Manuel d`administration de SafeGuard Enterprise
Contents
1. nenna 295 36 4 Chiffrement de disques durs compatibles Opal 295 86 5 Verrouillage des disques durs compatibles Opal 295 36 6 Autorisation de d verrouillage des disques durs compatibles Opal aux UTIISATCUrS rh de Loan dd red een d rene de rene del dm en net 296 86 7 Journalisation des v nements pour les ordinateurs d extr mit quip s de disques durs compatibles Opal nenn 296 37 v nements disponibles pour les rapports 297 38 GCodes T TE annie e metiers E Ea e het female inde fa tirant ts 310 88 1 Codes SGMERR du journal des v nements de Windows 310 38 2 Codes d erreur BitLocker ss 326 39 Support technique 3 222288 rene An generee anti Ann 329 40 M ntions 1 gales trs mt a ARR ae ne AR RU tin faia ae tin 330 Manuel d administration 1 propos de SafeGuard Enterprise 7 0 SafeGuard Enterprise assure une protection puissante des donn es travers le chiffrement et une authentification suppl mentaire la connexion Cette version de SafeGuard Enterprise prend en charge Windows 7 et Windows 8 fonctionnant sur des ordinateurs d extr mit dot s de BIOS ou d UEFI Pour les plates formes BIOS vous pouvez choisir entre le chiffrement int gral du disque SafeGuard Enterprise et le chiffrement BitLocker g r par SafeGuard E2. lt gt ne sont pas autoris s dans les noms de domaine 115 SafeGuard Enterprise 18 3 18 4 18 5 116 Modification et suppression des listes de comptes de service En tant que responsable de la s curit poss dant le droit Modifier les listes de comptes de service vous pouvez modifier ou supprimer les listes de comptes de service tout moment a Pour modifier une liste de comptes de service cliquez dessus dans la fen tre de navigation de la strat gie La liste de comptes de service s ouvre dans la zone d action et vous pouvez alors ajouter supprimer ou modifier les noms d utilisateur dans la liste a Pour supprimer une liste de comptes de service s lectionnez la dans la fen tre de navigation de strat gie ouvrez le menu contextuel puis s lectionnez Supprimer Attribution d une liste de comptes de service dans une strat gie 1 Cr ez une nouvelle strat gie du type Authentification ou s lectionnez en une existante 2 Sous Options de connexion s lectionnez la liste de comptes de service requise dans la liste d roulante Liste de comptes de service Remarque Le param tre par d faut est Aucune liste c est dire qu aucune liste de comptes de service ne s applique Les op rateurs en charge du d ploiement se connectant l ordinateur apr s l installation de SafeGuard Enterprise ne sont pas trait s comme des utilisateurs invit s lls peuvent activer l authentification au d marrage Saf
3. Client Utilisateur POA 1 import dans la POA Client Utilisateur POA 1 supprim de la POA Client Utilisateur POA 1 a chang le mot de passe via la touche F8 chec de l importation de l utilisateur POA 1 dans la POA Client chec de la suppression de l utilisateur POA 1 de la POA 306 Cat gorie Identifiant d v nement Manuel d administration Description Utilisateur POA 1 chec de la modification du mot de passe via la touche F8 Une erreur s est produite au niveau du client de protection de configuration Le client de protection de configuration a d tect une possible falsification Chiffrement Le client de protection de la configuration a d tect une probable falsification des journaux d v nements Acc s refus au support sur le lecteur Chiffrement Chiffrement Acc s refus au fichier de donn es D marrage du chiffrement initial bas sur secteur du lecteur Chiffrement Chiffrement D marrage du chiffrement initial bas sur secteur du lecteur mode rapide Fin du chiffrement initial bas sur secteur du lecteur r ussie Chiffrement Chiffrement chec et cl ture du chiffrement initial bas sur secteur du lecteur Annulation du chiffrement initial bas sur secteur du lecteur Chiffrement Chiffrement chec du chiffrement initial bas sur secteur du lecteur D marrage du d chiffrement bas sur secteu
4. Cr ez une strat gie du type Param tres g n raux choisissez la langue dans le champ Langue utilis e sur le client et d ployez la strat gie sur l ordinateur d extr mit Remarque si vous d finissez une strat gie et la d ployez sur l ordinateur d extr mit la langue choisie dans la strat gie s applique au lieu de celle indiqu e dans les Options r gionales et linguistiques de Windows Disposition du clavier Chaque pays ou presque a une disposition de clavier qui lui est propre La disposition du clavier dans l authentification au d marrage SafeGuard est importante lorsque vous saisissez des noms d utilisateur des mots de passe et des codes de r ponse Par d faut SafeGuard Enterprise adopte la disposition de clavier de l authentification au d marrage Sa feGuard qui a t d finie dans les Options r gionales et linguistiques de Windows pour l utilisateur Windows par d faut au moment o SafeGuard Enterprise a t install Si Allemand est la disposition de clavier d finie sous Windows la disposition allemande du clavier sera utilis e dans l authentification au d marrage SafeGuard La langue de la disposition du clavier utilis e est affich e dans l authentification au d marrage SafeGuard par exemple FR pour fran ais Outre la disposition du clavier par d faut la disposition du clavier am ricain anglais peut galement tre utilis e Il existe un certain nombre d exceptions a La
5. Pour importer les donn es cliquez sur Oui puis sur OK Cette op ration d marre le processus d importation Dans Importer le certificat d authentification cliquez sur et s lectionnez le fichier de cl Saisissez maintenant le mot de passe du fichier de cl Saisissez le mot de passe du magasin de certificats d fini pr c demment dans Mot de passe du magasin de certificat ou code confidentiel de la carte S lectionnez Importer dans le magasin de certificats ou s lectionnez Copier sur le token pour stocker le certificat sur un token 10 Saisissez le mot de passe une nouvelle fois pour initialiser le magasin de certificats Les certificats et les cl s priv es sont pr sent contenus dans le magasin de certificats La connexion SafeGuard Management Center n cessite ensuite le mot de passe du magasin de certificats 25 SafeGuard Enterprise 26 6 6 1 Licences Vous avez besoin d une licence valide pour utiliser SafeGuard Enterprise avec SafeGuard Management Center Par exemple dans la base de donn es SafeGuard Enterprise une licence valide est une condition pr alable l envoi de strat gies aux ordinateurs d extr mit Les licences de token appropri es sont galement requises pour la gestion des tokens Les fichiers de licence sont disponibles aupr s de votre partenaire des ventes Ces fichiers doivent tre import s dans la base de donn es SafeGuard Enterprise apr s l installation L
6. 89 SafeGuard Enterprise 14 5 14 6 14 6 1 90 Restauration de strat gies et de groupes de strat gies Pour restaurer une strat gie un groupe de strat gies partir d un fichier XML 1 Dans la fen tre de navigation s lectionnez l ments de strat gie Groupes de strat gies 2 Cliquez avec le bouton droit de la souris pour afficher le menu contextuel et s lectionnez Restaurer une strat gie Remarque la commande Restaurer une strat gie est galement accessible depuis le menu Actions 3 S lectionnez le fichier XML partir duquel la strat gie le groupe de strat gies doit tre restaur puis cliquez sur Ouvrir La strat gie le groupe de strat gie est restaur e Attribution de strat gies Pour attribuer des strat gies vous avez besoin des droits d Acc s complet aux objets concern s 1 Cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation s lectionnez l objet conteneur requis par exemple OU ou domaine 3 Allez dans l onglet Strat gies Tous les l ments requis pour l attribution de la strat gie sont affich s dans la zone d action 4 Pour attribuer une strat gie faites la glisser de la liste dans l onglet Strat gies 5 Vous pouvez d finir une Priorit pour chaque strat gie en les organisant gr ce au menu contextuel Les param tres des strat gies de niveau sup rieur remplacent celles qui lui sont inf rieures Si vous s lectionnez Ne pas r
7. Chaque utilisateur obtient toutes ses cl s lors de la connexion partir de son jeu de cl s Le jeu de cl s utilisateur comporte les l ments suivants a Les cl s des groupes auxquels appartient l utilisateur a Les cl s des conteneurs O globaux des groupes auxquels appartient l utilisateur Les cl s du jeu de cl s de l utilisateur d terminent les donn es auxquelles l utilisateur peut acc der L utilisateur peut uniquement acc der aux donn es pour lesquelles il poss de une cl sp cifique Remarque pour viter que trop de cl s de groupes non utilis es apparaissent dans le jeu de cl s de l utilisateur vous pouvez indiquer les cl s masquer Retrouvez plus d informations la section Masquage des cl s la page 72 Pour afficher toutes les cl s d un utilisateur cliquez sur Utilisateurs et ordinateurs et s lectionnez l onglet Cl s Pour afficher toutes les cl s cliquez sur Cl s et certificats dans SafeGuard Management Center et s lectionnez Cl s Vous pouvez g n rer des listes de Cl s attribu es et de Cl s inactives Remarque la liste Certificats attribu s indique seulement les cl s attribu es aux objets pour lesquels vous avez des droits en Lecture seule ou d Acc s complet La vue Cl s indique le nombre de cl s disponibles quels que soient vos droits d acc s La liste Cl s attribu es indique le nombre de cl s visibles en fonction de vos droits d acc s 1 Cliquez sur Utilisateur
8. Lorsque les composants client pour le chiffrement de volume SafeGuard Enterprise ont t d ploy s le chiffrement l aide de BitLocker To Go n est pas compatible et il est d sactiv Les volumes et supports amovibles qui ont t chiffr s avec BitLocker To Go avant l installation de SafeGuard Enterprise restent lisibles Le chiffrement de fichiers SafeGuard peut toujours tre utilis D sactivation du chiffrement BitLocker To Go 1 Dans l diteur de strat gies de groupes Windows s lectionnez Strat gie Ordinateur local gt Configuration ordinateur gt Mod les d administration gt Composants Windows gt Chiffrement de lecteur BitLocker gt Lecteurs de donn es amovibles 2 Sous Lecteurs de donn es amovibles s lectionnez la strat gie suivante Contr ler l utilisation de BitLocker sur les lecteurs amovibles D finissez les options comme suit a S lectionnez Activ b Sous Options dess lectionnez Autoriser les utilisateurs prot ger les lecteurs de donn es amovibles avec BitLocker c Sous Options s lectionnez Autoriser les utilisateurs suspendre et supprimer la protection BitLocker sur les lecteurs de donn es amovibles 8 Cliquez sur OK Le chiffrement BitLocker To Go est d sactiv sur les ordinateurs d extr mit Les utilisateurs ne peuvent plus chiffrer les nouveaux volumes avec BitLocker To Go Les volumes chiffr s avec BitLocker To Go avant le d ploiement des composants du clien
9. Remarque apr s avoir s lectionn cette proc dure de connexion l utilisateur peut se connecter uniquement l aide d une empreinte digitale pr enregistr e ou d un nom d utilisateur et d un mot de passe Vous ne pouvez pas utiliser conjointement les proc dures de connexion par token et par empreinte digitale sur le m me ordinateur Param tre de strat gie Options de connexion l aide d un token Manuel d administration Explication D termine le type de token ou de carte puce utiliser sur l ordinateur d extr mit Non cryptographique Identification l authentification au d marrage SafeGuard et Windows bas e sur les codes d acc s de l utilisateur Kerberos Authentification bas e sur les certificats l authentification au d marrage SafeGuard et Windows Pour les ordinateurs d extr mit administr s le responsable de la s curit met un certificat dans une infrastructure de cl publique PKI et la stocke sur le token Ce certificat est import sous forme de certificat utilisateur dans la base de donn es SafeGuard Enterprise Si un certificat g n r automatiquement existe d j dans une base de donn es il est remplac par le certificat import Les tokens cryptographiques ne peuvent pas tre utilis s pour les ordinateurs d extr mit non administr s Remarque en cas de probl mes de connexion avec un token Kerberos il n est pas possible d utiliser la proc dure C
10. a Un compte de responsable principal de la s curit pour se connecter SafeGuard Management Center a Tous les certificats n cessaires pour restaurer une configuration de base de donn es corrompue ou une installation de SafeGuard Management Center SafeGuard Management Center d marre une fois que l assistant de configuration a ferm Cr ation de configurations de base de donn es suppl mentaires Mutualis es Condition pr alable La fonction de configuration mutualis e doit avoir t install e avec une installation de type Compl te La configuration initiale de SafeGuard Management doit avoir t r alis e Remarque vous devez configurer une instance distincte par base de donn es du serveur SafeGuard Enterprise Pour cr er une configuration de base de donn es suppl mentaire SafeGuard Enterprise la suite de la configuration initiale 1 D marrez SafeGuard Management Center La bo te de dialogue S lection d une configuration s affiche 2 Cliquez sur Nouveau L assistant de configuration de SafeGuard Management Center d marre automatiquement 3 L assistant vous guide tout au long des tapes n cessaires de cr ation d une nouvelle configuration de base de donn es D finissez les param tres tels que requis La nouvelle configuration de base de donn es est g n r e 4 Pour vous authentifier dans SafeGuard Management Center vous tes invit s lectionner le nom du responsable de la s cu
