot de passe Une modification de mot de passe est impos e dans le profil d utilisateur via l option L utilisateur doit modifier le mot de passe la prochaine ouverture de session Quand cette option est activ e l utilisateur re oit un message d invite du syst me A ce moment la SAL est d sactiv e Vous devez confirmer le message syst me en cliquant sur OK La bo te de dialogue suivante demande l utilisateur d entrer un nouveau mot de passe D s que l utilisateur a confirm le nouveau mot de passe le fichier SAL est synchronis avec les nouvelles donn es A l ouverture de session suivante les donn es d utilisateur Windows sont nouveau transmises automatiquement L utilisateur modifie lui m me son mot de passe Quand l utilisateur appuie sur son Bureau sur les boutons CTRL ALT SUPPR il peut modifier son mot de passe dans la bo te de dialogue de connexion Windows via Modifier le mot de passe Quand la modification est effectu e de cette mani re une synchronisation de mot de passe automatique a lieu et les nouvelles donn es sont enregistr es dans le fichier Sgsa1 dat En cas d ouverture de session apr s modification du mot de passe l utilisateur n a pas entrer de nouveau les donn es d acc s Windows Lorsque le mot de passe est modifi par le servic
364. sateurs de cet ordinateur y compris les services NT 4 Cr ez une nouvelle source de donn es avec Ajouter sous l onglet Sources de Administrateur de sources de donn es ODBC 21x f Annuler Appliquer 4ide donn es syst me Pilotes ODBC l Pas pas Groupement de connexions propos Sources de donn es utilisateur Sources de donn es syst me Sources de donn es fichier Sources de donn es syst me Configurer Une source de donn es syst me ODBC stocke des informations sur la connexion du fournisseur de donn es sp cifi Elle est visible tous les utilisateurs de cet ordinateur y compris les services NT 5 Choisissez le pilote SQL Server Cr er une nouvelle source de donn es x S lectionnez un pilote pour lequel vous souhaitez d finir une source de donn es Version 4 Microsoft ODBC for Oracle 2 573 652 Microsoft Paradox Driver db 4 00 6200 Microsoft Paradox Treiber db 4 00 6200 Microsoft Text Driver txt csv 4 00 6200 Microsoft Text Treiber txt csv 4 00 6200 Microsoft Visual FoxPro Driver 6 01 8630 Microsoft Visual FoxPro Treiber 6 01 8630 SQL Server 2000 80 17 gt Pr c dent Terminer Annuler 6 tablissez la liaison avec SQL Server Cr er une nouvelle source de donn es vers SQL Server x Cet Assistant va vous aider cr er une source de donn es ODBC que vous pourrez utiliser po
365. se d administrateur de la puce Ce fichier est distribu aux clients TPM dans le cadre d une installation centrale SafeGuard Easy compl te de fa on automatique la bo te de dialogue de saisie du mot de passe utilisateur c t client Par cons quent la cl RSA est g n r e sans interaction utilisateur 344 Voici comment g n rer des paires de cl s RSA avec puce TPM 1 Pr parez l utilisation de la puce sur le client serveur cf Pr paration de l utilisation de la puce Dans le registre Windows du client serveur cr ez les entr es suivantes sous HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy Cryptographic Service Provider STRING La valeur entrer est IBM Embedded Security Subsystem Enhanced CSP ForceCSPUsage D WORD La valeur doit tre 1 ForceCSPUsage prend galement en charge la g n ration de cl s al atoires Sur un ordinateur avec SafeGuard Easy install appelez l utilitaire SGTpmApn exe et cr ez le fichier chiffr avec le mot de passe d administrateur pour la puce ESS TPM Le nom du fichier par d faut est SGTPMGNA DAT Quand le nom par d faut de ce fichier est modifi l entr e suivante doit tre effectu e dans le registre de Windows du client sous HKEY_LOCAL_ MACHINE SOFTWARE Utimaco SGEasy ESSAdminPassword STRING La valeur entrer est le fichier avec le mot de passe d administrateur par ex D Programmes Utimaco SafeGuard Easy AdminPW dat
366. seeesssssssse 379 Compatibilit avec le logiciel Absolute COMpuUtrace ainsi ITD 26 Maintenance distance 27 Requ te R ponSe essssesssssssssssssesosseeeeeoo 377 26 1 Mode de fonctionnement esesssssesessseseesss 378 26 1 1 Version PDA de l assistant de d blocage distance 380 26 2 Cr ation d un code de requ te sssesesesssss 381 26 3 Code de r ponse 383 26 3 1 Cr er un code de r ponse 384 26 4 largissement du concept Requ te R ponse 392 26 4 1 Console service assistance 392 26 4 2 Auto assistance Web ss 393 26 4 3 VOICE TRUST seeseesesssssssssessessesseossossosseessssee 394 Cr ation de supports de restauration d urgence et sauvegarde du noyau syst me 395 27 1 27 1 1 27 1 2 27 1 3 27 2 27 3 Cr ation d une disquette de secours sauvegarde du noyau Syst me esssesssssese 396 Ex cution de l Assistant de cr ation d une disquette de d marrage d urgence s s s 397 Sauvegarde du noyau syst me via la ligne de commande 400 Sauvegarde des fichiers de secours SafeGuard Easy sur disquette seseesee 400 Cr ation d une disquette de d marrage 401 Cr ation d un CD de d marrage eesseeses 402 18 28 29 27 4 Cr ation d une cl USB de d marrage 403 27 5 Ex cution d un d marrage d urgence 404 27 5 1 Restauration du noyau syst me 405 27 5 2 R paration du noyau syst me
367. sente Pour garantir la coh rence des donn es une seule connexion administrative simultan e est possible La tentative d tablir plusieurs connexions est vou e l chec 30 1 3 Clients SafeGuard Easy Les clients sont en mesure d tablir une liaison avec le serveur SGE quand un agent de r seau est install option Liaison serveur La liaison entre le serveur SGE et le client SGE est tablie l aide d un agent de r seau et par le nom UNC NETBIOS du serveur SGE qui sont fournis aux clients au moment de l installation Au premier enregistrement le client SGE transmet au serveur SGE m ses param tres de configuration SGE m le GUID m sa cl publique m son nom de r seau En outre lors du premier enregistrement la cl publique est galement chang e avec le serveur Quand un autre contact est ensuite tabli avec le serveur le client SGE demande une mise jour des param tres qui le concernent En r gle g n rale les clients SGE essaient d tablir une liaison avec le serveur SGE chaque d marrage de l ordinateur Pendant cette phase toutes les modifications stock es de mani re centralis e sur le serveur SGE sont collect es et ex cut es sur le client Les modifications ex cut es localement sur le client SGE quand l administrateur proc de par ex une configuration locale sont imm diatement signal es par le client au serveur afin que la base de donn es reste jour En cas de d si
368. sous userID sur le jeton par ex 2 l utilisateur qui ouvre une session sous authFile dans le fichier de configuration par ex Helpdesk userlD Utilisateur SafeGuard Easy crit sur le jeton Cet utilisateur doit tre cr dans le fichier de configuration Ex userlD User authFile Chemin absolu du fichier qui contient les donn es de profil SGE pour l ouverture de session avec le fichier de configuration Ex authFile D Token PWD Le fichier chiffr Token PWD contient les donn es de profil SGE Token PWD est cr avec l outil SGECPWF exe qui se trouve sur le CD SafeGuard Easy dans le r pertoire Tools SafeGuard Easy Create Password File E9 User Name Helpdek Password pe Repeat Password p Filename D ATokenPWD Browse 222 Ex cution de script Voici comment ex cuter un script 1 Installez les utilitaires Token Support et Token Administration crivez copiez le texte complet du script ex cut dans un diteur et enregistrez le fichier avec l extension VBS p ex Smartcard vbs Adaptez les champs modifiables Ins rez une carte puce dans le lecteur de cartes ou connectez une cl lectronique l ordinateur Ex cutez le script par ex en double cliquant dessus dans l Explorateur Windows La carte puce la cl lectronique sont cr s avec les donn es entr es 15 9 Prise en charge des jetons par les utilitaires d admini
369. ss or Shut down to quit Shut down REMARQUE CSS lt 6 0 Le mot de passe Security Chip est requis CSS gt 6 0 Le mot de passe Security Chip no est requis Cliquez sur Continuer pour d marrer le processus d int gration de machine initiale Comme chaque op ration sur la puce s curit concernant la cl priv e requiert un mot de passe le mot de passe Security Chip doit tre tap CSS 6 0 le mot de passe Lenovo Security Chip no est requis Enter Administrator Password Before you can complete an IP Security certificate request you must enter the IBM Security Chip password below Too many consecutive incorrect entries will cause the security subsystem to be locked for increasing periods of time Es ie Une bo te de dialogue confirme le succ s de l int gration de machine Le disque dur local ne peut d s lors n tre utilis qu avec cet ordinateur SafeGuard Authentication Machine Binding Complete BE Ein Congratulations The machine binding process has finished successfully SafeGuard Authentication is now bound to your computer s hardware Your local hard drive can now only be used to start up this computer Please refer to your user manual for backup and recovery procedures Lors de chaque d marrage de l ordinateur le logiciel v rifie l tat de l int gration des ordinateurs Le processus d initialisation n est poursuivi que lorsque les signatures concordent
370. ssement est affich quand un type de partition non pris en charge est d cel 1 6 Documentation SafeGuard Easy est livr avec le pr sent manuel et avec l aide en ligne SGEasy040c chm 1 7 Remarques g n rales Lors d une utilisation normale tenez compte des points suivants m La fonction Changement rapide d utilisateur de Windows XP n est pas prise en charge par SafeGuard Easy Apr s l installation de SafeGuard Easy l cran de bienvenue est automatiquement d sactiv m Quand l ordinateur est int gr dans un r seau LAN point point certaines parties des disques durs ne doivent pas tre affect es d autres utilisateurs de ce r seau m Le chiffrement et le d chiffrement des disques durs sont automatiquement prot g s contre les pannes de courant ou autres perturbations Lors de la remise en service de l alimentation lectrique l op ration en cours se poursuit au bon endroit sans intervention de l utilisateur REMARQUES Le premier chiffrement de disques durs connectables chaud ne doit pas tre interrompu 18 m Si vous faites une pause activez l cran de veille de Windows bouton de verrouillage de la station de travail Si vous devez vous absenter pendant une p riode prolong e arr tez le PC m Quand la configuration syst me conseill e est correcte l acc s logique aux disques durs est impossible apr s l amor age depuis une disquette Afin de mieux prot ge