11. 23 23 230 23 3 1 192 Affichage des p riph riques ignor s et connect s pour la configuration File Encryption Pour vous aider d finir les p riph riques ignor s vous pouvez utiliser des cl s du registre pour indiquer quels p riph riques sont consid r s pour le chiffrement p riph riques connect s et quels sont ceux qui sont ignor s La liste des p riph riques ignor s indique seulement ceux qui sont v ritablement disponibles sur l ordinateur et qui sont ignor s Si un p riph rique est param tr pour tre ignor dans une strat gie et s il n est pas disponible sur l ordinateur il n appara t pas dans la liste Utilisez les cl s de registre suivantes pour afficher les p riph riques connect s et ignor s a HKIM System CurrentControlSet Control Utimaco SGLCENC Log AttachedDevices HKIM System CurrentControlSet Control Utimaco SGLCENC Log IgnoredDevices Configuration du chiffrement permanent pour File Encryption Le contenu des fichiers chiffr s par File Encryption est d chiffr instantan ment si l utilisateur poss de la cl requise Lorsque le contenu est enregistr sous la forme d un nouveau fichier dans un emplacement qui n est pas couvert par une r gle de chiffrement le fichier obtenu ne sera pas chiffr Avec le chiffrement permanent les copies des fichiers chiffr s seront chiffr es m me lorsqu elles sont enregistr es dans un emplacement non couvert par une r gle de chiffrement
12. Eeee e e a aaam f E Je cac con Se er x Ei E ii 5 Recycle Bin Normal X m Overwrite M Zip Password M Relative Path M Update M Hidden System 2object s 0 object s selected D 72 64 MB free 86 26 MB total Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer esak l Le Lo Le contenu du lecteur d chiffr s affiche dans le gestionnaire de fichiers Le syst me de fichiers ainsi que la capacit et l espace utilis libre figurent dans les propri t s du lecteur d chiffr L acc s aux donn es stock es sur cette partition est r cup r Suite ce d chiffrement r ussi vous pouvez lire crire et copier des donn es partir du disque indiqu ou vers celui ci Proc dure Challenge R ponse pour clients Sophos SafeGuard autonomes SafeGuard Enterprise propose aussi une proc dure Challenge R ponse pour les ordinateurs d extr mit non administr s clients Sophos SafeGuard autonomes lorsque l utilisateur a oubli son mot de passe ou s il l a saisi de mani re incorrecte un trop grand nombre de fois Les ordinateurs non administr s ne disposent d aucune connexion m me temporaire au serveur SafeGuard Enterprise Ils fonctionnent en mode autonome Dans ce cas les informations de r cup ration n cessaires la proc dure Challenge R ponse sont bas es sur le fichier de r cup ration de cl Sur chaque ordinateu
13. La bo te de dialogue Planificateur de t ches s affiche 2 Cliquez sur Cr er La bo te de dialogue Nouvelle t che appara t 3 Dans le champ Nom saisissez un nom de t che unique Si le nom de t che n est pas unique un avertissement appara t lorsque vous cliquez sur OK pour enregistrer la t che 4 Dans la liste d roulante du champ Serveur SGN s lectionnez le serveur sur lequel la t che doit fonctionner La liste d roulante affiche seulement les serveurs pour lesquels la cr ation de scripts est autoris e Vous autorisez la cr ation de scripts pour une serveur donn lorsque vous l enregistrez dans l Outil de package de configuration dans SafeGuard Management Center Retrouvez plus d informations sur l enregistrement des serveurs dans le Guide d installation de SafeGuard Enterprise Si vous s lectionnez Aucune la t che n est pas ex cut e 283 SafeGuard Enterprise 34 2 284 9 Cliquez sur le bouton Importer pr s du champ Script La bo te de dialogue S lectionner le fichier script importer appara t Remarque deux scripts pr d finis sont disponibles dans le r pertoire Script Templates de l installation de votre installation de SafeGuard Management Center La bo te de dialogue S lectionner le fichier de script importer appara t Retrouvez plus d informations la section Scripts pr d finis pour les t ches quotidiennes la page 289 Dans le Planificateur de t ches vo
14. La vue Cl s attribu es appara t affichant la colonne Masquer la cl 3 Il existe deux moyens de sp cifier que les cl s doivent tre masqu es a S lectionnez la case cocher dans la colonne Masquer la cl de la cl requise a S lectionnez une ou plusieurs cl s et cliquez avec le bouton droit de la souris pour ouvrir un menu contextuel S lectionnez Masquer la cl l utilisateur 4 Enregistrez vos changements dans la base de donn es Les cl s indiqu es n apparaissent pas dans le jeu de cl s de l utilisateur Retrouvez plus d informations sur l affichage du jeu de cl s de l utilisateur sur l ordinateur d extr mit dans le Manuel d utilisation de SafeGuard Enterprise au chapitre Ic ne de la barre d tat syst me et infobulles Remarque si une strat gie indique une cl masqu e utiliser pour le chiffrement le param tre Masquer la cl n affecte pas le chiffrement sur l ordinateur d extr mit 12 2 12 2 1 1222 Manuel d administration Cl s personnelles pour Le chiffrement bas sur fichier par File Encryption Une cl personnelle est un type particulier de chiffrement cr pour un utilisateur donn qui ne peut pas tre partag avec d autres utilisateurs Une cl personnelle qui est active pour un utilisateur donn est appel e une cl personnelle active Les cl s personnelles actives ne peuvent pas tre attribu es d autres utilisateurs Dans les strat gies File Encryption
15. Manuel d administration a Clients virtuels En cas de situation de r cup ration complexe par exemple lorsque l authentification au d marrage SafeGuard est corrompue l acc s aux donn es chiffr es peut tre facilement r cup r gr ce la proc dure Challenge R ponse Dans ce cas des fichiers sp cifiques appel s clients virtuels sont utilis s Ce type est disponible pour les ordinateurs administr s et non administr s a Clients Sophos SafeGuard autonomes Challenge R ponse pour les ordinateurs non administr s Ils ne sont jamais connect s au serveur SafeGuard Enterprise Les informations de r cup ration requises sont bas es sur le fichier de r cup ration de cl Sur chaque ordinateur d extr mit ce fichier est g n r lors du d ploiement du logiciel de chiffrement Sophos SafeGuard Pour assurer la proc dure Challenge R ponse dans ce cas le fichier de r cup ration de cl doit tre accessible au support technique SafeGuard Enterprise par exemple sur un chemin r seau partag Remarque par ailleurs la m thode de r cup ration de connexion Local Self Help ne requiert aucune assistance du support Proc dure Challenge R ponse pour clients SafeGuard Enterprise administr s SafeGuard Enterprise fournit la proc dure de r cup ration aux ordinateurs d extr mit SafeGuard Enterprise enregistr s dans la base de donn es dans diff rents sc narios de r cup ration par exemple la r cup ratio
16. Pour simplifier le flux de travail et r duire les co ts du support SafeGuard Enterprise fournit une solution de r cup ration Challenge R ponse Gr ce au m canisme convivial Challenge R ponse SafeGuard Enterprise aide les utilisateurs qui ne peuvent pas se connecter ou qui ne peuvent pas acc der aux donn es chiffr es Cette fonctionnalit est int gr e SafeGuard Management Center en tant qu Assistant de r cup ration Avantages de la proc dure Challenge R ponse Le m canisme Challenge R ponse est un syst me de r cup ration s curis et fiable Tout au long du processus aucune donn e confidentielle n est chang e sous une forme autre que chiffr e a Cette proc dure ne contient aucun point d coute lectronique de tiers car les donn es espionn es ne peuvent pas tre utilis es ult rieurement ni sur d autres p riph riques Aucune connexion r seau en ligne n est n cessaire pour l ordinateur L assistant de code de r ponse du support s ex cute galement sur un ordinateur d extr mit non administr sans connexion au serveur SafeGuard Enterprise Aucune infrastructure complexe n est n cessaire 29 2 1 Manuel d administration L utilisateur peut commencer retravailler rapidement L oubli du mot de passe n entra ne aucune perte de donn es chiffr es Situations d urgence classiques n cessitant l assistance du support Un utilisateur a oubli le mot de passe de connexion et l ordina
17. Sila liste ne contient qu un seul caract re g n rique l utilisateur ne sera plus en mesure de se connecter au syst me apr s un changement obligatoire de mot de passe Les utilisateurs ne doivent pas tre autoris s acc der ce fichier L option Utiliser la liste des mots de passe interdits doit tre activ e Synchronisation du mot de passe de l utilisateur avec les autres clients SGN Ce champ d termine la proc dure de synchronisation des mots de passe lorsque des utilisateurs utilisant plusieurs ordinateurs d extr mit utilisateur SafeGuard Enterprise et d finis comme les utilisateurs de ces ordinateurs changent leurs mots de passe Les options suivantes sont disponibles Lent attendre que l utilisateur se connecte Si un utilisateur change son mot de passe sur un ordinateur d extr mit SafeGuard Enterprise et s il tente de se connecter un autre ordinateur sur lequel il est galement enregistr il doit tout d abord se connecter avec son ancien mot de passe l authentification au d marrage La synchronisation du mot de passe n est effectu e qu apr s la connexion avec l ancien mot de passe Rapide attendre la connexion de la machine Si un utilisateur change son mot de passe sur un ordinateur d extr mit SafeGuard Enterprise la synchronisation du mot de passe avec d autres ordinateurs sur lesquels l utilisateur est galement enregistr est effectu e d s que l autre ordinateur
18. Suppression de tous les v nements ou d une s lection d v nements 1 Dans SafeGuard Management Center cliquez sur Rapports 2 Dans l Observateur d v nements s lectionnez les v nements supprimer 3 Pour supprimer des v nements s lectionn s s lectionnez Actions gt Supprimer des v nements ou cliquez sur l ic ne de suppression des v nements dans la barre d outils Pour supprimer tous les v nements s lectionnez Actions gt Supprimer tous les v nements ou cliquez sur l ic ne de suppression de tous les v nements dans la barre d outils 4 Avant de supprimer les v nements s lectionn s le syst me affiche la fen tre Sauvegarder les v nements sous permettant de cr er un fichier de sauvegarde Retrouvez plus d informations la section Cr ation d un fichier de sauvegarde la page 278 Les v nements sont supprim s du journal des v nements Cr ation d un fichier de sauvegarde Lorsque vous supprimez des v nements vous pouvez cr er un fichier de sauvegarde du rapport affich dans la visionneuse des v nements de SafeGuard Management Center 1 Lors de la s lection de Actions gt Supprimer les v nements ou Actions gt Supprimer tous les v nements la fen tre Sauvegarder les v nements sous permettant de cr er un fichier de sauvegarde appara t avant la suppression des v nements 2 Pour cr er un fichier de sauvegarde XML du journal des v nements entrez
19. a sign Client Smart Security Interface Gemalto Solution informatique GmbH Gemalto Access Client Gemalto Classic Client Gemalto NET Card IT Solution trustWare CSP Nexus Nexus Personal RSA Authentication Client 2 x RSA Smart Card Middleware 3 x Sertifitseerimiskeskus AS Siemens Estonian ID Card CardOS API TC FNMT ATOS FNMT CardOS API TC FNMT M dulo PCKS 11 TC FNMT TC FNMT T Systems Licences NetKey 3 0 Sachez que l utilisation des middlewares respectifs pour le syst me d exploitation standard requiert un accord de licence avec le fabricant correspondant Retrouvez plus d informations sur les licences dans l article http www sophos com fr fr support knowledgebase 116585 aspx Pour les licences Siemens contactez Atos IT Solutions and Services GmbH Otto Hahn Ring 6 81739 Muenchen Allemagne Le middleware est d fini dans la strat gie SafeGuard Enterprise du type Param tres de machine sp cifiques sous Param tres PKCS 11 personnalis s dans le champ Module PKCS 11 pour Windows ou Module PKCS 11 pour l authentification au d marrage 210 Manuel d administration SafeGuard Le package de configuration correspondant doit galement tre install sur l ordinateur sur lequel fonctionne SafeGuard Management Center Configuration de l utilisation d un token Proc dez aux tapes suivantes si vous voulez fournir des tokens aux utilisateurs suivants des fins d au
20. la base de donn es avec vos codes d acc s SQL respectives Saisissez les codes d acc s correspondant au compte utilisateur SQL que votre administrateur SQL a cr Si n cessaire vous pouvez les obtenir aupr s de votre administrateur SQL Remarque Utilisez ce type d authentification si votre ordinateur n appartient aucun domaine Assurez vous d avoir s lectionn Utiliser SSL pour s curiser la connexion au du serveur de base de donn es 3 Cliquez sur Suivant La connexion au serveur de base de donn es a t tablie Cr ation ou s lection d une base de donn es Remarque si vous utilisez SafeGuard Enterprise et SafeGuard LAN Crypt vous allez devoir utiliser des bases de donn es s par es Sur la page Param tres de base de donn es d terminez si une base de donn es existante ou nouvelle est utilis e pour stocker les donn es d administration 1 Proc dez de l une des mani res suivantes Si aucune base de donn es n existe encore s lectionnez Cr er une base de donn es nomm e Saisissez le nom de la nouvelle base de donn es Pour ce faire vous devez disposer des droits d acc s SQL ad quats Retrouvez plus d informations dans le Guide d installation de SafeGuard Enterprise Pour emp cher les probl mes de localisation les noms de la base de donn es SafeGuard Enterprise doivent seulement contenir les caract res suivants caract res A Z a z nombres 0 9 traits de soulignement _
21. tout moment Pour utiliser SafeGuard Enterprise dans un mode conforme la certification reportez vous au Manuel SafeGuard Enterprise pour une utilisation conforme la certification vitez le mode veille Sur les ordinateurs prot g s par SafeGuard Enterprise il est possible que certains individus malintentionn s acc dent aux cl s de chiffrement dans certains modes de veille Tout particuli rement lorsque le syst me d exploitation de l ordinateur n est pas arr t correctement et que les processus en t che de fond restent en cours d ex cution La protection est renforc e lorsque le syst me d exploitation est compl tement arr t ou mis en veille prolong e Formez les utilisateurs en cons quence ou consid rez la d sactivation centrale du mode veille sur les ordinateurs d extr mit sans surveillance ou qui ne sont pas en cours d utilisation vitez le mode veille attente veille prolong e ainsi que le mode de veille Hybride Le mode de veille Hybride allie la mise en hibernation et la mise en veille La d finition d un mot de passe suppl mentaire apr s la reprise d une session n assure pas de protection compl te vitez de verrouiller les ordinateurs de bureau et de mettre hors tension les moniteurs ou de fermer les couvercles des portables en guide de protection si ce n est pas suivi par une v ritable mise hors tension ou en hibernation La demande d un mot de passe suppl mentaire apr s la reprise d une
22. une authentification suppl mentaire du nouveau r le seront pr renseign s afin de correspondre ceux d finis pour le responsable de la cr ation de ce r le Cr ation d un r le Condition pr alable pour cr er un r le vous devez poss der le droit d affichage et de cr ation de r les de responsable de la s curit Pour attribuer une authentification 11 3 11 4 Manuel d administration suppl mentaire vous devez poss der le droit de modification des param tres d authentification suppl mentaire 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Cliquez avec le bouton droit de la souris sur R les personnalis s et s lectionnez Nouveau gt Nouveau r le personnalis 3 Dans le champ Nouveau r le personnalis saisissez un nom et une description pour le r le 4 Attribuez les actions ce r le S lectionnez les cases en regard de l action requise dans la colonne Activ Les actions sont tri es par zone de fonctions et dispos es de mani re hi rarchique Cette structure permet de visualiser les actions n cessaires l ex cution d autres actions 5 Si n cessaire attribuez une Authentification d un autre responsable Cliquez sur le param tre par d faut Aucune et depuis la liste s lectionnez le r le requis Si un responsable cr e un r le sans poss der de droit de modification de l authentification suppl mentaire les param tres relatifs l aut
23. 4 Entrez le nom et ventuellement la description du groupe de strat gies Cliquez sur OK 5 Le nouveau groupe de strat gies s affiche dans la fen tre de navigation sous Groupes de strat gies 6 S lectionnez le groupe de strat gies La zone d action indique tous les l ments requis pour regrouper les strat gies 7 Pour ajouter les strat gies au groupe glissez les de la liste de strat gies disponibles dans la zone de strat gies 14 3 2 14 4 Manuel d administration 8 Vous pouvez d finir une priorit pour chaque strat gie en les organisant gr ce au menu contextuel Si vous rassemblez des strat gies du m me type dans un groupe les param tres sont fusionn s automatiquement Dans ce cas vous pouvez d finir des priorit s d utilisation des param tres Les param tres d une strat gie ayant une priorit sup rieure remplacent ceux d une strat gie de priorit inf rieure Si une option est d finie sur non configur le param tre n est pas remplac dans une strat gie de priorit inf rieure Exception relative la protection du p riph rique Les strat gies de protection des p riph riques sont fusionn es uniquement si elles ont t d finies pour la m me cible volume de d marrage par exemple Les param tres sont ajout s si elles pointent des cibles diff rentes 9 Enregistrez la strat gie avec Fichier gt Enregistrer Le groupe de strat gies contient d sormais les param tres de t
24. 8 3 Modification des propri t s du serveur SafeGuard Enterprise sssssseeneneeee 8 4 Enregistrement du serveur SafeGuard Enterprise avec le pare feu Sophos ACIV EE AEEA AT A A EEE Donna nes drame nt trame en O Serres Tan 9 S curisation des connexions de transport avec SSL 9 1 Configuration de SSL issues 9 2 Activation du chiffrement SSL dans SafeGuard Enterprise 10 Cr ation de la structure organisationnelle 10 1 Importation depuis Active Directory 10 2 Cr ation des groupes de travail et des domaines 10 3 Recherche d utilisateurs d ordinateurs et de groupes dans la base de donn es SafeGuard Enterprise sseesseeesseeseeesiresiieesirsssrnsstnnntrntnnnstennenneennn 10 4 Affichage des propri t s d objet dans Utilisateurs et ordinateurs 11 Responsables de la s curit de SafeGuard Enterprise 11 1 R les du responsable de la s curit TLZ Creaton UN MOIS ren Rene nd nd a nr let 11 3 Attribution d un r le un responsable de la s curit 11 4 Affichage des propri t s du responsable et du r le 11 5 Modification d un Tolisa ein ae ele de dia enr ral aa 14 6 Cope d Um OE Essen Ar nn ares MR Re SEA nie 2 11 7 Suppression d un r le 11 8 Cr ation d un responsable principal de la s curit 11 9 Cr ation d un responsable de la s curit 11 10 Attribution d objets de r pertoire un responsable de la s curit 11 11 Promotion
25. Code confidentiel Longueur minimum du code Indique le nombre de caract res que doit contenir un code confidentiel confidentiel lorsqu il est modifi par l utilisateur La valeur requise peut tre saisie directement ou augment e r duite l aide des boutons en forme de fl che Longueur maximale du code Indique le nombre maximum de caract res que peut contenir un confidentiel code confidentiel lorsqu il est modifi par l utilisateur La valeur requise peut tre saisie directement ou augment e r duite l aide des boutons en forme de fl che Nombre minimum de lettres Ces param tres sp cifient qu un code confidentiel ne doit pas contenir seulement des lettres des nombres ou des caract res sp ciaux mais une combinaison de ces 2 au moins par exemple Nombre minimum de caract res 15fleur Ce param tre n est pratique que si la longueur minimale sp ciaux d finie pour le code confidentiel est sup rieure 2 Nombre minimum de chiffres Respecter la casse Ce param tre ne s applique qu avec Utiliser la liste des codes confidentiels interdits et Interdire l utilisation du nom d utilisateur en tant que code confidentiel Exemple 1 vous avez saisi tableau dans la liste des codes confidentiels interdits Si l option Respecter la casse est d finie sur OUI les variantes suppl mentaires du code confidentiel telles que TABLEAU TablEAU ne seront pas accept es et la connexion sera refus e Exemple 2 le nom
26. G n ration d un token ou d une carte puce pour un utilisateur Conditions pr alables Le token doit tre initialis et le module PKCS 11 appropri doit tre activ Le package de configuration du client SafeGuard Enterprise doit galement tre install sur l ordinateur PC sur lequel SafeGuard Management Center est ex cut Vous avez besoin des droits d Acc s complet pour l utilisateur correspondant 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Connectez le token l interface USB SafeGuard Enterprise lit le token 3 S lectionnez l utilisateur pour lequel un token doit tre g n r et ouvrez l onglet Donn es de token dans la zone de travail du c t droit 4 Dans l onglet Donn es de token proc dez comme suit a S lectionnez l ID utilisateur et le Domaine de l utilisateur concern et saisissez votre Mot de passe Windows b Cliquez sur G n rer un token La bo te de dialogue G n ration d un token s affiche 5 S lectionnez le connecteur adapt au token dans la liste d roulante Connecteurs disponibles 6 G n rez un nouveau Code confidentiel utilisateur et r p tez la saisie 7 Sous Code confidentiel RS saisissez le code PUK standard fourni par le fabricant ou le code confidentiel g n r lorsque le token a t initialis Remarque si vous remplissez uniquement le champ Code confidentiel utilisateur obligatoire le code confidentiel de
27. attribu deux fois l ordinateur SGMCLT et l utilisateur Alice Alice peut d sormais acc der au volume chiffr de n importe quel autre ordinateur d extr mit prot g par SafeGuard Enterprise auquel elle peut se connecter Ensuite elle peut facilement utiliser des outils tels que l Explorateur Windows ou regedit exe pour r soudre la cause du probl me de d marrage Si dans le cas le moins favorable le probl me ne peut pas tre r solu elle peut enregistrer les donn es sur une autre unit reformater le volume et le reconfigurer enti rement Manuel d administration 30 Restauration d une installation SafeGuard Management Center en cas de corruption Si l installation de SafeGuard Management Center est corrompue mais la base de donn es est toujours intacte l installation peut tre restaur e en r installant SafeGuard Management Center et en utilisant la base de donn es existante ainsi que le certificat sauvegard du responsable de la s curit Le certificat du responsable principal de la s curit de la configuration de la base de donn es correspondante doit avoir t export sous la forme d un fichier p12 ainsi qu tre disponible et valide Vous devez galement conna tre les mots de passe de ce fichier p12 ainsi que ceux du magasin de certificats Pour restaurer l installation corrompue de SafeGuard Management Center 1 R installez le package d installation de SafeGuard Management Cent
28. ces derniers peuvent tre d sactiv s si vous appuyez sur Maj F5 2 Si aucun support USB n est actif l authentification au d marrage SafeGuard tente d utiliser BIOS SMM au lieu de sauvegarder et de restaurer le contr leur USB Le mode h rit peut fonctionner dans ce sc nario 3 Le support h rit est actif USB est actif L authentification au d marrage SafeGuard tente de sauvegarder et de restaurer le contr leur USB Il se peut que le syst me se bloque selon la version du BIOS utilis e Vous pouvez sp cifier les modifications pouvant tre effectu es en utilisant des raccourcis clavier lors de l installation du logiciel de chiffrement SafeGuard Enterprise l aide d un fichier mst Pour ce faire utilisez l appel appropri en combinaison avec msiexec NOVESA D finit si le mode VESA ou VGA est utilis 0 mode VESA standard 1 mode VGA NOLEGACY D finit si le support h rit est activ apr s la connexion dans l authentification au d marrage SafeGuard 0 support h rit activ 1 support h rit non activ standard ALTERNATE D finit si les p riph riques USB sont pris en charge par l authentification au d marrage SafeGuard 0 prise en charge USB activ e standard 1 aucune prise en charge USB D finit si un pilote de p riph rique int13 est utilis 0 pilote de p riph rique ATA standard d faut 1 pilote de p riph rique Int13 ACPIAPIC D finit si le support
29. est difficile deviner mais simple se rappeler et saisir correctement Ne d sactivez pas l authentification au d marrage SafeGuard L authentification au d marrage SafeGuard fournit une protection de connexion suppl mentaire sur l ordinateur d extr mit Gr ce au chiffrement complet du disque SafeGuard elle est install e et activ e par d faut Pour une protection compl te ne la d sactivez pas Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 110282 aspx Prot gez vous contre l injection de code L injection de code par exemple travers une attaque par chargement pr alable de fichiers DLL est possible lorsqu un attaquant parvient placer du code malveillant comme des ex cutables dans des r pertoires qui peuvent faire l objet de recherches pour trouver du code l gitime par le logiciel de chiffrement SafeGuard Enterprise Pour carter ce type de menace Installez le middleware charg par le logiciel de chiffrement par exemple un middleware de token dans des r pertoires inaccessibles aux attaquants externes Il s agit g n ralement de tous des sous dossiers des r pertoires Windows et Program Files La variable d environnement PATH ne doit pas contenir de composants qui pointent vers des dossiers accessibles aux attaquants externes voir ci dessus a Les utilisateurs standard ne doivent pas avoir de droits administratifs Bon usage en mati re de chiffrement a
30. pr alablement g n r e Vous pouvez combiner les param tres Identifiant utilisateur Mot de passe et Token Pour v rifier si la connexion fonctionne en utilisant un token s lectionnez tout d abord les deux param tres Dess lectionnez seulement le mode de connexion Identifiant utilisateur Mot de passe si l authentification l aide du token a r ussi Pour passer d un mode de connexion l autre veuillez autoriser les utilisateurs se connecter d s que les deux param tres sont combin s Autrement il se peut qu ils ne puissent pas se connecter du tout Vous devez aussi combiner les deux param tres si vous voulez autoriser Local Self Help pour la connexion avec le token Empreinte digitale s lectionnez ce param tre pour permettre la connexion l aide du lecteur d empreintes digitales Lenovo Les utilisateurs auxquels cette strat gie s applique peuvent alors se connecter l aide d une empreinte digitale ou d un nom d utilisateur et d un mot de passe Cette proc dure offre le niveau de s curit maximal Lors de la connexion les utilisateurs font glisser leurs doigts sur le lecteur d empreintes digitales Lorsque l empreinte digitale est correctement reconnue le processus d authentification au d marrage SafeGuard lit les codes d acc s de l utilisateur et connecte l utilisateur l authentification au d marrage Le syst me transf re alors les codes d acc s vers Windows et connecte l utilisateur l ordinateur
31. www sophos com fr fr support knowledgebase 110285 aspx Les raccourcis clavier suivants sont pris en charge dans l authentification au d marrage SafeGuard a Maj F3 prise en charge h rit e USB actif inactif a Maj F4 mode graphique VESA actif inactif a Maj F5 prise en charge USB 1 x et 2 0 actif inactif a Maj F6 contr leur ATA actif inactif a Maj F7 prise en charge USB 2 0 seulement actif inactif La prise en charge USB 1 x reste tel que d finie par Maj F5 Maj F9 ACPI APIC actif inactif Matrice de d pendance des raccourcis clavier USB 109 SafeGuard Enterprise Commentaire d sactiv d sactiv d sactiv activ activ activ activ d sactiv d sactiv d sactiv activ activ Par d faut d sactiv activ d sactiv activ d sactiv d sactiv activ activ d sactiv activ d sactiv d sactiv d sactiv d sactiv activ activ activ d sactiv activ d sactiv activ d sactiv activ d sactiv d sactiv activ activ activ d sactiv d sactiv activ activ activ activ d sactiv d sactiv 1 Maj F5 d sactive USB 1 x et USB 2 0 Remarque si vous appuyez sur Maj F5 pendant le d marrage vous r duirez consid rablement la dur e du lancement de l authentification au d marrage SafeGuard Sachez cependant que si l ordinateur est quip d un clavier USB ou d une souris USB