371. st amorc e un acc s la partition non chiffr e est impossible et r ciproquement Il est ainsi possible de s parer Lorsque l ordinateur est d marr partir de la partition chiffr e l utilisateur doit entrer le mot de passe SafeGuard Easy pour le module PBA SafeGuard Easy ne permet pas de prot ger la partition en clair avec un mot de passe Vous trouverez des informations d taill es sur le double amor age au chapitre Double amor age Gestionnaire d amor age 3 2 Apr s l installation Red marrer l ordinateur Apr s l installation ou la d sinstallation de SafeGuard Easy l ordinateur doit tre teint et red marr Toutes les applications ouvertes seront alors ferm es sans sauvegarder les donn es Pour viter toute perte de donn es veuillez fermer toutes les applications en cours L authentification avant l amor age appara t au deuxi me red marrage L authentification avant l amor age est encore inactive au premier red marrage Les seuls droits disponibles jusque l sont ceux attribu s AUTOUSER D s qu un utilisateur Windows ouvre une session l ordinateur s teint et red marre de nouveau affiche l cran d authentification de SafeGuard Easy d s que la PBA est activ e Un utilisateur SafeGuard Easy peut alors ouvrir une session D marrage du syst me partir d une disquette Si l ordinateur est teint avant la fin du chiffrement du disque dur il red marre touj
372. stall SafeGuard Easy pourra tre activ par la suite via la commande execcfg du fichier de configuration par ex execcfg f C SGE lnstall cfg Par d faut SafeGuard Easy est activ NoActivation 0 PARTCHECK O 1 D termine si les types de partition existants prennent en charge les syst mes de fichiers connus FAT FAT 32 NTFS etc Si le type de partition est inconnu l installation est interrompue Dans la configuration de base la v rification est active PARTCHECK 1 SERVER lt nom du serveur gt Sp cifie le nom du poste de travail sur lequel le serveur SafeGuard Easy est install Le param tre ne peut tre utilis que si le composant Connexion au serveur qui prend en charge l administration centrale sur un client est s lectionn GROUPS lt nom de groupe1 nom de groupe2 etc gt D finit les groupes SafeGuard Easy auxquels le poste de travail est assign dans le cadre de l administration centrale quand il s enregistre sur le serveur SGE Le param tre ne peut tre utilis que si le composant Connexion au serveur qui prend en charge l administration centrale sur un client est s lectionn GINASYS 0 1 Indique si le syst me SafeGuard GINA pour le contr le de l ouverture de session Windows doit tre install SafeGuard GINA GINASYS 1 est install dans la configuration par d faut IMPORTANT Nous conseillons de toujours utiliser SafeGuard GINA Le
373. ste entrez des mots de passe triviaux comme par ex Test Syst me Utilisateur etc Tous les mots de passe similaires un mot de passe interdit sont refus s Le terme Similaire signifie ici que la s quence de caract res du mot de passe doit se diff rencier d au moins 20 du mot de passe interdit Si Tester par exemple se trouve dans la liste l utilisateur peut saisir le mot de passe Tester1234 tandis que Tester12 est refus par SafeGuard Easy Vous pouvez galement utiliser des caract res de remplacement pour la d finition Seul l ast risque est accept comme caract re de remplacement Remplace un caract re au choix dans le mot de passe ut ma o par ex interdit les mots de passe comme utimaco utima2o etc AVERTISSEMENT Si vous ajoutez un ou plusieurs caract res de remplacement dans la liste des mots de passe interdits des utilisateurs ne peuvent plus ouvrir de session dans le syst me apr s une modification forc e du mot de passe 13 5 2 Importation d une liste de mots de passe Si une liste de mots de passe ind sirables existe d j elle peut tre import e Ceci vous permet d utiliser la m me liste sur plusieurs postes de travail La liste peut tre dit e avec n importe quel diteur et pourrait avoir l aspect suivant motsdepasse Bloc notes BE Fichier Edition Format 2 test 1234 Les diff rents mots de passe sont s par s par un esp
374. store individual files Rejuvenate your system I P m 366 24 8 Restauration du syst me Pour restaurer une sauvegarde SGE l utilisateur d marre l environnement Rescue and Recovery Ceci s affiche lorsque vous appuyez sur cette tou che pendant le d marrage du PC ou de l ordinateur portable m Thinkvantage Access IBM ordinateurs portables Lenovo m Touche Entr e bleue ordinateurs de bureau Lenovo m F11 sur tout autre clavier Remarque relative Rescue and Recovery 2 0 Utimaco recommande en g n ral de restaurer le disque dur complet Si vous avez cependant s lectionn par inadvertance l option Ne restaurer que le syst me d exploitation Windows et les applications depuis la sauvegarde Utimaco ne garantit pas que les fichiers SafeGuard Easy seront compl tement restaur s Si dans ce cas des probl mes surviennent l amor age vous ne devez pas craindre de cons quences n gatives pour votre syst me Apr s un red marrage appelez simplement l environnement Rescue and Recovery avec la touche Lenovo de votre PC ou Notebook et restaurez l ensemble du disque dur 368 24 8 1 Environnement de d marrage Pour amorcer l environnement Rescue and Recovery les conditions suivantes doivent tre remplies SafeGuard Easy autorise l amor age de l environnement Rescue and Recovery partir du m disque dur local Partition virtuelle sur
375. stration de SafeGuard Easy SafeGuard Easy offre diff rents outils pour r aliser les t ches administratives administration assistants pour le fichier de configuration et pour les codes de r ponse Certaines actions de ces outils d administration n cessitent des donn es SafeGuard Easy par exemple lors de la connexion au module Administration ou lors de l authentification un fichier de configuration de base dans l Assistant Configuration File Fichier de configuration La prise en charge des jetons par SafeGuard Easy est semblable la connexion de pr paration au d marrage une fois le jeton ins r l utilisateur doit entrer son code Dans ce cas le syst me lit le mot de passe SafeGuard Easy et le nom d utilisateur du jeton pour proc der la connexion authentification L enregistrement du jeton dans les outils d administration est disponible en option et sert galement en cas de d sinstallation de SafeGuard Easy 15 9 1 Activation de Support Token pour les utilitaires d administration La proc dure d activation du support eToken pour les utilitaires d administration est la suivante 1 Pendant l installation activez Support Token pour l administration sur un poste de travail 15 SafeGuard Easy Client 4 50 2 Installation Fonctionnalit s s lectio Veuillez s lectionner les fonctionnalit s que vous souhaitez installer utimaco Sgeasy Chiffrement v7 Utilitaires d administra
376. suivantes lors de l ex cution d un conomiseur d cran Ces actions peuvent avoir diff rents effets selon l endroit o elles sont d finies sessions de la station de travail locale ou du serveur de terminal Pour d finir ces actions pour les sessions de serveur de terminal vous devez les d finir sur le serveur de terminal A Logoff user D connecter l utilisateur L utilisateur actif sera d connect de l ordinateur D autres utilisateurs enregistr s sur le poste de travail ou dans le r seau peuvent aussi ouvrir une session B Arr t du syst me Le PC est automatiquement arr t et doit tre red marr pour une autre session de travail Lors des sessions Terminal Server l utilisateur sera d connect C Restart the workstation Red marrer la station de travail La station de travail sera red marr e de fa on automatique Lors des sessions Terminal Server l utilisateur sera d connect D Hibernate the workstation Mise en veille prolong e de la station de travail Place l ordinateur en mode Veille prolong e Lors des sessions Terminal Server l utilisateur sera verrouill REMARQUE Si SafeGuard Advanced Security et SafeGuard Easy sont install s sur le m me ordinateur cette option fonctionne uniquement partir de SafeGuard Easy Version 4 0 E Disconnect the session D connecter la session N a aucun effet sur la station de travail locale Lors des sessions Terminal Server
377. sur la m me machine mais ce n est pas une obligation Si la base de donn es SafeGuard Easy et la console Administration figurent sur des ordinateurs diff rents serveur SafeGuard Easy et ordinateur d administration le lien s tablit par l interm diaire de la proc dure d authentification l aide des donn es utilisateur de Windows Ainsi l utilisateur actuellement connect l ordinateur d administration doit galement utiliser un compte utilisateur adapt pour se connecter au serveur SafeGuard Easy 474 31 1 1 Modification des donn es d acces la base de donn es Vous trouverez plus d informations ce sujet dans la base de connaissances Utimaco http www utimaco com myutimaco Dans la zone de recherche Search tapez Login amp database La base de donn es fournie avec SafeGuard Easy est une base de donn es de type Microsoft Access Pendant l installation du serveur SGE elle est enregistr e comme source de donn es ODBC avec le nom de source de donn es DSN SafeGuard Easy Database La base de donn es SGE utilise le pilote ODBC standard pour Microsoft Access int gr dans votre version de Windows Comme le pilote ODBC pour Microsoft Access est d j install dans la configuration de base de Windows 2000 et Windows XP il n est pas n cessaire d installer MS Access pour pouvoir acc der la base de donn es SafeGuard Easy Si pour une raison ou une autre vous souhaitez