32. 34 5 2 34 5 3 288 5 Cliquez sur OK Si le script a d j t import vous tes invit confirmer que vous voulez remplacer l ancien script Si la taille du fichier importer d passe 10 Mo un message d erreur appara t et le processus d importation est rejet Le script est enregistr dans la base de donn es Modification de scripts 1 6 Dans la barre de menus de SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montrant un aper u des t ches planifi es S lectionnez la t che requise et cliquez sur le bouton Propri t s La bo te de dialogue Propri t s de lt nom t che gt appara t avec les propri t s de la t che Cliquez sur le bouton d roulant Modifier pr s du champ Script La liste d roulante montre tous les diteurs disponibles pour la modification du script S lectionnez l diteur que vous souhaitez utiliser Le script s ouvre dans l diteur s lectionn Effectuez vos changements et enregistrez les L diteur est ferm et la bo te de dialogue Propri t s de lt nom de t che gt r appara t Cliquez sur OK Le script chang est enregistr dans la base de donn es Exportation de scripts 1 Dans la barre de menus de SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montran
33. 536870943 La fonction demand e n a pas pu tre r alis e mais aucune information concernant la cause de cette erreur n est disponible 536870945 L ordinateur sur lequel la compilation CBI s effectue n a pas suffisamment de m moire pour effectuer la fonction demand e Il se peut que cette fonction ne soit que partiellement ex cut e 536870946 Une op ration demand e n est pas prise en charge par la compilation CBI 536870947 Tentative de d finition d une valeur pour un objet qui ne peut pas tre param tr ou modifi 536870948 Valeur non valide pour l objet Identifiant de l erreur 536870949 Manuel d administration Affichage chec d obtention de la valeur d un objet car celui ci est sensible ou inaccessible 536870950 Le code confidentiel saisi a expir Le fait que le code confidentiel d un utilisateur classique fonctionne ou non sur un token g n r e d pend de cette derni re 536870951 Le code confidentiel fourni est incorrect Authentification impossible de l utilisateur 536870952 Le code confidentiel saisi contient des caract res non valides Ce code de r ponse ne s applique qu aux op rations qui tentent de d finir un code confidentiel 536870953 Le code confidentiel saisi est trop long ou trop court Ce code de r ponse ne s applique qu aux op rations qui tentent de d finir un code confidentiel 536870954 Le code confidentiel s l
34. Cliquez sur Suivant La page pour la saisie du code de challenge appara t La cl requise est transf r e vers l environnement de l utilisateur dans le code de r ponse S lection de la cl requise plusieurs cl s Condition pr alable Cette option est uniquement disponible pour les ordinateurs d extr mit administr s 29 269 29 2 6 10 Manuel d administration S lectionnez au pr alable le fichier de cl dans le SafeGuard Management Center sous Cl s et certificats En outre le mot de passe de chiffrement du fichier de cl doit tre stock dans la base de donn es S lectionnez au pr alable le fichier du client virtuel requis dans l assistant de r cup ration de SafeGuard Management Center et l action de r cup ration Mot de passe du fichier de cl demand 1 Pour s lectionner un fichier de cl cliquez sur pr s de cette option Dans Fichier de cl cliquez sur Rechercher maintenant S lectionnez le fichier de cl et cliquez sur OK 2 Pour confirmer cliquez sur Suivant La page pour la saisie du code de challenge appara t Saisie du code de challenge et g n ration du code de r ponse Condition pr alable S lectionnez au pr alable le client virtuel requis dans l assistant de r cup ration de SafeGuard Management Center et l action de r cup ration requise 1 Saisissez le code de challenge que l utilisateur vous a transmis et cliquez sur Suivant Ce code est v rifi Si
35. Dans SafeGuard Management Center dans le menu Outils cliquez sur Outil de package de configuration Tous les ordres de changement du certificat d entreprise CCO Company Certificate Change Order apparaissent dans l onglet CCO Des informations d taill es sur le CCO s lectionn apparaissent dans la partie inf rieure de la bo te de dialogue Si le CCO a t cr pour mettre jour le certificat d entreprise le Certificat d entreprise d origine doit tre renouvel Si le CCO a t cr pour d placer les ordinateurs d extr mit veuillez renouveler le certificat d entreprise de l environnement dans lequel les ordinateurs d extr mit vont tre d plac s Le Certificat d entreprise de destination est le nouveau certificat d entreprise si le CCO a t cr pour mettre jour le certificat d entreprise ou le certificat d entreprise de l environnement dans lequel les ordinateurs d extr mit vont tre d plac s Au dessous des d tails du certificat sont affich es les t ches pour lesquelles le CCO s lectionn peut tre utilis Remarque pour pouvoir g rer les CCO vous devez disposer du droit de G rer les CCO Importation Lors de la cr ation de packages de configuration si vous souhaitez s lectionner l ordre de changement du certificat d entreprise CCO cr par un autre outil d administration pour changer le certificat d entreprise vous devez d abord l importer 13 3 2 Manuel d administratio
36. Dans SafeGuard Management Center vous pouvez cr er les types de packages de configuration suivants Package de configuration pour ordinateurs d extr mit administr s Les ordinateurs d extr mit connect s au serveur SafeGuard Enterprise re oivent leurs strat gies par le biais de ce serveur Pour garantir un bon fonctionnement une fois le logiciel client SafeGuard Enterprise install vous devez cr er un package de configuration pour les ordinateurs administr s et le d ployer sur ceux ci Une fois la premi re configuration de l ordinateur d extr mit effectu e par le package de configuration l ordinateur re oit des strat gies par le biais du serveur SafeGuard Enterprise apr s que vous avez attribu celles ci dans la zone Utilisateurs et ordinateurs de SafeGuard Management Center Package de configuration pour ordinateurs d extr mit non administr s Les ordinateurs d extr mit non administr s ne sont connect s au serveur SafeGuard Enterprise aucun moment et fonctionnent en mode autonome Ces ordinateurs re oivent leurs strat gies par packages de configuration Pour garantir un bon fonctionnement vous devez cr er un package de configuration contenant les groupes de strat gies appropri s puis le distribuer sur les ordinateurs d extr mit l aide des m canismes de distribution de l entreprise chaque fois que vous modifiez des param tres de strat gie vous devez cr er de nouveaux packages de configur
37. Erreur interne d tect e Module non initialis Erreur d E S de fichier d tect e Le cache ne peut pas tre attribu Erreur de lecture d E S de fichier Erreur d criture d E S de fichier Aucune op ration n a t effectu e Erreur g n rale Acc s refus Le fichier existe d j Impossible d ouvrir l entr e du registre Impossible de lire l entr e du registre Impossible d crire l entr e du registre Impossible de supprimer l entr e du registre 1205 Impossible de cr er l entr e du registre 310 Identifiant de l erreur Manuel d administration Affichage Acc s impossible un pilote ou un service syst me Impossible d ajouter un pilote ou un service syst me dans le registre Impossible de supprimer un pilote ou un service syst me du registre Une entr e est d j pr sente dans le registre pour un pilote ou un service syst me Aucun acc s au Service Control Manager Impossible de trouver une entr e dans le registre pour une session Une entr e du registre est non valide ou erron e chec de l acc s un lecteur Aucune information n est disponible sur un volume chec de l acc s un volume Option non valide d finie Type de syst me de fichiers non valide Le syst me de fichiers existant sur un volume et le syst me de fichiers d fini diff rent La taille du cluster existant ut
38. Impossible d ouvrir le fichier Fichier introuvable La carte n est pas ins r e Argument non valide Identifiant de l erreur Manuel d administration Affichage Le s maphore est en cours d utilisation Le s maphore est temporairement en cours d utilisation chec g n ral Actuellement vous ne disposez pas des droits permettant d effectuer l op ration demand e G n ralement un mot de passe doit tre fourni au pr alable Actuellement le service n est pas disponible Un l ment par ex une cl portant un nom sp cifique est introuvable Le mot de passe fourni est incorrect Le mot de passe fourni plusieurs fois est incorrect l acc s est par cons quent verrouill Il est g n ralement possible d utiliser un outil d administration appropri pour le d verrouiller L identit ne correspond pas une identit d finie ayant fait l objet d un contr le crois Plusieurs erreurs se sont produites Utilisez ce code d erreur si c est le seul moyen d obtenir un code d erreur lorsque des erreurs diff rentes se sont produites Il reste des l ments par cons quent la structure du r pertoire ne peut par ex pas tre supprim e Erreur lors du contr le de coh rence L ID se trouve sur une liste noire par cons quent l op ration demand e n est pas autoris e Identificateur non valide Fichier de configuration non valide Secteur intro
39. Les certificats import s s affichent dans la zone d action de droite 3 S lectionnez Certificats et cliquez sur l ic ne Importer la liste de r vocation de certificats de la barre d outils Naviguez jusqu aux fichiers de la liste de r vocation de certificats que vous souhaitez importer Les listes de r vocation de certificats import es s affichent dans la zone d action de droite 4 V rifiez que l AC et la liste de r vocation de certificats sont correctes Les certificats de l AC doivent correspondre la liste de r vocation de certificats pour que les utilisateurs puissent se connecter aux ordinateurs concern s SafeGuard Enterprise n effectue pas cette v rification Modification de l algorithme pour les certificats autosign s Conditions pr alables tous les composants SafeGuard Enterprise doivent tre la version 6 1 ou sup rieure Par d faut les certificats g n r s par SafeGuard Enterprise entreprise machine responsable de la s curit et utilisateur sont sign s par l algorithme SHA 256 la premi re installation pour une s curit optimale Manuel d administration Lors de la mise niveau partir de SafeGuard Enterprise 6 ou d une version ant rieure l algorithme SHA 1 est automatiquement utilis pour les certificats autosign s Vous pouvez le modifier manuellement sur SHA 256 pour une s curit optimale suite la mise niveau Remarque modifiez uniquement l algorithme sur SHA 256 si to
40. Lorsque vous y tes invit veuillez confirmer que vous tes bien conscient que ce changement ne peut pas tre annul et que tous les packages de configuration cr s apr s la mise jour de ce certificat d entreprise ont besoin que ce CCO soit inclus pour tre utilis s sur les ordinateurs d extr mit d j install s 132 Manuel d administration 5 Lorsque vous y tes invit veuillez confirmer que la mise jour a r ussi et qu un CCO inclure dans tous les packages de configuration a t cr Cliquez sur OK 6 Dans le menu Outils cliquez sur Outil de package de configuration 7 S lectionnez Packages du client administr 8 Cliquez sur Ajouter un package de configuration et saisissez un nom pour le package de configuration 9 Attribuez un Serveur principal le serveur secondaire n est pas n cessaire 10 S lectionnez le CCO que vous avez cr auparavant pour mettre jour le certificat d entreprise S lectionnez le mode Chiffrement du transport d finissant la mani re de chiffrer la connexion entre le client et le serveur SafeGuard Enterprise chiffrement du transport SafeGuard ou chiffrement SSL Le protocole SSL pr sente l avantage d tre standard et de permettre d tablir une connexion plus rapidement qu en utilisant le chiffrement du transport SafeGuard Le chiffrement SSL est s lectionn par d faut Retrouvez plus d informations sur la s curisation des connexions de transport avec S
41. Saisissez un nouveau nom pour ce r le et modifiez les propri t s selon les besoins 4 Cliquez sur l ic ne Enregistrer de la barre d outils pour enregistrer vos modifications dans la base de donn es Le nouveau r le est cr Suppression d un r le Remarque les r les pr d finis ne peuvent pas tre supprim s Condition pr alable pour supprimer un r le vous devez poss der le droit d affichage et de suppression des r les de responsable de la s curit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation sous R les personnalis s cliquez avec le bouton droit sur le r le supprimer et s lectionnez Supprimer En fonction des propri t s du r le un message d avertissement sp cifique s affichera Remarque lorsque vous supprimez un r le tous les responsables de la s curit auxquels ce r le est attribu perdent ce dernier Si le r le est le seul attribu un responsable de la s curit ce dernier ne peut plus se connecter SafeGuard Management Center sauf s il se voit attribuer un nouveau r le par un responsable de la s curit sup rieur Si le r le est utilis des fins d authentification suppl mentaire le MSO devra effectuer une authentification suppl mentaire 3 Pour supprimer le r le cliquez sur Oui dans le message d avertissement 4 Cliquez sur l ic ne Enregistrer de la barre d outils pour enregistrer vos modificat
42. Si une base de donn es a d j t cr e ou si vous avez d j install SafeGuard Management Center sur un ordinateur diff rent s lectionnez S lectionner une base de donn es disponible puis s lectionnez la base de donn es appropri e dans la liste 2 Cliquez sur Suivant Cr ation du responsable principal de la s curit En tant que responsable de la s curit vous pouvez acc der SafeGuard Management Center pour cr er des strat gies SafeGuard Enterprise et configurer le logiciel de chiffrement pour l utilisateur final Le responsable principal de la s curit est l administrateur au plus haut niveau avec tous les droits et un certificat qui n expire pas 1 Sur la page Donn es du responsable de la s curit sous ID du responsable principal de la s curit saisissez un nom de responsable principal de la s curit 2 Dans Certificat du responsable principal de la s curit proc dez d une des mani res suivantes a Cliquez sur Cr er pour cr er un nouveau certificat pour le responsable principal de la s curit Vous tes invit saisir et confirmer un mot de passe chacun pour le magasin de certificats et pour le fichier dans lequel les certificats doivent tre export s fichier de cl priv e P12 Le certificat est cr et affich sous Certificat du responsable principal de la s curit 21 SafeGuard Enterprise 36 1 5 6 2 5 6 3 22 a Cliquez sur Importer pour utiliser un