378. syst me des outils d urgence et les fichiers du pilote de clavier 27 1 1 Ex cution de l Assistant de cr ation d une disquette de d marrage d urgence L Assistant de cr ation de disquette de d marrage d urgence s ex cute de fa on automatique l issue de l installation de SafeGuard Easy Cependant vous pouvez galement l ex cuter en s lectionnant Programmes Utimaco SafeGuard Easy Emergency Disk Wizard Pour valider les donn es entr es dans l assistant cliquez sur Suivant 1 Une fois l Assistant d marr une seconde bo te de dialogue s affiche Cette bo te de dialogue permet de sp cifier les fichiers enregistrer sur la disquette de d marrage d urgence SafeGuard Easy Cr ation d une disquette de secours E x m Choix Que souhaitez vous faire C Cr er une disquette de secours ex cutable incluant les joutils de secours de SafeGuard Easy et la sauvegarde d Cr er une sauvegarde du noyau et copier les outils de secours de SafeGuard Easy C Cr er seulement une sauvegarde du noyau lt Pr c dent Annuler Les options ci dessous sont disponibles m Cr er seulement une sauvegarde du noyau Cette fonction sauvegarde le noyau syst me complet pilotes pour SafeGuard Easy et le MBR dans un fichier m Cr er une sauvegarde du noyau et copier les outils de secours de SafeGuard Easy Copie le noyau syst me et les fichiers de d marrage suivants m C
379. t Indique le r pertoire dans lequel SafeGuard Easy va tre install Sans indication le r pertoire d installation par d faut lt SYSTEM gt PROGRAMMES UTIMACO est utilis 4 4 Composants et param tres de SafeGuard Easy Vous devez proc der un certain nombre de pr paratifs avant de proc der une installation centralis e Vous devez sp cifier les fonctionnalit s param tres de SafeGuard Easy installer sur les clients Pour installer SafeGuard Easy dans un environnement Active Directory vous pouvez par exemple utiliser l outil ORCA pour modifier le fichier MSI En l absence d Active Directory les fonctionnalit s doivent figurer dans la ligne de commande 4 4 1 Composants de SafeGuard Easy Dans les tableaux ci dessous se trouve une liste de tous les composants pouvant tre automatiquement install s via les fichiers msi Elles sont identiques aux fonctionnalit s qui peuvent tre s lectionn es au cours d une installation interactive Dans cet exemple vous pourrez identifier toutes les fonctionnalit s Sgeasy msi pendant une proc dure d installation interactive personnalis e 15 SafeGuard Easy Client 4 50 2 Installation Fonctionnalit s s lectio Veuillez s lectionner les fonctionnalit s que vous souhaitez installer Chiffrement Description de la fonction Ouverture de session autom r installe tous les composants n cessaires pour Connexion AUNAN le chiffrement de disques durs et une
380. t achev es Impossible de trouver l interface sur le syst me n nidentifiant de classe 1 3 ninterface 2 nR sultat 4 OSERRLINK 5 n nil est possible que FILELINK SGE_INFO DLL MSGLINK 102 ne soit pas install sur 6 Erreurs de fichier de configuration 1151 1152 1153 1154 1155 1156 Fichier de configuration 1 introuvable Aucun fichier de configuration d fini Fichier de configuration invalide Entr e invalide d tect e dans le fichier de configuration Impossible de cr er le fichier de configuration 1 Erreur d cel e la ligne 1 du fichier de configuration 1158 1159 1160 1161 1162 1163 1164 1165 1166 1167 Le fichier de configuration sp cifi est introuvable Une commande inconnue a t trouv e dans le fichier de configuration Un type de fichier de configuration inconnu a t d tect Le type de fichier de configuration est invalide Impossible de cr er l identificateur pour le fichier de configuration Impossible de cr er le fichier de configuration pour la d sinstallation Impossible de cr er le fichier de configuration pour l installation Fichier de configuration 1 introuvable Le type de fichier de configuration est invalide L ex cution du fichier de configuration 1 a chou Erreurs de contr le MESSAGE 1171 1172 1173 1174 1175 1176 ID message 1 introuvable Texte de contr le pour introuvab
381. t e le syst me d exploitation invite l utilisateur saisir les donn es d acc s valides Cela signifie que les donn es d utilisateur sont demand es deux fois dans le cadre d une authentification avec jeton une fois dans la phase PBA mot de passe du jeton et une fois lors de l ouverture de session normale dans le syst me d exploitation REMARQUES m Les composants SafeGuard acceptent des mots de passe d une longueur maximale de 63 caract res pour l ouverture de session dans le syst me d exploitation Utimaco recommande de ne pas d passer cette longueur maximale pour le mot de passe du jeton m On suppose que les fabricants du jeton proposent des pilotes pr cis PKCS 11 Cryptographic Service Provider CSP permettant le support du jeton au niveau du syst me d exploitation 15 10 1 Initialisation du jeton Si l utilisateur est en droit d initialiser le jeton le processus d initialisation se d roule comme suit 1 Ins rez le jeton format dans le port USB et d marrez le PC 2 Entrez le mot de passe du jeton pour la PBA Le syst me d exploitation d marre 232 Entrez le mot de passe du jeton et cliquez sur OK Comme le jeton ne contient pas encore de donn es d ouverture de session dans Windows le syst me demande apr s confirmation avec OK si le jeton doit tre initialis Token Logon e Enter your PIN please or remove the token PIN esse OK Options
382. t me stoppe tous les autres processus Ce test est ex cut pour les fichiers pilotes de chiffrement de SafeGuard Easy et les modules de chiffrement dans le noyau syst me SafeGuard Easy Un contr le d int grit est galement ex cut au sein du noyau syst me pour les donn es du syst me afin de d celer les manipulations ill gales D s que SafeGuard Easy est install de fa on conforme la certification FIPS les deux proc dures de test pour le noyau syst me et le mode Win32 sont ex cut es Le test KAT est ex cut m me si le mode FIPS est d sactiv 22 2 Installation de SafeGuard Easy de fa on conforme la certification FIPS Un param tre pendant l installation mode FIPS d termine si un syst me SafeGuard Easy doit tre install de fa on conforme la certification FIPS E SafeGuard Easy 4 20 0 144 Beta Installation Fonctionnalit s s lectio Plus loin dans l installation un des algorithmes requis AES 128 AES 256 3 DES doit tre s lectionn pour les diff rents disques d nj G n ral Les utilsateurs Une fois l installation termin e une ic ne dans la barre des t ches indique que SafeGuard Easy fonctionne en mode FIPS Si plus loin dans l installation d autres algorithmes que ceux qui sont autoris s sont s lectionn s SafeGuard Easy affiche un message d erreur SafeGuard Easy X Apr s confirmation du messag
383. t pour cr er un fichier de transformation 1 D marrez Orca msi 2 S lectionnez Fichier gt Ouvrir et ouvrez SGEasy msi 3 S lectionnez Transform gt New Transform i Sgeasy msi Orca aax Fie Edit Tables Transform Tools View Help D0 Sk New Transform m E Apply Transform z Tables Extension AdmTools Config F Installs t 11 Sgeasy 32513 FeatureCompone AdmTools Respons Installs t 22 File Encryption SmartCa Extends 54 Font Sgeasy Administ 24 Tran ServerCon Fneruntinon Server Inetalle 45 View Patch Feat Title Des Dis BR RC BR L Dire INSTALL 4 Dans Tables s lectionnez l l ment Features Les fonctionnalit s correspondent aux composants SafeGuard Easy installer Vous trouverez une description des diff rents composants au point dans Composants de SafeGuard Easy Attri 40 La valeur de la colonne Level Niveau indique si une fonctionnalit est install e ou non 3 fonctionnalit install e 4 fonctionnalit non install e Sgeasy msi transformed by Untitled Orca File Edit Tables Transform Tools View Help DH tei Fee ME Tables Feature Feature Parent Title Description Dis Level Dire Error Cfgwiz AdmTools Config F Installs the co 11 4 EventMapping Sgeasy Sgeasy 32513 INSTALL Extension Rewiz AdmTools Respons Installs the res 22 SCSAL Encryption SmartC
384. t serveur communiquent par le biais du service RPC DCOM de Microsoft Vous pouvez d terminer librement via quel port ou quel protocole la communication doit tre tablie Si vous utilisez un programme de pare feu les ports via lesquels le client et le serveur communiquent doivent tre d bloqu s 450 Pour plus de d tails sur RPC DCOM consultez la documentation Microsoft correspondante 30 3 1 Installation du serveur base de donn es SafeGuard Easy L ordinateur qui contient la base de donn es SGE est le coeur de l administration centrale et doit tre configur en premier ou le nom de l ordinateur doit au moins tre connu pour tre transmis aux clients SGE ll est d conseill de modifier le nom du poste de travail du serveur SGE apr s enregistrement du client Cela signifie que la communication entre les clients et le serveur est interrompue et qu un change de donn es n a plus lieu Le serveur SGE peut se trouver sur un serveur r seau physique ou sur n importe quel poste de travail connect au r seau La connexion d un client la base de donn es centrale de SafeGuard Easy Database ne peut s tablir que si un protocole r seau adapt est install sur toutes les stations de travail et est actif Lorsque vous installez le composant serveur aucune autre application n est install e Par contre une base de donn es Microsoft Access Sgeasy mdb est simplement g n r e dans le dossier d installa
385. te les conditions indispensables une installation r ussie de SafeGuard Easy 2 1 Pr paration de l installation Pour une utilisation la plus efficace possible certaines mesures de pr vention doivent tre prises avant l installation Veuillez lire avec attention la liste ci dessous et vous assurer que vous en avez compris tous les points Avant l installation de SafeGuard Easy il est conseill de r aliser une sauvegarde compl te de vos supports de donn es Tous les disques durs qui doivent tre chiffr s doivent tre connect s l ordinateur et activ s l installation de SafeGuard Easy Les p riph riques amovibles ou les supports m moire USB ne doivent pas tre connect s l ordinateur quand SafeGuard Easy est install V rifiez les d fauts ventuels de votre ou de vos disques durs CHKDSK Vous trouverez plus d informations ce sujet dans la base de connaissances Utimaco http www utimaco com myutimaco Dans la zone de recherche Search tapez NTFS ou File System Les logiciels antivirus doivent tre d sactiv s pendant la proc dure d installation d sinstallation Si vous utilisez un gestionnaire d amor age essayez de r installer le syst me sans ce gestionnaire d impression 29 m Siles donn es ont t transf r es sur le disque dur via un outil de clonage Drive Image Ghost nous recommandons une nouvelle criture du MBR Pour installer Sa
386. tels cas 134 10 2 Actions par d faut du MBR Vous pouvez s lectionner une ou plusieurs actions m Afficher l avertissement L utilisateur est notifi lors de la modification du MBR cr pour SafeGuard Easy L utilisateur doit confirmer ce message en appuyant sur une touche Restaure MBR Le MBR d origine est restaur de fa on automatique en tant que copie de sauvegarde sans notifier l utilisateur Ensuite le syst me red marre et supprime tout virus ventuellement d tect Halt System Arr ter le syst me Si le MBR a chang le syst me affiche un message et s arr te apr s la connexion si l utilisateur tente de se connecter Cependant l administrateur syst me peut se connecter II n est alors plus possible d amorcer le poste de travail et l utilisateur est oblig de demander l aide de l administrateur ou du service d assistance technique 10 3 Acc s la partition de configuration de Compaq Cette option laisse le MBR pour l essentiel inchang Ceci est n cessaire avec certains syst mes Compaq et ventuellement d autres pour permettre l acc s la partition de configuration Cliquez sur On Activ pour conserver le MBR d origine Si vous ne souhaitez pas d finir cette option s lectionnez Off D sactiv Elle peut tre activ e ou d sactiv e dans tous les modes de chiffrement disques complets protection des zones d amor age par partition Utimaco
387. teur hors connexion Sans contact avec le client hors connexion l administrateur ne sait pas si les modifications ont t ex cut es avec succ s ou si elles ont chou Les informations manquantes lui sont fournies par un fichier de rapport cr apr s ex cution du fichier de requ tes Ce fichier de r sultat doit tre transmis l administrateur et import dans la console d administration celle ci comprend la fonction d importation n cessaire Apr s l importation l administrateur voit si les modifications de configuration ont t ex cut es avec succ s en appelant les propri t s du client hors connexion Un client ne peut passer du mode hors connexion au mode Standard quand il est install avec l option Liaison serveur et quand le nom du serveur SGE lui est fourni L change de fichier de requ tes rapport n est pas restreint aux clients hors connexion En cas de d faillance par ex de la connexion r seau entre les clients SGE et le serveur SGE les modifications de configuration peuvent tre transmises aux clients non accessibles avec ce proc d jusqu ce que les clients puissent nouveau tre administr s 31 9 3 tat Push on Un client SGE peut tre forc de synchroniser ses param tres avec le serveur avant tous les autres clients Ceci peut tre le cas quand un utilisateur a un souhait de configuration ou quand l administrateur doit ex cuter des modifications imm diates sur l
388. teur r seau d un deuxi me disque dur interne ainsi que d un disque dur ou d une cl USB TCPA TPM puce ESS CSS SafeGuard Easy est le premier logiciel de chiffrement de disques durs int grer les composants de s curit sp cifi es par Trusted Computing Group TCG dans les ordinateurs portables modernes SafeGuard Easy utilise entre autres ces composants pour s curiser la connexion entre le client et le serveur d administration ainsi que pour g n rer des nombres al atoires La fonction SafeGuard Easy SAL ou SSO reste disponible et repr sente donc une int gration optimale dans l infrastructure de composants ESS Certification suivant FIPS 140 2 Level 1 SafeGuard Easy satisfait aux directives de la certification FIPS 140 2 Level 1 FIPS Federal Information Processing Standard du National Institute of Standards and Technology am ricain NIST Le NIST d finit les crit res de s curit prescrits par le gouvernement des tats unis d Am rique pour les produits chiffr s SafeGuard Easy est d j certifi conform ment aux Standard Common Criteria Evaluation Assurance Level 3 EAL3 Authentification 2 facteurs en option dans la phase pr c dant lamor age SafeGuard Easy peut tre configur de mani re ce que seuls les utilisateurs poss dant une cl lectronique aient acc s l ordinateur La cl lectronique peut tre utilis e non seulement dans l authentification avant amor age PBA m
389. tion er SafeGuard Easy Logging Assistant de configuration pour ld Cette fonctionnalit sera install e sur le disque Assistant de d blocage distand dur local Administration Token Support Description de la fonction Installs support for tokens in SafeGuard Easy administration tools Ce composant requiert 4807Ko sur votre disque dur Utimaco Safeware AG Besoin en disque R initialiser lt Pr c dent Suivant gt Annuler 2 Red marrez l ordinateur 3 Installez les modules logiciels suivants Token ins r Logiciels n cessaires Aladdin eToken Aladdin eToken Runtime Environment voir galement http www utimaco com etoken Verisign USB Token RSA SecurlD 800 RSA Authenticator Client 4 Enregistrez le module PKCS 11 du jeton 294 15 9 2 Enregistrement du module PKCS 11 Pour que SafeGuard puisse faire connaissance avec le eToken vous devez enregistrer le module PKCS 11 du jeton 1 Cliquez sur le bouton D marrer de Windows puis sur Ex cuter 2 Dans la bo te de dialogue Ouvrir tapez gpedit msc CCE x Entrez le nom d un programme dossier document ou d une ressource Internet et Windows l ouvrira pour vous Quvrir gpedit msc 7 E sm erme Microsoft Management Console s affiche Vorgang Ansicht lmli Struktur Richtlinien F r Lokaler Computer E g Computerkonfiguration Software
390. tion de SafeGuard Easy du serveur voir Param tres Panneau de configuration Outils d administration Sources de donn es ODBC Cette base de donn es est prot g e par un mot de passe Administrateur de sources de donn es ODBC 21x Pilotes ODBC Pas pas Groupement de connexions propos Sources de donn es utilisateur Sources de donn es syst me Sources de donn es fichier Sources de donn es syst me Ajouter Supprimer Configurer S ICETECI ESOMECLES E Microsoft Access Treiber mdb Installez le serveur SGE en appelant Server msi partir du r pertoire du CD Server Dans le cadre d une installation personnalis e s lectionnez l option Serveur D s que vous en avez termin le syst me doit tre red marr 1 SafeGuard Easy Server Installation iol x Fonctionnalit s s lectio Veuillez s lectionner les fonctionnalit s que vous souhaitez installer SafeGuard Er Server Support pour Administratia X v Console d administration Description de la fonction Cette fonctionnalit sera install e sur le disque dur local Ce composant requiert 1Ko sur votre disque dur 1 sur 3 sous composants sont s lectionn s Ces sous composants requi rent 4491Ko sur votre disque dur Parcourir Utimaco Safeware AG Besoin en disque R initialiser lt Pr c dent Annuler 459 30 3
391. tion du compte utilisateur 159 161 161 161 161 163 164 165 166 166 167 167 167 168 13 12 6 6 12 7 12 7 1 12 7 2 PRE Date d expiration Droits utilisateur Octroi de droits d utilisateurs seeeesees0s0 Transfert de droits d utilisateurs 169 170 172 173 Param tres du mot de passe 175 13 1 13 2 13 3 13 3 1 13 3 2 13 4 13 4 1 13 4 2 13 4 3 13 4 4 13 4 5 13 4 6 13 5 13 5 1 13 5 2 R gles g n rales de mot de passe internes dans SafeGuard Easy eesssssssessrsreressressseees Les cl s autoris es pour le mot de passe SafeGuard Easy Configuration de SafeGuard Easy pour l utilisation dans un contexte international Diverses configurations de clavier Cr ations de donn es internationales unitaires pour SafeGuard Easy R gles g n rales de mots de passe Activation du mot de passe au d marrage dU SYSt mME ssssssssssssissnisssstissesesssess Entr e de mot de passe masqu seess Longueur minimum du mot de passe D lai minimal de l utilisation du mot de DASSC ii iniininsinisssmmniiinnonns Historique des mots de passe eeesssssesesess R gles de syntaxe caract res chiffres symboles inversion de casse Mots de passe ind sirables D finition de mots de passe interdits Importation d une liste de mots de passe 176 177 17
392. tiquement appel au d marrage du syst me quand rien n a t s lectionn dans le gestionnaire d amor age Une pr visualisation permet d afficher s par ment le stade de chiffrement et l acc s apr s s lection de la partition d amor age Preview Drive Layout Double amor age Indique si ce mode de chiffrement est actif Partitions en texte clair visibles d fini sous Chiffrement Double amor age Partager partitions non chiffr es Indique si l change de donn es entre partitions chiffr es et non chiffr es est possible Lecteur d amor age Indique les droits d acc s selon le disque de d marrage mais SANS effet sur les param tres d finis sous D terminer disques de d marrage 200 REMARQUES Pour des raisons techniques le gestionnaire d amor age ne fonctionne que lorsque les processus de chiffrement d chiffrement sont termin s Le premier red marrage apr s chiffrement d chiffrement appelle automatiquement le syst me d exploitation du disque syst me de Windows sans d marrer le gestionnaire d amor age Ce comportement se note en particulier en cas d installation et apr s cr ation d une sauvegarde de noyau avec l assistant pour la disquette de secours Pour chaque partition primaire amor able non amorc e le gestionnaire d amor age modifie l entr e de type dans le tableau de partitions en Masqu 48 h Ces modifications restent cons