43. Windows est lanc depuis la partition chiffr e L utilisateur est connect automatiquement Windows La proc dure est identique lorsque l ordinateur est sorti du mode veille prolong e SafeGuard Logon O Nom d utilisateur John J Mot de passe PEEK Domaine mycompany J SOPHOS OK R cup ration Arr ter Options gt gt L authentification au d marrage SafeGuard offre a Une interface utilisateur graphique avec prise en charge de la souris et des fen tres pouvant tre d plac es pour plus de facilit et de lisibilit a Une pr sentation graphique qui en suivant les instructions peut tre personnalis e pour les ordinateurs d entreprise image d arri re plan image de connexion message d accueil etc La prise en charge de nombreux lecteurs de cartes et d un grand nombre de cartes puce a La prise en charge des comptes utilisateur Windows et des mots de passe d s l tape de pr d marrage ce qui vite l utilisateur de devoir m moriser des codes d acc s distincts a La prise en charge du format Unicode et par cons quent des mots de passe et des interfaces utilisateur en langue trang re Connexion SafeGuard Enterprise fonctionne avec la connexion bas e sur certificat Les utilisateurs ont besoin de cl s et de certificats pour se connecter lors de l authentification au d marrage SafeGuard La cl et les certificats sp cifiques un utilisateur
44. affich L utilisateur contacte le support technique et leur fournit l identification n cessaire et le code de challenge Le support lance l assistant de r cup ration dans SafeGuard Management Center Le support s lectionne le type de r cup ration appropri confirme les informations d identification et le code de challenge puis s lectionne l action de r cup ration souhait e Un code de r ponse sous la forme d une cha ne de caract res ASCII est g n r et s affiche Le support transmet le code de r ponse l utilisateur par exemple par t l phone ou SMS L utilisateur saisit le code de r ponse En fonction du type de r cup ration cette op ration s effectue soit dans l authentification au d marrage SafeGuard soit dans l outil de r cup ration de cl KeyRecovery L utilisateur est ensuite autoris effectuer l action convenue par exemple r initialiser le mot de passe et reprendre son travail 241 SafeGuard Enterprise 29 2 2 Exigences li es au changement du mot de passe de l utilisateur Dans le cadre du processus de r cup ration de SafeGuard Enterprise les utilisateurs peuvent tre contraints de changer leurs mots de passe Windows Le tableau suivant fournit des informations sur les cas dans lesquels un changement de mot de passe est requis Les quatre premi res colonnes indiquent les conditions sp cifiques pouvant se produire lors de la proc dure Challenge R ponse La derni re colon
45. aux d ploiements de logiciels Si les param tres d veil par appel r seau s curis s appliquent aux ordinateurs 156 Param tres de strat gie Manuel d administration Explication d extr mit les param tres n cessaires par exemple la d sactivation de l authentification au d marrage SafeGuard et un intervalle d veil par appel r seau sont transf r s directement sur les ordinateurs d extr mit sur lesquels les param tres sont analys s Important la d sactivation de l authentification au d marrage SafeGuard m me pour un nombre limit de processus de d marrage r duit le niveau de s curit de votre syst me Retrouvez plus d informations sur l veil par appel r seau s curis la section Eveil par appel r seau WOL s curis la page 233 Nombre de connexions automatiques D finit le nombre de red marrages lorsque l authentification au d marrage SafeGuard est inactive pour l veil par appel r seau Ce param tre remplace temporairement le param tre Activer l authentification au d marrage jusqu ce que le nombre pr d fini de connexions automatiques soit atteint L authentification au d marrage SafeGuard est ensuite r activ e Si vous d finissez le nombre de connexions automatiques sur deux et si Activer l authentification au d marrage est actif l ordinateur d extr mit d marre deux fois sans authentification via l authentification au d marrage SafeGuar
46. cher la connexion d un utilisateur invit de SGN Windows la section Param tres de machine sp cifiques Param tres de base la page 156 Compte de service Gr ce aux comptes de service les utilisateurs par exemple les op rateurs charg s du d ploiement ou les membres de l quipe informatique peuvent se connecter aux ordinateurs d extr mit apr s l installation de SafeGuard Enterprise sans avoir activer l authentification au d marrage SafeGuard et sans tre ajout s en tant qu utilisateurs SGN propri taires sur les ordinateurs Les utilisateurs figurant sur une liste de comptes de service sont consid r s comme des utilisateurs invit s de SGN apr s s tre connect s Windows sur l ordinateur d extr mit Utilisateur POA Suite l activation de l authentification au d marrage POA il pourrait tre n cessaire d effectuer des t ches administratives Les utilisateurs POA sont des comptes locaux pr d finis qui sont autoris s se connecter automatiquement lors de l authentification au d marrage La connexion Windows n est quant elle pas automatique Les utilisateurs utilisant les comptes d authentification au d marrage se connectent Windows l aide de leurs comptes Windows existants Les comptes sont d finis dans la zone Utilisateurs et ordinateurs de SafeGuard Management Center identifiant utilisateur et mot de passe et attribu s aux ordinateurs d extr mit dans les groupes d authen
47. ches d administration lorsqu un autre responsable l active Description Saisissez le nom du responsable de s curit tel qu il est fourni dans les certificats cr s par SafeGuard Enterprise sous la forme cn Le responsable de la s curit est galement affich sous ce nom dans la fen tre de navigation de SafeGuard Management Center Ce nom doit tre unique Valeur maximale 256 caract res Facultatif Valeur maximale 256 caract res T l phone portable Facultatif Valeur maximale 128 caract res Facultatif Valeur maximale 256 caract res Validit Connexion au token S lectionnez les dates de d but et de fin d autorisation de connexion du responsable de la s curit SafeGuard Management Center La connexion peut s effectuer de la fa on suivante Aucun token Le responsable de la s curit ne peut pas se connecter avec un token doit se connecter en saisissant ses informations de connexion nom d utilisateur mot de passe Facultatif La connexion peut s effectuer avec un token ou en saisissant les informations de connexion Le responsable de la s curit a le choix Obligatoire un token doit tre utilis pour la connexion Pour ce faire la cl priv e appartenant au certificat du responsable de la s curit doit se trouver sur le token Manuel d administration Champ case cocher Description Certificat Un responsable de la s curit a toujours besoin d un
48. cifier d autres options de code confidentiel pour l ordinateur d extr mit Remarque lorsque vous changez un code confidentiel certains fabricants de tokens sp cifient leurs propres r gles de code confidentiel qui peuvent contredire celles de SafeGuard Enterprise C est la raison pour laquelle il se peut qu il ne soit pas possible de changer un code confidentiel comme vous le souhaitez m me s il respecte les r gles des codes confidentiels de SafeGuard Enterprise Vous devez toujours consulter les r gles des codes confidentiels du fabricant de tokens Elles peuvent tre affich es dans la zone Token sous Informations sur le token dans SafeGuard Management Center Les codes confidentiels sont g r s dans SafeGuard Management Center sous Tokens Le token est connect et coch dans la fen tre de navigation de gauche Initialisation du code confidentiel de l utilisateur Conditions pr alables Le code confidentiel du responsable de la s curit doit tre connu a Vous avez besoin des droits d Acc s complet pour l utilisateur correspondant 1 Dans la barre d outils de SafeGuard Management Center cliquez sur Initialiser le code confidentiel de l utilisateur 2 Saisissez le code confidentiel du responsable de la s curit 3 Saisissez le nouveau code confidentiel de l utilisateur r p tez la saisie et confirmez en cliquant sur OK Le code confidentiel de l utilisateur est initialis Changement du code confidenti
49. d marrage Remarque lorsque vous mettez niveau des ordinateurs d extr mit non administr s pour qu ils soient administr s les utilisateurs de l authentification au d marrage restent actifs s ils ont aussi t attribu s dans SafeGuard Management Center Les mots de passe d finis dans les groupes d authentification au d marrage d ploy s dans les packages de configuration sont d finis sur ceux sp cifi s dans SafeGuard Management Center Les mots de passe chang s avec F8 sont remplac s Retrouvez plus d informations sur la mise niveau des ordinateurs d extr mit non administr s dans le Guide de mise niveau de SafeGuard Enterprise 19 7 3 19 7 4 19 8 Manuel d administration Annulation de l attribution d utilisateurs de l authentification au d marrage des ordinateurs d extr mit non administr s Les utilisateurs de l authentification au d marrage peuvent tre supprim s des ordinateurs d extr mit en attribuant un groupe d authentification au d marrage vide 1 Dans SafeGuard Management Center s lectionnez Outil de package de configuration dans le menu Outils 2 S lectionnez un package de configuration existant ou cr ez en un nouveau 3 Sp cifiez un Groupe POA vide cr pr alablement dans la zone Utilisateurs et ordinateurs de SafeGuard Management Center ou s lectionnez le groupe d authentification au d marrage aucune listedisponible par d faut dans l Outil de package de configuratio
50. d extr mit l authentification au d marrage SafeGuard pour ex cuter des t ches administratives sans avoir lancer de proc dure Challenge R ponse Il n y a pas de connexion automatique Windows Les utilisateurs se connectant avec leurs comptes utilisateur d authentification au d marrage doivent se connecter Windows avec leurs comptes Windows existants Vous pouvez cr er des utilisateurs de l authentification au d marrage les regrouper dans des groupes de l authentification au d marrage et attribuer ces groupes des ordinateurs d extr mit Les utilisateurs inclus dans le groupe de l authentification au d marrage sont ajout s l authentification au d marrage SafeGuard et peuvent se connecter l aide de leur nom d utilisateur et de leur mot de passe pr d finis Remarque pour g rer les utilisateurs et les groupes de l authentification au d marrage vous avez besoin des droits d Acc s complet pour le n ud POA sous Utilisateurs et ordinateurs Cr ation d utilisateurs POA Pour cr er des utilisateurs POA vous avez besoin des droits d Acc s complet pour le n ud POA sous Utilisateurs et ordinateurs 1 Dans la zone de navigation de SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA s lectionnez Utilisateurs POA 3 Dans le menu contextuel des Utilisateurs POA cliquez sur Nouveau gt Cr er un utilisateur
51. es la cl de d marrage BitLocker peut tre stock e sur un volume de d marrage chiffr Cette op ration est effectu e automatiquement si l option Auto d verrouiller est s lectionn e dans la strat gie Cl s de r cup ration BitLocker Pour la r cup ration BitLocker SafeGuard Enterprise propose une proc dure Challenge R ponse pour l change d informations confidentielles ainsi que la possibilit d obtenir la cl de r cup ration BitLocker aupr s du support technique Retrouvez plus d informations aux sections R ponse pour les clients SafeGuard Enterprise chiffr s par BitLocker ordinateurs d extr mit UEFI la page 255 et Cl de r cup ration pour les clients SafeGuard Enterprise chiffr s par BitLocker ordinateurs d extr mit BIOS la page 256 Pour permettre la r cup ration par Challenge R ponse ou l obtention de la cl de r cup ration le support technique doit avoir les donn es n cessaires disposition Ces donn es n cessaires la r cup ration sont enregistr es dans des fichiers de r cup ration de cl sp cifiques 177 SafeGuard Enterprise 21295 178 Remarque si la gestion de SafeGuard BitLocker sans Challenge R ponse en mode autonome est utilis e la cl de r cup ration ne change pas suite la proc dure de r cup ration Remarque si un disque dur chiffr BitLocker sur un ordinateur est remplac par un nouveau disque dur chiffr BitLocker et que celui ci prend l
52. es d inventaire et d tat des utilisateurs sur l ordinateur Colonne Explication Nom d utilisateur Indique le nom de l utilisateur Nom distinctif Indique le nom DNS de l utilisateur par exemple CN Administrateur CN Utilisateurs DC domaine DC monentreprise DC net Utilisateur propri taire Indique si l utilisateur est d fini comme tant le propri taire de l ordinateur Utilisateur verrouill Indique si l utilisateur est verrouill Utilisateur Windows de SGN Indique si l utilisateur est un utilisateur Windows de SGN Un utilisateur Windows de SGN n est pas ajout l authentification au d marrage SafeGuard En revanche il dispose d un jeu de cl s pour acc der aux fichiers chiffr s comme le ferait un utilisateur SGN Vous pouvez activer l enregistrement des utilisateurs Windows de SGN sur les ordinateurs d extr mit gr ce des strat gies de type Param tres de machine sp cifiques 267 SafeGuard Enterprise 32 9 Onglet Fonctions L onglet Fonctions propose une pr sentation de tous les modules SafeGuard Enterprise install s sur l ordinateur Colonne Explication Nom du module Indique le nom du module SafeGuard Enterprise install Version Indique la version logicielle du module SafeGuard Enterprise install 32 10 Onglet Certificat d entreprise L onglet Certificat d entreprise affiche les propri t s du certificat d entreprise actuellement utilis et indique si un certificat plus
53. est d pass un message d avertissement s affiche Ceci n affecte pas l utilisation du syst me et aucune restriction n affecte ses fonctionnalit s Vous pouvez r viser l tat de la licence et mettre niveau ou renouveler votre licence La valeur de tol rance est g n ralement de 10 du nombre de licences achet es la valeur minimale est 5 la valeur maximale est 5 000 Un message d erreur s affiche si la valeur de tol rance est d pass e Dans ce cas les fonctionnalit s sont restreintes Le d ploiement des strat gies sur les ordinateurs d extr mit est d sactiv Cette d sactivation ne peut pas tre invers e manuellement dans SafeGuard Management Center La licence doit tre mise niveau ou renouvel e pour pouvoir de nouveau b n ficier de toutes les fonctions Outre la d sactivation du d ploiement des strat gies la restriction fonctionnelle n affecte pas les ordinateurs d extr mit Les strat gies affect es restent actives Les clients peuvent galement tre d sinstall s Les sections suivantes d crivent le comportement du syst me en cas de d passement du nombre de licences autoris es ainsi que l action n cessaire pour restaurer la restriction fonctionnelle Licence non valide avertissement Si le nombre de licences disponibles est d pass un avertissement appara t au d marrage de SafeGuard Management Center SafeGuard Management Center s ouvre et affiche la pr sentation de l tat de la licen
54. faut Un code confidentiel de token par d faut distribu par la strat gie permet la connexion automatique de l utilisateur l authentification au d marrage SafeGuard Ceci permet d viter la g n ration de chaque token s par ment et permet aux utilisateurs de se connecter automatiquement lors de l authentification au d marrage SafeGuard sans intervention de l utilisateur Lorsqu un token est utilis e lors de la connexion et qu un code confidentiel par d faut est attribu l ordinateur l utilisateur est connect automatiquement l authentification au d marrage SafeGuard sans qu il ait besoin de saisir un code confidentiel En tant que responsable de la s curit vous pouvez d finir le code confidentiel sp cifique dans une strat gie du type Authentification et l attribuer diff rents ordinateurs ou groupes d ordinateurs par exemple tous les ordinateurs d un m me lieu Pour activer la connexion automatique avec un code confidentiel de token par d faut proc dez comme suit 1 Dans SafeGuard Management Center cliquez sur Strat gies 2 S lectionnez une strat gie du type Authentification 3 Sous Options de connexion dans Mode de connexion s lectionnez Token 4 Dans Code confidentiel utilis pour la connexion automatique avec token sp cifiez le code confidentiel par d faut utiliser pour la connexion automatique Dans ce cas il n est pas n cessaire de suivre les r gles relatives au code confi
55. faut suppl mentaire est charg automatiquement pour SafeGuard Cloud Storage et pour SafeGuard File Encryption Cette licence d valuation contient cinq licences pour chacun des deux modules et elle est valable pendant deux ans compter de la date de sortie de SafeGuard Enterprise 7 Remarque lors de la mise niveau de SafeGuard Enterprise 5 6 SafeGuard Enterprise 7 veuillez importer manuellement ce fichier de licence dans la base de donn es de SafeGuard Enterprise Fichiers de licence de d monstration individuelle Si vous avez besoin de plus de licences qu il n y en a disponibles dans le fichier de licence par d faut pour l valuation vous pouvez obtenir une licence de d mo adapt e vos besoins Pour obtenir un fichier de licence de d monstration individuelle veuillez contacter votre partenaire de ventes Ce type de d monstration de licence est galement limit dans le temps La licence est galement limit e au nombre de licences par module accord par votre partenaire commercial Lorsque vous d marrez SafeGuard Management Center un message d avertissement indique que vous utilisez des licences de d monstration Si le nombre de licences disponibles indiqu dans la licence de d monstration est d pass ou si la dur e limite est atteinte un message d erreur s affiche 27 SafeGuard Enterprise 6 4 Aper u de l tat de la licence Pour afficher un aper u de l tat de la licence 1 Dans la zone de
56. fini l veil par appel r seau n est pas activ localement sur l ordinateur d extr mit prot g par SafeGuard Enterprise WOLstop Fin WOL cette commande s effectue quel que soit le point d extr mit d fini pour l veil par appel r seau ATTRIBUTIONS UTILISATEUR MACHINE AUM Interdire la connexion l utilisateur invit SGN Remarque ce param tre s applique uniquement aux ordinateurs d extr mit administr s D finit si les utilisateurs invit s peuvent se connecter Windows sur l ordinateur d extr mit Remarque les comptes Microsoft sont toujours consid r s comme des utilisateurs invit s de SafeGuard Enterprise Autoriser l enregistrement de nouveaux utilisateurs SGN pour D finit qui peut importer un autre utilisateur SGN dans l authentification au d marrage SafeGuard et ou AUM en d sactivant la connexion automatique vers le syst me d exploitation Remarque pour les ordinateurs d extr mit sur lesquels le module Protection des p riph riques n est pas install le param tre Autoriser l enregistrement de nouveaux utilisateurs SGN pour doit tre d fini sur Tout le monde s il est possible d ajouter plusieurs utilisateurs l Attribution utilisateur machine avec acc s leur jeu de cl s Autrement les utilisateurs peuvent uniquement tre ajout s dans SafeGuard Management Center Ce param tre est uniquement valu sur les ordinateurs d extr mit administr s R
57. installant SafeGuard Management Center pour cr er une nouvelle instance de la base de donn es d apr s les fichiers de certificat sauvegard s Vous garantissez ainsi que tous les ordinateurs d extr mit SafeGuard Enterprise existants acceptent les strat gies de la nouvelle installation Les certificats d entreprise et du responsable principal de la s curit pour la configuration de la base de donn es correspondante doivent avoir t export s sous la forme de fichiers p12 ainsi qu tre disponibles et valides a Vous devez galement conna tre les mots de passe de ces deux fichiers p12 ainsi que du magasin de certificats Remarque nous conseillons seulement ce type de restauration si aucune sauvegarde de base de donn es valide n est disponible Tous les ordinateurs connect s un client qui a t restaur de cette fa on perdront leur attribution utilisateur machine L authentification au d marrage SafeGuard sera provisoirement d sactiv e Les m canismes de challenge r ponse ne seront pas disponibles tant que l ordinateur d extr mit correspondant n aura pas renvoy avec succ s les informations sur sa cl Pour restaurer une configuration de base de donn es corrompue 1 R installez le package d installation de SafeGuard Management Center Ouvrez SafeGuard Management Center L Assistant de configuration d marre automatiquement 2 Dans Connexion la base de donn es cochez la case Cr er une base de do
58. nements 278 33 11 Cr ation d un fichier de sauvegarde 278 83 12 Ouverture d un fichier de sauvegarde 278 83 13 Nettoyage d v nement planifi par script 279 33 14 Mod les de messages de rapport 281 34 Planitication d s taches een niet etre dan de Need enter ee dada 283 34 1 Cr ation d une nouvelle t che ss 283 34 2 Affichage de l aper u du Planificateur de t ches 284 34 3 Modification de t Ches iii sirrceeesssrereeennsns 286 34 4 Suppression de t ches 287 34 5 Utilisation de scripts dans le Planificateur de t ches 287 34 6 Restrictions concernant les serveurs enregistr s 291 34 7 v nements de journalisation du planificateur de t ches 291 35 Gestion des ordinateurs d extr mit Mac dans SafeGuard Management Center 292 85 1 Donn es d inventaire et d tat des Mac 292 85 2 Cr ation d un package de configuration pour les Macs 292 86 SafeGuard Enterprise et disques durs compatibles Opal chiffrement AUTOMATIQUE 25 a M tes ont en de TR mn td tn sn De Dette DS 294 86 1 Comment SafeGuard Enterprise int gre t il les disques durs compatibles OPA eese eiee EERE S EE ERRE states n least nn niet the has arte desde 294 86 2 Am lioration des disques durs compatibles Opal avec SafeGuard Enterpris isssisennie a tentes eee ten nr eee S 294 86 3 Administration avec SafeGuard Enterprise des ordinateurs d extr mit quip s de disques durs compatibles Opal
59. r correctement l aide de SafeGuard Management Center en appliquant des strat gies sur le dossier Enregistr automatiquement la prochaine synchronisation entre AD et la base de donn es SafeGuard Enterprise l Utilisateur 1 sera automatiquement d plac dans son unit organisationnelle Utilisateurs 10 23 10 2 4 10 2 5 Manuel d administration SEH Domain 1 SE Auto registered Pour activer les strat gies pour l Utilisateur 1 celles ci doivent d sormais tre attribu es l unit organisationnelle Utilisateurs Cl s et certificats pour les objets enregistr s automatiquement Pour chaque objet enregistr automatiquement un certificat est g n r en fonction des besoins par le serveur Un utilisateur local obtient deux cl s a a cl du conteneur Auto registered la cl priv e g n r e en fonction des besoins par le serveur Les utilisateurs locaux n obtiennent aucune autre cl pour leur conteneur attribu ni de cl racine Les groupes de travail n obtiennent pas de cl Strat gies pour les objets enregistr s automatiquement Pour les objets enregistr s automatiquement les strat gies peuvent tre cr es sans aucune restriction Les utilisateurs locaux sont ajout s au groupe Utilisateurs authentifi s Les ordinateurs sont ajout s au groupe Ordinateurs authentifi s Les strat gies activ es pour ces groupes s appliquent en cons quence Cr ation de groupes d
60. rifi s par SafeGuard Management Center Ils doivent seulement tre pr sents sur l ordinateur d extr mit 185 SafeGuard Enterprise 186 Le champ Chemin indique toujours un dossier Vous ne pouvez pas sp cifier de fichier unique ou utiliser de caract res joker pour les noms de dossiers de fichiers ou pour les extensions de fichiers R gles absolues et relatives Vous pouvez d finir des r gles absolues et relatives Une r gle absolue d finit exactement un dossier sp cifique par exemple C encrypt Une r gle relative n inclut pas d informations sur le serveur partage UNC d informations sur la lettre du lecteur ou sur le dossier parent encrypt_sub est un exemple de chemin utilis dans une r gle relative Dans ce cas tous les fichiers pr sents sur tous les lecteurs y compris les emplacements r seau qui r sident dans un dossier encrypt_sub ou l un de ses sous dossiers sont couverts par la r gle Noms de dossiers longs et notation 8 3 Saisissez toujours les noms de dossiers longs pour les r gles File Encryption car les noms 8 3 pour les noms de dossiers longs peuvent varier d un ordinateur un autre Les r gles des noms 8 3 sont d tect es automatiquement par l ordinateur d extr mit prot g par SafeGuard Enterprise lorsque les strat gies correspondantes sont appliqu es Que les applications utilisent des noms de dossiers longs ou des noms 8 3 pour l acc s aux fichiers le r sultat devrait tre identi
61. s chaque recherche sp cifiez si les r sultats doivent tre effac s apr s chaque processus de recherche 8 Cliquez sur Rechercher maintenant Les r sultats apparaissent dans la bo te de dialogue Rechercher des utilisateurs ordinateurs et groupes Si vous cliquez sur un des r sultats dans cette bo te de dialogue l entr e correspondante est marqu e dans l arborescence Utilisateurs et ordinateurs Si vous avez recherch les doublons par exemple vous pouvez maintenant les supprimer facilement Affichage des propri t s d objet dans Utilisateurs et ordinateurs Pour afficher les propri t s d objet vous avez besoin des droits d Acc s complet ou en Lecture seule aux objets concern s 1 Dans la zone de navigation de SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs cliquez avec le bouton droit de la souris sur l objet requis et s lectionnez Propri t s Les propri t s de l objet s lectionn apparaissent Si vous avez des droits d acc s en Lecture seule l objet en question les informations sur les propri t s sont gris es dans la bo te de dialogue et vous ne pouvez pas les modifier 51 SafeGuard Enterprise L 11 1 11 1 1 52 Responsables de la s curit de SafeGuard Enterprise SafeGuard Enterprise peut tre administr par un ou plusieurs responsables de la s curit La gestion bas e sur le r le de SafeGua
62. sera en mesure de prendre le contr le de l autorisation suppl mentaire 69 SafeGuard Enterprise 70 12 Cl s et certificats Lors de l importation de la structure du r pertoire SafeGuard Enterprise dans sa configuration par d faut g n re automatiquement des cl s pour Domaines m Conteneurs OU et les attribue aux objets correspondants Des cl s d ordinateur et d utilisateur sont g n r es selon les besoins Cl s pour les groupes Dans a configuration par d faut SafeGuard Enterprise ne g n re pas automatiquement de cl s pour les groupes Ce comportement est d sactiv par d faut En tant que responsable de la s curit vous pouvez changer ce comportement sur l onglet Cl s en s lectionnant Outils gt Options Si Groupes est coch sur l onglet Cl s SafeGuard Enterprise g n re automatiquement des cl s de groupe lorsque la base de donn es est synchronis e En bas de l onglet Synchronisation il est indiqu pour quels l ments des cl s sont g n r es lors de la synchronisation Les cl s ne peuvent pas tre supprim es Elles sont conserv es en permanence dans la base de donn es de SafeGuard Enterprise Lorsqu un ordinateur d extr mit est d marr pour la premi re fois SafeGuard Enterprise lui g n re une cl d ordinateur cl machine d finie Remarque la cl machine d finie est uniquement g n r e lorsque le chiffrement de volume est install sur l ordinateur d extr mit
63. sinstallation sont v rifi es par la protection antialt ration Sophos pour emp cher la suppression accidentelle du logiciel Si la protection antialt ration Sophos n autorise pas la d sinstallation les tentatives de d sinstallation seront annul es Si l option Activer la protection antialt ration Sophos est d finie sur Non la d sinstallation de SafeGuard Enterprise ne sera pas v rifi e ou emp ch e par la protection antialt ration Sophos Remarque ce param tre ne s applique qu aux ordinateurs d extr mit sur lesquels la version 9 5 ou ult rieure de Sophos Endpoint Security and Control est install e D ACC S Enveloppement du fournisseur de codes d acc s Vous pouvez configurer SafeGuard Enterprise pour utiliser un fournisseur de codes d acc s diff rents de ceux du fournisseur de codes d acc s Windows Les mod les des fournisseurs de codes d acc s pris en charge peuvent tre t l charg s sur le site Web de Sophos Pour obtenir une liste des mod les de fournisseurs de codes d acc s prouv s et savoir o les t l charger veuillez contacter le support Sophos Vous pouvez importer un mod le et le d ployer sur les ordinateurs d extr mit en utilisant le param tre de la strat gie Fournisseur de codes d acc s Veuillez cliquer sur Importer le mod le et naviguez jusqu au fichier de mod les Le mod le import et son contenu sont affich s dans le champ Fournisseur de codes d acc s et