393. tit En option la cr ation de la paire de cl s peut galement tre prise en charge par un module TPM Trusted Platform Module comme la puce Lenovo ESS Ceci garantit une s curit mat rielle suppl mentaire pour la m moire de cl s mais fonctionne moins rapidement que la solution logicielle Chiffrement des donn es pendant le transfert Toutes les informations SafeGuard Easy transmises depuis ou vers le serveur SGE sont chiffr es Une fois l authentification mutuelle effectu e une cl de session sym trique al atoire est cr e chang e et utilis e pour le transfert de donn es chiffr au moment de la communication Une nouvelle cl de session est cr e pour chaque nouvelle connexion entre le client SGE et le serveur SGE La proc dure est identique pour la communication entre la console d administration SGE et le serveur SGE Pour le chiffrement on utilise RC4 avec une cl de session 128 bits La cl de session peut tre cr e par le client ou par le serveur et est chiffr e avec la cl publique du destinataire avant d tre envoy e 446 30 2 2 Charge de r seau attendre Le montant de donn es g n r lorsque le client SafeGuard Easy v rifie les mises jour de configuration lors de son d marrage est seulement l g rement diff rent par rapport au montant de donn es g n r lorsque ce client recherche les mises jour de configuration l issue d une p riode d finie et s app
394. tory 4 1 Cr ation d un fichier de configuration Pour cr er un fichier de configuration 1 L Assistant est appel quand il est install via Programmes Utimaco SafeGuard Easy Assistant de configuration pour le d ploiement 2 Pour une installation de SafeGuard Easy il convient de marquer la propri t Installer pour le fichier de configuration Une fois que les param tres souhait s ont t d finis aux diff rentes pages de l Assistant un fichier de configuration est cr 3 Lors de la cr ation du fichier de configuration un fichier est cr l installation avec par d faut le nom Install cfg Le fichier cfg contient toutes les indications sur la configuration souhait e sur l ordinateur de destination Il est chiffr et contient la cl disques durs disquettes p riph riques amovibles et les mots de passe des utilisateurs Vous trouverez des d tails sur l assistant de configuration pour le d ploiement sous Assistant Fichier de configuration REMARQUES Les fichiers de configuration doivent tre prot g s contre les acc s non autoris s Les utilisateurs ordinaires ne doivent pas acc der aux fichiers de configuration 4 2 Installation avec Active Directory SafeGuard Easy est install sur les clients dans un environnement Active Directory en ajoutant un programme MSI appropri SGEasy msi la fonction de distribution de logiciel d un objet Strat gie de gr
395. toutefois les donn es d ouverture de session par d faut pour votre base de donn es Microsoft Access doit tre install pour cr er un fichier de donn es d utilisateurs Un fichier de donn es d utilisateurs de type Microsoft Access contient des informations sur l utilisateur les mots de passe et l appartenance un groupe Dans la configuration de base un fichier de donn es d utilisateurs poss de l extension mdw et est galement d sign par Microsoft comme Workgroup Information File Une installation de Microsoft Access g n re le Workgroup Information File standard System maw et le stocke sous m MS Access 97 WinNT System32 m MS Access 2000 Programmes Fichiers communs Syst me L outil MS Access Wrkgadm exe un nouveau fichier MDW peut tre cr et utilis comme fichier d utilisateur SafeGuard Easy Vous pouvez cependant utiliser le fichier mdw standard 476 Wrkgadm exe se trouve dans m MS Access 97 WinNT System32 m MS Access 2000 Programmes Microsoft Office Office 1033 Si vous utilisez le fichier mdw standard ouvrez MS Access Sous Outils S curit s lectionnez l option Gestion des utilisateurs et des groupes Vous pouvez d finir ici les utilisateurs les mots de passe et l appartenance des groupes Ouvrez ensuite la base de donn es SGE Sgeasy mdb avec Microsoft Access Dans le menu Outils S curit s lectionnez Autorisations d acc s Vous pouvez y attribuer des droits
396. tre les acc s non autoris s Les utilisateurs ordinaires ne doivent pas acc der aux fichiers de configuration 8 4 1 R utilisation de fichiers de configuration de versions SafeGuard Easy ant rieures Les fichiers de configuration de versions ant rieures peuvent tre charg s et trait s sans probl me si tant est qu ils m aient t cr s avec un assistant de configuration pour le d ploiement post rieur SafeGuard Easy 3 20 m disposent du type de fichier Installer Au chargement d un ancien fichier SafeGuard Easy affiche aussi automatiquement les nouvelles possibilit s de configuration l ouverture de session jeton par ex est nouvelle depuis la version 3 20 et les convertit aux valeurs standard 8 4 9 Cr er un nouveau fichier de configuration L assistant de configuration pour le d ploiement permet de cr er des fichiers pour l installation et la d sinstallation sans intervention de l utilisateur L assistant de configuration pour le d ploiement saisit successivement les informations que doit contenir un fichier De nouveaux fichiers de configuration sont cr es via D marrer Programmes Utimaco SafeGuard Easy Assistant de configuration pour le d ploiement Validez toutes les entr es correctes dans l assistant avec Suivant Apr s le d marrage vous d terminez d abord dans quel but le fichier de configuration est cr Pour une installation m Pour la modificatio
397. tuels sont conseill s SafeGuard Easy n a pas t test avec Windows XP Media Edition Remarque sur Windows XP SafeGuard Easy versions 4 50 peut tre utilis aussi sous Windows XP SP2 ou SP3 Une migration de SP2 vers SP3 par example est galement possible quand SafeGuard Easy est install Remarque sur SP2 de Windows XP SP1 de Windows 2003 Server Quand on utilise le serveur d administration centrale en option ou l administration distance de SGE 4 x des param tres de configuration particulier doivent tre d finis sur SP2 de Windows XP SP1 de Windows 2003 Server Vous trouverez une description des param tres requis dans notre base de connaissance http www utimaco com myutimaco sous la rubrique 106898 SafeGuard Easy and SP2 Configuration for Windows XP 106898 SafeGuard Easy et SP2 Configuration pour Windows XP Dans la zone de recherche Search de la base de connaissance tapez 106898 Nous fournissons une application permettant de d finir les param tres de configuration de fa on automatique Ceci autorise l administration centralis e et distance avec Windows XP Service Pack 2 Vous trouverez cette application sur le CD dans le dossier Tools DCOMWizard ou dans notre base de connaissance Dans ce dernier cas recherchez les mots cl s SP2 ou SGE Remarque sur Windows XP dition Familiale SafeGuard Easy ne prend pas en charge les l ments suivants m Ouverture de
398. ture de session de Windows Ouverture de session Utilisateur administrateur Mot de passe Domaine SERvERO3 D Ouvrir la session en utilisant une connexion distance CEE someone se m Utiliser l cran de d marrage Utimaco Quand la case est coch e la bo te de dialogue SafeGuard Commencer ouverture de session est affich e Vous tes invit taper Ctrl Alt Suppr pour ouvrir la bo te de dialogue d ouverture de session Quand la case n est plus coch e la bo te de dialogue Windows correspondante est affich e Ouverture de session SafeGuard Authentication m Utiliser l cran de verrouillage Utimaco Quand la case est coch e la bo te de dialogue SafeGuard Lock est affich e au lieu de la bo te de dialogue Windows au verrouillage du poste de travail avec Ctrl Alt Suppr Si une connexion utilisateur non valide a t enregistr e cette derni re s affiche dans la bo te de dialogue de verrouillage d Utimaco m D sactiver la v rification des donn es utilisateur avec le RAS Quand la case est coch e aucune v rification pr liminaire n est effectu e l tablissement de la connexion RAS m Activer le verrouillage de fermeture de session Si un utilisateur a verrouill un poste de travail vous pouvez permettre d autres utilisateurs le d verrouillage en cochant la case Pour annuler le verrouillage l ouverture de session par l autre utilisateur suf
399. u Cependant la synchronisation des mots de passe ne peut pas avoir lieu si Utimaco Master GINA a t d sactiv de fa on sp cifique dans le cadre d une distribution centralis e de SafeGuard Easy 289 17 2 3 Activation de la synchronisation de mot de passe Pour activer la synchronisation de mot de passe des modifications doivent tre effectu es dans la base de registres Windows La base de registres peut tre modifi e avec l diteur de registres regedit ou des m canismes centralis s Une fois l diteur de registre ouvert on trouve sous la rubrique de registre HKEY_LOCAL_ MACHINE SOFTWARE Utimaco Sgeasy cr ez la valeur DWORD PasswordSync Pour activer la synchronisation de mot de passe changez la valeur PasswordSync de 0 d sactiv e en 1 activ e Quittez ensuite le registre et red marrez l ordinateur 17 2 4 Ex cution de la synchronisation 1 de mot de passe Ex cutez toutes les mesures de pr paration pour la synchronisation du mot de passe Veuillez ne pas oublier de d finir le param tre SafeGuard Easy D finir l Age minimum des mots de passe sur la valeur 0 Red marrez l ordinateur L cran d ouverture de session SafeGuard Easy PBA appara t Entrez les donn es utilisateur de SafeGuard Easy par exemple Nom d utilisateur SGE Utilisateur Mot de passe SGE Sgeasy Sgeasy 4 La bo te de dialogue d ouverture de session de
400. u contenu des onglets comme fichier de texte 481 Affichage de la configuration actuelle d un client SGE 5 588 489 Modification de la description du client 483 Suppression de client 483 Nouvel enregistrement du client SafeGuard Easy 484 31 4 1 31 5 31 6 31 6 1 31 6 2 31 6 3 31 6 4 31 6 5 31 7 31 7 1 31 7 2 31 8 31 8 1 31 8 2 31 8 3 31 8 4 31 8 5 31 8 6 31 8 7 31 9 31 9 1 31 9 2 31 9 3 31 9 4 31 9 5 Nouvel enregistrement de plusieurs clients SafeGuard Easy 488 Enregistrement de clients SGE sur un autre serveur SGE ss ssssssssssssesssssssses 489 D finition de groupes 494 Cr ation Suppression de groupes 495 Ajout ou suppression d un client SafeGuard Easy un d un groupe 495 Identification de membres de groupe 496 Modification d un nom de groupe 497 Suppression de groupes 497 D finition de filtre 498 Configuration d un filtre 499 Activation d un filtre 501 Requ tes et listes d attente 509 Cr ation de requ tes 503 Cr ation d une nouvelle requ te 504 Utilisation de fichier de configuration existant comme requ te 505 chec d une requ te 506 Modification du nom de requ te 507 Suppression d une requ te 507 File d attente 507 tat d un client SafeGuard Easy 509 tat Standard en ligne