64. vous pouvez activer l authentification responsable suppl mentaire pour une fonction du r le tout moment Lors de l attribution d un nouveau r le notez les informations suivantes relatives l authentification suppl mentaire Remarque si un utilisateur a deux r les avec les m mes droits et si l authentification suppl mentaire est attribu e l un des r les elle s applique automatiquement l autre galement Un responsable de la s curit avec les droits n cessaires peut ajouter des droits un r le personnalis ou en supprimer Contrairement aux r les pr d finis les r les personnalis s peuvent tre modifi s et m me supprim s le cas ch ant Lorsque vous supprimez le r le il n est plus attribu aucun utilisateur Si un seul r le est attribu un utilisateur et si ce r le est supprim l utilisateur ne peut plus se connecter SafeGuard Management Center Remarque le r le et les actions d finis dans le cadre de celui ci d terminent ce qu un utilisateur peut faire et ne pas faire Ceci est galement vrai si l utilisateur a plusieurs r les Lorsque l utilisateur s est connect SafeGuard Management Center les seules zones qui sont activ es et affich es sont celles qui sont n cessaires pour son r le respectif Ceci s applique galement aux zones des scripts et de l API Il est donc important de toujours activer l affichage de la zone dans laquelle les actions respectives sont d finies
65. 1 Ordinateurs d extr mit Mac dans l inventaire 263 32 2 Affichage des donn es d inventaire nnes 263 32 3 Affichage des colonnes masqu es nes 264 32 4 Filtrage des donn es d inventaire nnns 264 32 5 Actualisation des donn es d inventaire 265 32 6 Presentations ses sis nm niinin nimes lement 265 32 7 Onglet Lecteurs sise 266 32 8 Onglet Utilisateurs sisi 267 92 9 Onglet FONCtIONS 2 22 de ane ne A Pet am rt ent at 268 32 10 Onglet Certificat d entreprise neen 268 32 11 Cr ation de rapports des donn es d inventaire 268 33 1RAPPOTTS aro eaae e a e a a e AUS nt ti diese 270 33 1 Sc narios d application 271 33 2 Condition pr alable ss 271 33 3 Destinations des v nements journalis s 271 83 4 Configuration des param tres de journalisation 272 33 5 Affichage des v nements journalis s 273 33 6 Rapport d acc s aux fichiers sur les supports amovibles et dans le stockage Cloud nr RM in en E en NT Tan utiles sta estate de tn 275 33 7 Impression de rapports 277 33 8 Connexion des v nements journalis s 277 33 9 V rification de l int grit des v nements journalis s 278 83 10 Suppression de tous les v nements ou d une s lection d v
66. 256 1 Sur la page Type de r cup ration s lectionnez Client SafeGuard Enterprise administr 2 Sous Domaine s lectionnez le domaine requis dans la liste 3 Sous Ordinateur saisissez ou s lectionnez le nom d ordinateur requis Vous pouvez proc der de plusieurs fa ons a Pour s lectionner un nom cliquez sur Cliquez ensuite sur Rechercher maintenant Une liste des ordinateurs s affiche S lectionnez l ordinateur requis puis cliquez sur OK Le nom de l ordinateur appara t sur la page Type de r cup ration a Entrez le nom court de l ordinateur directement dans le champ Lorsque vous cliquez sur Suivant ce nom est recherch dans la base de donn es S il est trouv le nom d ordinateur unique s affiche Saisissez directement le nom de l ordinateur au format de nom unique par exemple CN Postel OU D veloppement OU Si ge DC Utimaco DC uae 4 Cliquez sur Suivant 5 S lectionnez le volume auquel acc der dans la liste et cliquez sur Suivant 6 Cliquez sur Suivant Une fen tre appara t o vous pouvez saisir le code de challenge 7 Saisissez le code de challenge que l utilisateur vous a transmis et cliquez sur Suivant 8 Un code de r ponse est g n r Fournissez le code de r ponse l utilisateur Une aide l pellation est fournie Vous pouvez galement copier le code de r ponse dans le Presse papiers L utilisateur peut saisir le code de r ponse et acc de l ordinateur d
67. 5 3 Enregistrez vos changements dans la base de donn es Le nombre de questions s applique la configuration de Local Self Help d ploy e sur les ordinateurs d extr mit Utilisation d un mod le Un sujet de question pr d fini est disponible pour Local Self Help Ce sujet de question est disponible dans SafeGuard Management Center sous Questions Local Self Help Vous pouvez utiliser le sujet de question pr d fini tel quel le modifier ou le supprimer Importation de sujets de question l aide de la proc dure d importation vous pouvez importer vos propres listes de questions cr es sous la forme de fichiers XML 1 Cr ez un nouveau sujet de question Retrouvez plus d informations la section Cr ation d un nouveau sujet de question et ajout de questions la page 239 2 Dans la zone de navigation Strat gies s lectionnez le nouveau sujet de question sous Questions Local Self Help 3 Cliquez avec le bouton droit de la souris dans la zone d action pour ouvrir le menu contextuel du sujet de question Dans le menu contextuel s lectionnez Importer 4 S lectionnez le r pertoire et le sujet de question puis cliquez sur Ouvrir Les questions import es s affichent dans la zone d action Vous pouvez maintenant enregistrer le sujet de question tel quel ou le modifier Manuel d administration 29 1 6 Cr ation d un nouveau sujet de question et ajout de questions 29 17 29 1 8 Vous pouvez cr er de no
68. Advanced Encryption Standard suivants a AES 128 AES 256 AES 128 avec diffuseur et AES 256 avec diffuseur ne sont plus pris en charge Les lecteurs d j chiffr s utilisant un algorithme avec un diffuseur peuvent tre g r s par SafeGuard Enterprise Strat gies de chiffrement pour le Chiffrement de lecteur BitLocker Le responsable de la s curit peut cr er une strat gie de chiffrement initial dans SafeGuard Management Center et la distribuer aux ordinateurs d extr mit BitLocker lors de l ex cution Elle d clenche le chiffrement BitLocker des lecteurs indiqu s dans la strat gie Les clients BitLocker tant administr s de mani re transparente dans SafeGuard Management Center le responsable de la s curit ne doit proc der aucun param trage BitLocker sp cifique pour le chiffrement SafeGuard Enterprise connait le statut du client et s lectionne en cons quence le chiffrement BitLocker Lorsqu un client BitLocker est install avec SafeGuard Enterprise et que le chiffrement de volumes est activ les volumes sont chiffr s par le Chiffrement de lecteur BitLocker Un ordinateur d extr mit BitLocker traite les strat gies de type Protection des p riph riques et Authentification Les param tres suivants sont valu s sur l ordinateur d extr mit Param tres d une strat gie de type Protection des p riph riques Cible P riph riques de stockage locaux Stockage interne Volumes de d marra
69. Configuration ordinateur Mod les d administration Composants Windows Chiffrement de lecteur BitLocker Lecteurs du syst me d exploitation Configurer l utilisation des mots de passe pour les lecteurs du syst me d exploitation et Strat gie Ordinateur local Configuration ordinateur Mod les d administration Composants Windows Chiffrement de lecteur BitLocker Lecteurs de donn es fixes Configurer l utilisation des mots de passe pour les lecteurs de donn es fixes Ces param tres peuvent galement tre appliqu s l aide d Active Directory Les codes confidentiels sont g n ralement compos s de chiffres mais il est possible d autoriser l utilisation de tous les caract res du clavier chiffres lettres ainsi que les caract res symboles sp ciaux Le param tre permettant d autoriser l utilisation de ces codes confidentiels am lior s se trouvent dans l diteur de strat gie de groupe locale gpedit msc Strat gie Ordinateur local Configuration ordinateur Mod les d administration Composants Windows Chiffrement de lecteur BitLocker Lecteurs du syst me d exploitation Si le param tre Autoriser les codes confidentiels am lior s au d marrage est d fini sur Activ l utilisation de codes confidentiels est autoris e Si le param tre Autoriser les codes confidentiels am lior s au d marrage est d fini sur Non configur SafeGuard Enterprise autorisera l utilisation des codes
70. En plus des r gles de chiffrement d finies dans les strat gies Chiffrement de fichiers vous pouvez configurer les param tres Chiffrement de fichiers dans des strat gies du type Param tres g n raux Applications s curis es Applications ignor es P riph riques ignor s Activer le chiffrement permanent Configuration des applications s curis es et ignor es pour File Encryption Vous pouvez d finir des applications comme s curis es pour leur accorder l acc s aux fichiers chiffr s Ceci s av re utile par exemple pour activer le logiciel antivirus afin de contr ler les fichiers chiffr s Vous pouvez d finir des applications comme ignor es pour les exempter du chiffrement d chiffrement transparent des fichiers Par exemple si vous d finissez un programme de sauvegarde comme une application ignor e les donn es chiffr es sauvegard es par le programme restent chiffr es Remarque les processus enfants ne seront pas s curis s ignor s 1 Dans la zone de navigation Strat gies cr ez une nouvelle strat gie du type Param tres g n raux ou s lectionnez en une 2 Sous Chiffrement de fichiers cliquez sur le bouton d roulant du champ Applications s curis es ou Application ignor es 23 22 Manuel d administration Dans la zone de liste de l diteur saisissez les applications d finir comme s curis es ignor es a Vous pouvez d finir plusieurs applications s curis es ignor es dan
71. Enterprise ou ult rieurement tout moment Cr ez ensuite un nouveau package de configuration et d ployez le sur le serveur ou sur l ordinateur administr correspondant Retrouvez plus d informations dans le Guide d installation de SafeGuard Enterprise 41 SafeGuard Enterprise 10 10 1 10 1 1 42 Cr ation de la structure organisationnelle La structure organisationnelle peut se refl ter dans SafeGuard Management Center de deux fa ons Vous pouvez importer une structure organisationnelle existante dans la base de donn es SafeGuard Enterprise par exemple par l interm diaire d un Active Directory a Vous pouvez cr er manuellement votre structure organisationnelle en cr ant des groupes de travail et des domaines ainsi qu une structure pour la gestion des l ments de la strat gie Importation depuis Active Directory Vous pouvez importer une structure organisationnelle existante dans la base de donn es SafeGuard Enterprise par exemple par l interm diaire d un Active Directory Nous vous recommandons de cr er un compte de service Windows d di qui sera utilis pour toutes les t ches d importation et de synchronisation ceci pour garantir une importation correcte et pour emp cher la suppression accidentelle d objets dans la base de donn es SafeGuard Enterprise Retrouvez plus d informations sur l attribution des droits dans l article http www sophos com fr fr support knowledgebase 107979 aspx Import
72. L utilisateur peut d finir des questions personnalis es D finition de questions Pour pouvoir utiliser Local Self Help sur un ordinateur d extr mit l utilisateur doit r pondre un nombre pr d fini de questions et les enregistrer En tant que responsable de la s curit avec les droits n cessaires vous pouvez indiquer le nombre de questions auxquelles l utilisateur doit r pondre pour activer Local Self Help sur l ordinateur d extr mit Vous pouvez galement pr ciser le nombre de questions qui seront al atoirement s lectionn es dans l authentification au d marrage SafeGuard Pour se connecter l authentification au d marrage SafeGuard avec Local Self Help l utilisateur doit r pondre correctement toutes les questions affich es dans l authentification au d marrage En tant que responsable de la s curit avec les droits n cessaires vous pouvez enregistrer et modifier les questions Local Self Help dans SafeGuard Management Center Remarque Les caract res saisis dans Windows ne sont pas tous g r s par l authentification au d marrage SafeGuard Par exemple les polices de caract res en h breu et en arabe ne peuvent pas tre utilis es D finition du nombre de questions en attente de r ponse Vous pouvez d finir le nombre de questions auxquelles il faut r pondre lors de la configuration de Local Self Help et dans l authentification au d marrage SafeGuard 1 Dans la zone de navigation Strat gies
73. La bo te de dialogue Cr er un utilisateur s affiche 4 Dans le champ Nom complet saisissez un nom par exemple le nom de connexion du nouvel utilisateur de l authentification au d marrage 5 Vous pouvez galement saisir une description pour le nouvel utilisateur de l authentification au d marrage 19 2 19 3 Manuel d administration 6 Saisissez un mot de passe pour le nouvel utilisateur de l authentification au d marrage et confirmez le Remarque pour renforcer la s curit le mot de passe doit respecter des exigences de complexit minimales savoir une longueur minimale de 8 caract res un m lange de caract res num riques et alphanum riques etc Si le mot de passe que vous avez entr est trop court un message d avertissement s affiche 7 Cliquez sur OK Le nouvel utilisateur POA est cr et appara t sous Utilisateurs POA dans la zone de navigation Utilisateurs et ordinateurs Modification du mot de passe d un utilisateur de l authentification au d marrage Pour modifier les utilisateurs de l authentification au d marrage vous avez besoin des droits d Acc s complet pour le n ud POA sous Utilisateurs et ordinateurs 1 Dans la zone de navigation de SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA Utilisateurs POA s lectionnez l utilisateur de l authentification au d marrage appropri 3 Dans le m