401. uard Easy vide sur le serveur SQL REMARQUE ll est imp ratif d installer le serveur AVANT SafeGuard Easy 1 Installez le serveur SQL si ce n est pas d j fait A l installation notez ceci Dans le Mode d authentification choisissez l option Mode mixte Authentication Mode Le mode d authentification peut tre galement d fini apr s l installation de SQL Server 2 Appelez Analyseur de requ tes SQL via Programmes Microsoft SQL Server Analyseur de requ tes 3 Ouvrez le fichier SGE SOLSRV sq1 de l Analyseur de requ te Le fichier est compress dans l archive SQL info zip enregistr e dans le dossier TOOLS du CD de SafeGuard Easy SGE_SQLSRV sql contient le script n cessaire pour cr er une base de donn es SGE vide sur le serveur SGE Cette base de donn es est utilis e plus tard comme base de donn es SGE par le serveur SGE crasez les entr es C Program Files Microsoft SQL Server avec le r pertoire d installation du serveur SQL sur votre ordinateur par ex D Microsoft SQL Server LT Analyseur de requ tes SQL Requ te SERYERO3 master sa C DOCU_SQLSRY SGE_SQLSRY sql lecture seule Ur 24H alE fr Fichier Edition Requ te Outils Fen tre a scun terega o o m v u Database SGEASY Script Date 11 25 2004 10 37 49 AM trtt IF EXISTS SELECT name FROM master dbo sysdatabases WHERE name N SGEASY tttttt Object DROP DAT
402. ue dur et vous r installez le programme Repartitionnement Si un disque dur a t repartitionn un red marrage doit tre effectu AVANT l installation de SafeGuard Easy Veuillez ne plus modifier le partitionnement du disque dur apr s le chiffrement Ceci peut entra ner la perte de donn es Cl Une seule cl de disque dur est d finie ind pendamment du nombre de disques durs m Sauvegarde du noyau syst me Apr s le chiffrement du disque dur effectuez imp rativement une sauvegarde du noyau syst me Disquettes SafeGuard Easy prend en charge tout lecteur int gr dans un PC standard Remarques relatives au chiffrement de disquettes Disquette d amor age Quand le chiffrement de disquettes est activ il est imp ratif de cr er une disquette d amor age chiffr e Plusieurs lecteurs de disquettes Quand il existe plusieurs lecteur de disquettes les diff rents lecteurs sont affich s non pas individuellement mais ensemble A B Les disquettes ne peuvent pas tre chiffr es individuellement L tat de chiffrement est valable pour tous les lecteurs de disquettes P riph riques amovibles 149 Support m moire USB Carte m moire avec emplacement de lecteur int gr carte SD carte CF etc Lenovo Microdrive Lecteur ZIP USB Lecteur ZIP parall le Remarques relatives au chiffrement de p riph riques amovibles m Connection possible after installation Connexion poss
403. ueur du mot de pas Non Longueur minimum du mot de passe 6 D lai minimal de l utilisation du mot c 30 Historique des mots de passe 4 Caract res 0 Num ros 0 Symboles 0 Majuscules et minuscules m lang e 0 B Mots de passe ind sirables Mots de passe Mots de passe B Identification Identification de l ordinateur lab1 Message d avertissement Message d avertissement E Master Boot Record Protection MBR Afficher le menu Actions MBR ctions MBA appuyez sur F1 pour obtenir de l aide Par partition pas de lecteur chiffr num l Le volet de gauche pr sente une liste de toutes les pages de configuration disponibles Si dans la fen tre de gauche un fichier de configuration est s lectionn des d tails sur les possibilit s de r glage sont affich s dans la partie de droite Les diff rentes possibilit s de param trage correspondent celles qui sont disponibles lors de l installation de SafeGuard Easy 100 La fen tre d administration affiche d autres informations dans la zone du bas m Mode de chiffrement et tat de chiffrement des lecteurs dans notre exemple Par partition pas de lecteur s chiffr s m tat des touches pour le pav num rique et la touche de mise en exposant dans notre exemple la touche Verr num est activ e Dans la configuration de base tout utilisateur connect l administration peut y modifier son mot de passe SafeGuard Easy L importance de son ray
404. ui ci ne conna t pas ses donn es SGE m Si lutilisateur ne conna t pas les donn es SGE le manque de concordance entre l utilisateur SGE et Windows est limin et le nombre d utilisateurs SGE par poste de travail peut tre augment sans restrictions Si vous s lectionnez cette option vous pouvez impl menter un concept d acc s en fonction du r le et contourner le nombre maximum d utilisateurs SafeGuard Easy autoris par station de travail 15 utilisateurs dans un environnement o les r les sont utilis s les utilisateurs connaissent uniquement leur mot de passe jeton et non pas les donn es d acc s SafeGuard Easy r le SafeGuard Easy Quand l administrateur d livre par exemple un nombre al atoire de jeton contenant le m me r le SGE un nombre illimit de possesseurs de jeton peuvent se partager un poste de travail prot g par SafeGuard Easy Des donn es d acc s Windows diff rentes garantissent un Bureau individuel chaque utilisateur PC prot g par SafeGuard Easy Nom d utilisateur SGE User Token 1 Mot de passe SGE utimaco Utilisateur SGE User Mot de passe SGE utimaco Mot de passe jeton 1234 Token 2 CI le nt Utilisateur SGE User Mot de passe SGE utimaco Mot de passe jeton FF06D Token 2 Utilisateur SGE User D Mot de passe SGE utimaco Mot de passe jeton a126 206 15 2 Jetons pris en charge SafeGuard Easy accepte les jetons USB suivants
405. uie sur les modifications ventuelles et leur nature Dans les deux cas des donn es d une taille approximative de 2 k octets sont chang es La taille exacte d pend un peu du nombre de modifications Si vous utilisez d j des fichiers de configuration pour l installation la configuration de SafeGuard Easy leur taille vous donne une id e approximative de la quantit de donn es En raison de la configurabilit de l intervalle d change de donn es d crite au point Capacit maximale de la base de donn es SafeGuard Easy l administration centrale SafeGuard Easy ne contribue du point de vue d Utimaco que de fa on insignifiante une charge de r seau plus lev e 30 2 3 D finition de l intervalle d change des donn es En r gle g n rale un ordinateur client demande r guli rement au serveur si des modifications doivent tre ex cut es lors du d marrage D autres demandes ont lieu des intervalles d termin s La valeur par d faut pour d autres demandes de mise jour est de 6 heures Cet intervalle peut tre adapt de fa on centrale avec des m canismes Windows standard car il s agit d une entr e dans le registre Pour modifier l intervalle modifiez galement la cl de registre D WORD HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy NotifyPeriod lt Intervalle gt Quand la cl est pr sente les clients envoient des requ tes aux intervalles sp cifi s Vous pouvez sp cifier
406. un fichier de configuration existant peut tre directement affect une requ te Ce fichier est d sinstall par un client SGE ou seules des modifications sont effectu es La condition est que ce fichier ait t pr alablement cr avec l assistant de configuration pour le d ploiement D finir les Changements Ouvrir partir du Fichier x Nom de requ te P ri les Changements Ouvrir partir du Fichier 1110982718 Description de requ te D finir les Changements Ouvrir partir du Fichier 16 03 2005 15 18 38 M Ouvrir partir du fichier de configuration pour la d sinstallation ou modification Fichier de configuration pour la d sinstallation ou modification ESPROGRAM FILESWUTIMACOSSAFEGUARD EASY CHANGE cfg T Annuler Leur dur e de vie est un atout du travail avec des fichiers de configuration existants Les requ tes compl t es qui ne sont pas associ es un fichier de configuration ne sont pas accessibles en tant que fichiers distincts Par contre ils sont stock s en tant que liens dans la base de donn es de SafeGuard Easy Quand ils ont t ex cut s avec succ s leurs param tres ne peuvent plus tre dit s ult rieurement ou assign s d autres postes de travail 506 31 8 4 chec d une requ te Des requ tes peuvent chouer lorsque les profils de droits du cr ateur requis n autorisent pas la modification entr e dans la requ te applique
407. upes La requ te n est ex cut e qu une fois m me si un client SGE est pr sent dans plusieurs groupes Les nouvelles requ tes sont cr es via D finir les changements que l on trouve la fois dans le menu Postes de travail et dans le menu Groupes g Console d Administration de SafeGuard Easy Serveur SERYERO1 Fichier Edition Affichage Poste de Travail Extras Aide Afficher la Configuration Changer la Description Configurer la Relation pour les Groupes wks O Afficher les d tails de la Queue Groupes Postes de Tra Nom __ tion Ouvrir lAdministration Distance ssignet aux Groupes Supprimer des Groupes Changer l tat a D finir les Changements Cr er Enregistrer en autre Serveur Charger partir du Fichier Supprimer des Postes de Travail Suppr Exporter Sauvegarde du Noyau Exporter Fichier de Requ te Apr s appel de D finir les changements l utilisateur a le choix entre m Cr er Cr e une nouvelle requ te m Charger partir du fichier Utilise un fichier de configuration actuel comme requ te 31 8 2 Cr ation d une nouvelle requ te Via Postes de travail Groupes D finir les changements Cr er vous appelez une bo te de dialogue dans laquelle vous d cidez si une requ te doit tre cr e avec mod le une configuration de base par exemple ou non D finir les Changements Cr er x Nom de requ te D fini
408. uppression de donn es pour la connexion SAL SCSAL Si vous supprimez le fichier Sgsal dat lt disque syst me gt SYSTEM32 toutes les donn es d utilisateur enregistr es sont supprim es Apr s un red marrage de l ordinateur vous pouvez attribuer de nouvelles donn es un utilisateur SafeGuard Easy Quand un utilisateur SafeGuard Easy ayant d j tabli une connexion est supprim d un syst me cette relation reste conserv e la cr ation du m me utilisateur 278 17 1 6 Restriction La SAL est provisoirement d sactiv e quand un utilisateur ouvre une session par Requ te R ponse via l option Ouverture de session unique Cette ouverture de session unique permet un utilisateur d ouvrir une session dans l authentification avant amor age PBA de SafeGuard Easy sans conna tre le mot de passe SafeGuard Easy voir Maintenance distance Requ te R ponse Si l ouverture de session unique dans la PBA a t alors permise un utilisateur il n ouvrira pas automatiquement de session dans Windows m me quand la SAL est activ e Dans ce cas le syst me d exploitation stoppe la bo te de dialogue d ouverture de session sp cifique de Windows et requiert des donn es Windows valides Toutes les actions sont d s lors enregistr es sous le nom de l utilisateur ayant ouvert la session Windows Apr s chaque nouvelle ouverture de session r guli re avec donn es SafeGuard Easy dans la PBA la SAL
409. ur existe sur le client SGE l tablissement de la connexion une ouverture de session automatique a lieu sur le client SGE Lorsque le lien est mis en place l administrateur est connect de fa on automatique au client SafeGuard Easy m si au moins un utilisateur SGE identique mot de passe inclus a t cr sur le client SGE et sur l ordinateur de l administrateur m si l utilisateur de l ordinateur d administrateur ouvre sa session avec ces informations d utilisateur SGE identique sur l administration SafeGuard Easy via l administration distance Client SGE Utilisateur SGE mot de passe SYSTEM User1 User2 Helpdesk PppTttZzz Utilisateur Windows mot de passe WinUser1 Administrateur Admin s PC d administrateur Utilisateur SGE mot de passe SYSTEM Helpdesk PppTttZzz Utilisateur Windows mot de passe Administrateur Admin L utilisateur SGE sur l ordinateur de l administrateur ne peut ex cuter les t ches auxquelles son profil d utilisateur l autorise REMARQUE Le syst me d exploitation Windows XP requiert les param tres de s curit locaux suivants sur les ordinateurs client et ou administrateur Acc s r seau mod le de partage de s curit pour les comptes locaux Classique les utilisateurs locaux s authentifient eux m mes Les param tres de s curit locaux sont ouverts pa
410. ur vous connecter SQL Server Quel nom voulez vous utiliser pour vous r f rer la source de donn es Nom SateGuard Easy Database Comment voulez vous d crire la source de donn es Description quel serveur SOL Server voulez vous vous connecter Serveur ETES une se REMARQUE Le nom de la base de donn es doit imp rativement tre SafeGuard Easy Database 468 7 S lectionnez l option Avec authentification de serveur SQL S lectionnez l option Avec l authentification SQL Server et choisissez un utilisateur par d faut pour la base de donn es SQL normalement l utilisateur sa ou dans l exemple l utilisateur helpdesk Cr er une nouvelle source de donn es vers SQL Server x Comment SOL Server doit il v rifier l authenticit de l identificateur de connexion Avec l authentification Windows NT par l ID de connexion r seau G Avec l authentification SQL Server utilisant un identificateur de connexion entr par l utilisateur Pour modifier la biblioth que r seau utilis e pour communiquer avec SQL Server cliquez sur Configuration client Configuration client v Se connecter SQL Server pour obtenir les param tres par d faut pour les options de configuration suppl mentaires ID de connexion helpdesk Mot de passe p lt Pr c dent Annuler Aide 8 Choisissez la base de donn es SGEASY
411. urd hui plut t des lecteurs de CD DVD SafeGuard Easy s adapte ces d veloppements dans le domaine du mat riel informatique et prend en charge autant les disquettes que les CD et cl s USB comme supports de secours Les supports de d marrage sont pris en charge sous MS DOS et Windows PE Connexion Windows standard sans bo te de dialogue SafeGuard Suite l installation de SafeGuard Easy la bo te de dialogue Windows n s affiche que lorsque vous vous connectez au syst me d exploitation Cependant les clients peuvent personnaliser la connexion par d faut et utiliser une bo te de dialogue de connexion de type Utimaco et non plus Windows Module d extension SafeGuard pour le TMS Token Management System d Aladdin Le syst me de gestion de jetons d Aladdin est un outil bas sur Active Directory qui permet d initialiser les jetons lectroniques eToken A partir de la version 1 1 le TMS d Aladdin offre la possibilit d int grer des modules d extension d autres concepteurs Utimaco fournit ainsi un module d extension permettant de charger des donn es SafeGuard Easy PBA et des donn es d ouverture de session Windows sur le jeton lectronique La combinaison du TMS d Aladdin et du module d extension d Utimaco permettent de contourner la fonctionnalit d administration de jetons de SafeGuard Token lors de l initialisation du jeton lectronique mais les deux programmes peuvent galement fonctionner en parall le Le
412. us Configuration ordinateur Mod les d administration SafeGuard Authentification Identification machine Restauration Sous Type de restauration vous pouvez s lectionner m Donn es d acc s administratives pour l utilisation du nom d utilisateur Windows et du mot de passe ou m Mot de passe TPM pour l utilisation du mot de passe de la puce de s curit Lenovo en fonction du contexte BE E E O Please enter an user with administrative privileges ma no Dans la bo te de dialogue qui appara t entrez le nom et le mot de passe d un utilisateur existant sur l ordinateur Le nom de domaine est facultatif REMARQUE Sur cet ordinateur l utilisateur doit poss der des droits d administration 356 24 SafeGuard Easy et technologies Thinkvantage de Lenovo Rescue and Recovery Ceci permet aux utilisateurs de faire appel la m thode efficace de sauvegarde et de restauration de Lenovo m me quand la partition du syst me d exploitation est chiffr e avec SafeGuard Easy SafeGuard Easy offre ici une fonctionnalit unique en son genre 24 1 Aper u Rescue and Recovery offre une fonction centrale pour la restauration de donn es par appui sur une touche M me quand le syst me d exploitation primaire est endommag et n amorce plus Rescue and Recovery sauvegarde les donn es via un environnement de secours Les outils de sauvetage peuvent tre appel depuis le Bureau de
413. ute la fonction SAL sans confirmation La bo te de dialogue est supprim e au moyen d une strat gie dans le mod le d administration Utimaco sous Configuration ordinateur Mod les d administration SafeGuard SGEasy A la page des propri t s de SGEasy il suffit de supprimer la coche devant Bo te de dialogue pour ouverture de session s curis e RTE Action Affichage T e lm EA rbre Param tre Strat gie Ordinateur local g Configuration ordinateur Param tres logiciel Param tres Windows Propri t s de SGEasy LC Lx Ci Mod les d administration E Windows Components 4 SafeGuard Te Sgeasy amp SGEasy CA Authentication Strat gie Expliquer l 4 System C Non configur e C Activ e C D sactiv e C3 Network CA Printers Configuration utilisateur CN Param tres logiciel C3 Param tres Windows E Mod les d administration IV Ouverture de session automatique s curis e IV Bo te de dialogue SGEasy pour annuler le verrouillage de poste de N Affichage de l image d arri re plan sur le Bureau d ouverture de ses M Ouverture de session automatique s curis e avec cartes puce U IV R initialisation de param tres de chiffrement temporaires la ferme Intervalle d interrogation du client en heures le i 17 1 5 S
414. uthentification Mode de connexion Mode de g n ration utilisateur voir General Authentication Issuing Mode G n ral authentification Mode de g n ration Type d authentification pour l utilisateur requis voir Users lt nom_utilisateur gt Logon Utilisateur lt nom_utilisateur gt Connexion PBA activ e SAL activ e 246 L utilisateur a oubli son jeton Utilisateur Entre ses donn es d utilisateur SGE dans la PBA et requiert le code de requ te avec F9 Appelle l administrateur assistance helpdesk Administrateur Assistance Aide S assure que le demandeur est bien l utilisateur Appelle l assistant de d blocage distance Demande le code de requ te de l utilisateur Dans la bo te de dialogue Remote command Commande distante s lectionnez l option Logon without required token for X logons Connexion sans le jeton requis pour X connexions Transmet le code de r ponse l utilisateur Entre le code de r ponse dans les cases pr vues cet effet et ouvre une session lls peuvent d sormais se connecter au module PBA x fois sans jeton Pour l ouverture de session dans le syst me d exploitation l utilisateur ne conna t pas les donn es le fichier SAL est ouvert les donn es de syst me d exploitation de l utilisateur sont sorties et l ouverture de session est automatiquement effectu e L utilisateur a perdu son jet
415. utilisateurs autoris s travailler sur un poste de travail prot g par SafeGuard Easy Vous pouvez cr er ici de nouveaux utilisateurs SafeGuard Easy modifier des utilisateurs existants ou supprimer des utilisateurs inutiles Vous d terminez en outre de quels droits et pouvoirs compl mentaires les utilisateurs SafeGuard Easy d finis disposent SafeGuard Easy autorise l acc s au syst me pour 16 utilisateurs AUTOUSER inclus au maximum SYSTEM et USER sont d finis par d faut l utilisateur SYSTEM ne devant jamais tre supprim REMARQUES L assistant de configuration pour le d ploiement ne montre que SYSTEM et USER si un fichier avec la propri t Installer est cr e ou quand une configuration de base est utilis e 158 12 1 D termination de t ches d administration Une distinction est faite entre les utilisateurs avec t ches d administration et les utilisateurs sans t ches d administration Les utilisateurs avec t ches d administration sont m l administrateur du syst me et m les utilisateurs disposant de fonctions d administrateur La personne sans t ches d administration est m lutilisateur La fonction d administrateur peut tre s par e de la fonction d utilisateur mais galement y tre associ e Les t ches d administration peuvent tre ex cut es par une ou plusieurs personnes SafeGuard Easy peut par cons quent configurer un ou au maximum 16 utilisateurs AUTOUSER
416. uvegarde est toutefois sp cifique au syst me c est dire qu elle ne peut tre restaur e que sur l ordinateur o elle a t effectu e Cependant si une erreur syst me se produit le disque dur risque de ne plus tre accessible Comme vous ne pourrez probablement pas en cas de d faillance du syst me acc der au disque dur le noyau syst me et tous les fichiers de secours doivent tre toujours sauvegard s sur une disquette ou sur un p riph rique amovible m Langue de Sgeasy exe La langue de l interface utilisateur du programme de secours est d termin e par le fichier Sgeasy hmf qui se trouve sur la disquette de secours Les diff rentes ditions du fichier de langue pour l Allemand Sgeasy07 hmf l Anglais Sgeasy09 hmf et le Fran ais Sgeasy0C hmf se trouvent dans le r pertoire d installation de SafeGuard Easy L utilisateur doit renommer le fichier SGEASY lt 09 07 0C gt hmf pour la disquette de secours en SGEASY HMF pour obtenir la langue souhait e dans SGEASY EXE 410 27 6 Acc s aux donn es chiffr es lors du red marrage partir d un support externe Dans certaines situations d urgence les utilisateurs doivent d marrer un syst me chiffr avec SafeGuard Easy partir d un support de donn es externe par exemple pour sauvegarder des donn es quand le syst me d exploitation ne d marre plus Les utilisateurs ne peuvent toutefois d marrer le syst me partir d un support externe et ac
417. v Activer les destinations pour cet amp jouter destination Effacer destination 3 Double cliquez dans le champ de droite sur un v nement ou s lectionnez le sous Propri t s dans son menu contextuel 4 Dans cette bo te de dialogue vous d terminez le statut et la destination Event 1511 Properties estimation Statut m Non configur par d faut L v nement est d sactiv et non consign AVERTISSEMENT Les destinations d finies ont priorit sur ces param tres S il existe une destination ce param tre est invalide m Activ L v nement est enregistr dans une ou plusieurs destinations m D sactiv L v nement est invalid et n est pas enregistr 496 Activer les destinations pour cet v nement m Ajouter ouvre une bo te de dialogue dans laquelle sont affich s toutes les destinations enregistr es S lectionnez au moins l une de ces destinations Lorsque vous cliquez sur OK les destinations s affichent dans le champ Destinations actives pour l v nement m Supprimer supprime toutes les destinations actives 5 Cliquez sur Appliquer puis sur OK S lection multiple La s lection de plusieurs v nements destinations est aussi possible Appuyez sur les touches Ctrl et Maj en m me temps Vous pouvez ensuite s lectionner plusieurs v nements en un simple clic Cliquez avec le bouton droit de la souris sur les v nements s lectionn
418. vail s lectionn s Nom de l utilisateur system j Mot de passe de l utilisateur Annuler 5 Confirmer la saisie avec OK 6 La demande pour enregistrement appara t dans la file d attente D tails de la Queue Poste de Travail WK503 x Nom de requ te Type de requ te Date tat Enregistrer en autre Serveur Enregistrement 9 03 2005 15 43 56 Planifi 0 7 D finir l tat du client SGE sur Push via le menu Postes de travail Changer l tat Push on Console d Administration de SafeGuard Easy Serveur SERYERO3 Fichier Edition Affichage Poste de Travail Extras Aide Afficher la Configuration Changer la Description RES Configurer la Relation pour les Groupes Es 0 d tais de la Queue Ouvrir l dministration Distance Groupes Postes de Tra tion Assigner aux Groupes ger l tat a Offline D finir les Changements gt Standard Enregistrer en autre Serveur Supprimer des Postes de Travail Suppr mere Push off Eee een A 8 Lancer la requ te pour enregistrement via le menu Extras Appliquer requ tes Push Console d Administration de SafeGuard Easy Serveur SERYERO3 Fichier Edition Affichage Groupes Extras Aide Appliquer Requ tes Push Groupes Pi Postes de Travail Re c A 5 Nom Enregistrer Poste de Travail F9 9 Le client SGE sa file d attente et autres d pendances
419. version 5 00 HKEY_LOCAL_MACHINE SOFTWARE ODBC ODBC INI ODBC Data Sources safeGuard Easy Database SQL Server HKEY_LOCAL_MACHINENSOFTWARE ODBC ODEC INI SafeGuard Easy Database Database SGEASY Description sQL Server database for SafeGuard Easy priver D windows system32 sqlsrv32 d11 server SERVERO3 2 Modifiez les cl s suivantes m Driver Entrez le chemin correct pour le fichier SQLSRV3 d11 sur votre serveur SGE par ex D Windows System32 SQLSRV32 dil m Server Indiquez le nom du serveur SQL par ex EMOINTL24 3 Ex cutez SGE _SQLSRV reg 479 31 Console d administration Avant de pouvoir travailler avec la base de donn es une communication doit tre tablie avec le serveur SGE via la console d administration Le serveur SafeGuard Easy contient la base de donn es SafeGuard Easy son enregistrement OBDC et le processus serveur 31 1 Ouverture de session Appelez la console d administration via D marrer Programmes Utimaco SafeGuard Easy Console d administration Un masque d ouverture de session appara t Connexion la Base de Donn es E x m Information du serveur de SafeGuard Easy Nom du serveur SERVEROS M Utiliser l authentification par d faut de la base de donn es m Authentification de la Base de donn es Nom de l utilisateur Mot de passe de utilisateur Annuler Vous devez y entrer les
420. verte elle est visible sur les ordinateurs connect s en r seau domaines galement G n ra SGES lt Chiffre SGEs B wos Mot de passe D finil 528 3 L ordinateur marqu en vert est l ordinateur de l administrateur Quand un client est s lectionn dans la liste et quand vous cliquez ensuite sur l ordinateur marqu en jaune une connexion est tablie entre l ordinateur de l administrateur et le client SGE Eg SafeGuard Easy Administration E 0 x Fichiers Affichage Utilisateur Adistance Extras Aide Ines GAEAF Computer B a OE A B B Personnalisation du compte utilisateur lt amp Chiffrement Longueur minimum de nom de l utilis 4 Les utilsateurs E SYSTEM lt Modifier D fini Authentification avec token Sans token Mot de passe Mot de passe D fini E User lt Modifier D fini A anmiana ne ame Babar Cana taban Une fois la connexion tablie avec succ s une ouverture de session automatique a lieu avec le client SGE utilisant l ID de l utilisateur SafeGuard Easy qui s est authentifi localement au d marrage de l Administration SafeGuard Easy dans notre exemple Helpdesk Eg SafeGuard Easy Administration ioj x Fichiers Affichage Utilisateur Adistance Extras Aide Ime GAEAF Computer B ma B G n ral B Personnalisation du compte utilisateur lt amp Chiffrement Longueur minimum
421. voir Assistant Fichier de configuration m Assistant de d blocage distance Sert permettre certaines actions aux utilisateurs par ex d finition d un nouveau mot de passe m me quand l administrateur n est pas sur place voir Maintenance distance Requ te R ponse m Administration Token Support Autorise l ouverture de session par jeton aux utilitaires d administration de SafeGuard Easy administration incluse voir Ouverture de session unique Single Sign On dans le syst me d exploitation 30 DESIREN Vous trouverez des informations d taill es sur les options d installation dans les chapitres respectifs 5 Apr s avoir cliqu sur Nom de Serveur entrez le nom du serveur central de SafeGuard Easy ig SafeGuard Easy Hom de serveur Editer le nom de serveur 6 A l tape suivante vous allez d finir le mode de chiffrement pour les disques durs de votre ordinateur Vous trouverez des d tails sous Mode chiffrement Assistant de configuration pour le d ploiement SafeGuard Easy F 21x Choisissez le mode de chiffrement Veuillez sp cifier un mode de chiffrement Le mode chiffre des disques durs complets Le mode Par partition chiffre des partitions de disque dur et le mode Protection des zones d amor age chiffre des zones sp ciales des partitions de disque dur C Disques complets C Protection des zones d amor age C Double amor
422. z successivement les outils suivants du r pertoire SafeGuard Easy MBRsync exe MBRsync exe 369 3 Installez SafeGuard Easy gt Version 4 10 mise jour IMPORTANT A chaque fois que Rescue and Recovery est install apr s SafeGuard Easy les outils MBRsync exe et WinPErepair exe doivent tre ex cut s avant le red marrage qui active Rescue and Recovery Sinon le message suivant s affiche Error Fichier noyau introuvable Les deux outils se trouvent dans le r pertoire SafeGuard Easy et sont ex cut s simplement en double cliquant dessus 24 4 Mise niveau Mise niveau signifie qu la fois SafeGuard Easy partir de la version 4 10 et Rescue and Recovery sont install s l un des deux programmes tant mis jour 24 4 1 Mise niveau de SafeGuard Easy La mise niveau de SafeGuard Easy met jour le syst me complet Rescue and Recovery inclus Aucune autre action n est n cessaire 24 4 2 Mise niveau de Rescue and Recovery A chaque fois que Rescue and Recovery est mis jour les outils MBRsync exe et WinPErepair exe doivent tre ex cut s avant le red marrage Les deux outils se trouvent dans le r pertoire SafeGuard Easy et sont ex cut s simplement en double cliquant dessus 364 24 5 D sinstallation A la d sinstallation des deux produits veuillez observer ce qui suit m D sinstallez d abord SafeGuard Easy puis Rescue and Recovery m La d
Download Pdf Manuals
Related Search
T turning point usa tiktok terence crawford translate teams the tv app target twitch telegram twitter temu turbotax ticketmaster tradingview t-mobile teamviewer typing test trash bin traductor toyota teams login translate google tubi tv taylor swift turning point usa website