74. La bo te de dialogue Propri t s de lt nom t che gt appara t avec les propri t s de la t che 3 Effectuez les changements requis Remarque ce nom de t che doit tre unique Si vous changez le nom en un nom de t che existant un message d erreur appara t 4 Cliquez sur OK 286 34 4 34 5 34 5 1 Manuel d administration Les changements deviennent effectifs Suppression de t ches Pour supprimer des t ches du Planificateur de t ches vous avez besoin des droits du responsable de la s curit Utiliser le planificateur de t ches et G rer les t ches 1 Dans la barre de menus de SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montrant un aper u des t ches planifi es 2 S lectionnez la t che requise Le bouton Supprimer devient disponible 3 Cliquez sur le bouton Supprimer et confirmez que vous voulez supprimer la t che La t che est supprim e de la bo te de dialogue de l aper u du Planificateur de t ches et ne sera plus ex cut e sur le serveur SafeGuard Enterprise Remarque si la t che a t d marr e entre temps elle est supprim e de la bo te de dialogue de l aper u du Planificateur de t ches mais sera tout de m me achev e Utilisation de scripts dans le Planificateur de t ches Avec le Planificateur de t ches vous pouvez importer modifier et exporter des scripts Pour utilis
75. S lectionnez l entr e requise dans la zone d action et cliquez sur Supprimer le client virtuel dans la barre d outils 5 Enregistrez les modifications dans la base de donn es en cliquant sur l ic ne Enregistrer de la barre d outils Le client virtuel est supprim de la base de donn es 81 SafeGuard Enterprise 13 Ordres de changement du certificat d entreprise CCO 13 1 82 Les ordres de changement du certificat d entreprise CCO Company Certificate Change Orders sont utilis s dans les cas suivants Renouvellement du certificat d entreprise en cas d expiration Le renouvellement du certificat d entreprise est possible pour les ordinateurs d extr mit administr s et les ordinateurs d extr mit autonomes Il peut uniquement tre activ partir de la console d administration D placement des ordinateurs d extr mit non administr s dans un environnement diff rent Par exemple si vous avez deux environnements Sophos SafeGuard diff rents et souhaitez les fusionner en un environnement Sophos SafeGuard unique au sein duquel l un des deux environnements devra toujours tre l environnement cible Vous pouvez effectuer ceci en changeant le certificat d entreprise des ordinateurs d extr mit d un environnement par le certificat d entreprise de l environnement cible Remarque seuls les responsables principaux de la s curit sont autoris s cr er des ordres de changement du certificat d entreprise CC
76. Vous pouvez configurer le chiffrement permanent dans des strat gies du type Param tres g n raux Le param tre de strat gie Activer le chiffrement permanent est activ par d faut Remarque si des fichiers sont copi s ou d plac s sur un p riph rique ignor ou dans un dossier auquel s applique une strat gie avec un mode de chiffrement Ignorer le param tre Activer le chiffrement permanent n a aucun effet Utilisation de plusieurs strat gies File Encryption Toutes les r gles de chiffrement File Encryption attribu es par des strat gies et activ es pour les utilisateurs ordinateurs des n uds diff rents dans Utilisateurs et ordinateurs dans SafeGuard Management Center sont cumul es Vous pouvez attribuer une strat gie File Encryption au n ud racine qui inclut des r gles adapt es tous les utilisateurs et des strat gies plus sp cifiques des sous n uds sp cifiques Toutes les r gles de toutes les strat gies attribu es des utilisateurs ordinateurs sont cumul es et appliqu es sur l ordinateur d extr mit Strat gies File Encryption dans le RSOP Si plusieurs strat gies File Encryption s appliquent un utilisateur ordinateur l onglet RSOP Resulting Set of Policies s rie obtenue de strat gies dans Utilisateurs et ordinateurs affiche la somme de toutes les r gles de chiffrement File Encryption de toutes les strat gies File Encryption Les r gles sont tri es dans l ordre d valuation des r gles
77. a tabli une connexion avec le serveur C est le cas par exemple lorsqu un autre utilisateur galement enregistr en tant qu utilisateur de l ordinateur se connecte simultan ment l ordinateur MODIFICATIONS Modification du mot de passe autoris e apr s un min de jours D termine la p riode pendant laquelle un mot de passe ne peut tre modifi Ce param tre emp che l utilisateur de changer trop souvent de mot de passe au cours d une p riode donn e Si l utilisateur est forc changer son mot de passe par Windows ou s il modifie son mot de passe apr s l affichage du message d avertissement indiquant que le mot de passe expirera dans X jours ce param tre ne sera pas valu Exemple 145 SafeGuard Enterprise Param tre de strat gie Explication L utilisateur Bertrand d finit un nouveau mot de passe par exemple 13jk56 L intervalle minimum de changement pour cet utilisateur ou pour le groupe auquel il appartient est d fini cinq jours Apr s deux jours seulement l utilisateur d cide de changer le mot de passe en 13jk56 Le changement de mot de passe est refus car l utilisateur Bertrand ne peut d finir un nouveau mot de passe qu apr s un d lai de cinq jours Expiration du mot de passe apr s jours Si vous param trez cette option l utilisateur doit d finir un nouveau mot de passe une fois la p riode d finie expir e Avertir d un changement obligatoi
78. acc d s sur les supports amovibles ou dans votre stockage Cloud Quelle que soit la strat gie de chiffrement s appliquant aux fichiers enregistr s sur les supports amovibles ou dans le stockage Cloud les v nements peuvent tre consign s pour ce qui suit Un fichier ou r pertoire est cr sur un support amovible ou dans le stockage Cloud a Un fichier ou r pertoire est renomm sur un support amovible ou dans le stockage Cloud a Un fichier ou r pertoire est supprim d un p riph rique amovible ou du stockage Cloud Les v nements de suivi d acc s aux fichiers peuvent tre visualis s dans l Observateur d v nements Windows ou dans l Observateur de suivi des fichiers de SafeGuard Enterprise en fonction de la destination que vous sp cifiez lorsque vous d finissez la strat gie de journalisation 33 6 1 Configuration du suivi d acc s aux fichiers 1 Dans SafeGuard Management Center s lectionnez Strat gies 2 Cr ez une nouvelle strat gie Journalisation ou s lectionnez une strat gie existante Dans la zone d action de droite sous Journalisation tous les v nements pr d finis qui peuvent tre journalis s apparaissent Cliquez sur les en t tes de colonnes pour trier les v nements par ID Cat gorie etc 275 SafeGuard Enterprise 33 6 2 276 3 Pour activer le suivi d acc s aux fichiers s lectionnez les v nements de journalisation suivants en fonction de vos besoins a pour les fichie
79. acc s Contr le d acc s Le p riph rique de stockage autoris a t approuv Le r seau local sans fil autoris a t approuv Contr le d acc s Contr le d acc s Le port autoris a t retir avec succ s Le p riph rique autoris a t retir avec succ s Contr le d acc s Contr le d acc s Le p riph rique de stockage a t retir avec succ s Le r seau local sans fil autoris a t d connect Contr le d acc s Contr le d acc s Port restreint P riph rique restreint Contr le d acc s Contr le d acc s Contr le d acc s Contr le d acc s Contr le d acc s Contr le d acc s P riph rique de stockage restreint R seau local sans fil restreint Port bloqu P riph rique bloqu P riph rique de stockage bloqu R seau local sans fil bloqu 309 SafeGuard Enterprise 38 Codes d erreur 38 1 Codes SGMERR du journal des v nements de Windows Le message suivant s affichera dans le journal des v nements de Windows Autorisation pour l administration de SafeGuard Enterprise refus e pour l utilisateur Raison SGMERR 536870951 Consultez le tableau ci dessous pour conna tre la d finition du num ro 536870951 Le num ro 536870951 signifie par exemple Saisie incorrecte du code confidentiel Authentification impossible de l utilisateur Identifiant de l erreur Affichage
80. ae 138 20 4 R gles de syntaxe des codes confidentiels 139 20 5 Cr ation d une liste de mots de passe interdits utiliser dans les StrA gISS errant nee At ra let CU A 142 20 6 R gles de syntaxe des mots de passe 143 20 7 Phrase secr te pour SafeGuard Data Exchange 146 20 8 Listes blanches pour les strat gies de protection des p riph riques pour le chiffrement bas sur fichier 148 20 9 Protection des p riph riques nnen 150 20 10 Param tres de machine sp cifiques Param tres de base 156 20 11 Journalisation pour les ordinateurs d extr mit Windows eeeeeeeeeeee 164 21 Chiffrement du disque 166 21 1 Chiffrement int gral du disque SafeGuard nees 166 21 2 Chiffrement de lecteur BitLocker nnen n nenne 170 21 3 Chiffrement int gral du disque FileVault 2 180 22 SafeGuard Configuration Protection ss 182 23 Chittrem nt defiChierSis sss sonne manie an nn nl an au 183 23 1 Configuration des r gles de chiffrement dans les strat gies Chiffrement de TCMI NS ESS THIN A qe A E E te ces 184 23 2 Configuration des param tres de chiffrement des fichiers dans les strat gies Param tres g n raux 2isuesriit entire AT nt ntfs 190 23 3 Utilisation de plusieurs strat gies File Encryption 192 23 4 valuation des r gles de Chiffrement de fichiers sur les ordinateurs d Xtr MIT st
81. affich e par les infobulles Muet l ic ne de la barre d tat syst me est affich e dans la zone d information de barre des t ches mais aucune information d tat n est affich e via les infobulles Afficher les ic nes en chevauchement dans l Explorateur D finit si des symboles de cl Windows s affichent pour indiquer l tat de chiffrement des volumes p riph riques dossiers et fichiers Clavier virtuel en POA OPTIONS D INSTALLATION D finit si un clavier virtuel peut tre affich sur demande dans la bo te de dialogue de l authentification au d marrage SafeGuard pour la saisie du mot de passe 161 SafeGuard Enterprise 162 Param tres de strat gie D sinstallation autoris e Explication D termine si la d sinstallation de SafeGuard Enterprise est autoris e sur les ordinateurs client Lorsque l option D sinstallation autoris e est d finie sur Non SafeGuard Enterprise ne peut pas tre d sinstall m me par un utilisateur avec les droits administrateur lorsque ce param tre est actif au sein d une strat gie Activer la protection antialt ration Sophos PARAM TRES DU FOURNISSEUR DES CODES Active d sactive la protection antialt ration Sophos Si vous avez autoris la d sinstallation de SafeGuard Enterprise dans le param tre de strat gie D sinstallation autoris e vous pouvez d finir ce param tre de strat gie sur Oui pour garantir que les tentatives de d
82. affiche S lectionnez le client virtuel requis puis cliquez sur OK Le nom du client virtuel s affiche alors sur la page Type de r cup ration sous Client virtuel 4 Cliquez sur Suivant pour confirmer le nom du fichier du client virtuel Ensuite s lectionnez l action de r cup ration requise 249 SafeGuard Enterprise 29 2 6 6 S lection de l action de r cup ration requise 29 207 29 2 6 8 250 1 Sur la page Client virtuel Action requise s lectionnez l une des options suivantes S lectionnez Cl requise pour r cup rer une cl unique pour acc der un volume chiffr sur l ordinateur Cette option est disponible pour les ordinateurs d extr mit non administr s et administr s S lectionnez Mot de passe du fichier de cl demand pour r cup rer plusieurs cl s et acc der aux volumes chiffr s sur l ordinateur Les cl s sont stock es dans un fichier chiffr par un mot de passe al atoire enregistr dans la base de donn es Ce mot de passe est propre chaque fichier de cl cr Le mot de passe figurant dans le code de r ponse est transf r sur l ordinateur cible Cette option est uniquement disponible pour les ordinateurs d extr mit administr s 2 Cliquez sur Suivant S lection de la cl requise cl unique Condition pr alable S lectionnez au pr alable le client virtuel requis dans l assistant de r cup ration du SafeGuard Management Center et l action de r cup r
83. aide de cl s locales Des cl s locales sont cr es sur les ordinateurs et peuvent tre utilis es pour chiffrer des donn es de supports amovibles Elles sont cr es en saisissant une phrase secr te et sauvegard es dans la base de donn es de SafeGuard Enterprise Remarque par d faut l utilisateur est autoris cr er des cl s locales Si des utilisateurs n y sont pas autoris s vous devez d sactiver cette option de mani re explicite Ceci doit tre effectu dans une strat gie de type Protection des p riph riques avec P riph riques de stockage locaux comme Cible de protection de p riph rique Param tres g n raux gt L utilisateur est autoris cr er une cl locale gt Non Si des cl s locales sont utilis es pour chiffrer des fichiers sur des supports amovibles ces fichiers peuvent tre d chiffr s l aide de SafeGuard Portable sur un ordinateur sur lequel SafeGuard Data Exchange n est pas install l ouverture des fichiers avec SafeGuard Portable l utilisateur est invit saisir la phrase secr te sp cifi e lors de la cr ation de la cl L utilisateur peut ouvrir le fichier s il conna t la phrase secr te 195 SafeGuard Enterprise 24 3 196 Gr ce SafeGuard Portable chaque utilisateur connaissant la phrase secr te peut acc der un fichier chiffr sur un support amovible Il est ainsi galement possible de partager des donn es chiffr es avec des partenaires ne disposant
84. and Settings Nom d utilisateur Mes Documents lt T l chargements gt lt Musique gt Le dossier dans lequel les t l chargements sont stock s par d faut Le chemin habituel Windows est C Utilisateurs nom d utilisateur T l chargements R pertoire du syst me de fichiers qui sert de d p t de donn es pour les fichiers musique Chemin type C Documents and Settings Utilisateur Mes Documents Ma Musique lt Images gt lt Public gt R pertoire du syst me de fichiers qui sert de d p t de donn es pour les fichiers image Chemin type C Documents and Settings nom d utilisateur Mes Documents Mes Images R pertoire du syst me de fichiers qui sert de d p t commun pour les fichiers document de tous les utilisateurs Chemin type C Utilisateurs nom d utilisateur 187 SafeGuard Enterprise 188 Espace r serv au chemin lt Profil utilisateur gt Syst me d exploitation Tous Windows et Mac OS X R sultats dans la valeur suivante sur l ordinateur d extr mit Dossier du profil de l utilisateur Chemin type C Utilisateurs nom d utilisateur Remarque le chiffrement int gral du profil utilisateur l aide de cet espace r serv peut entra ner l instabilit du bureau Windows sur l ordinateur d extr mit lt Vid os gt lt Cookies gt Windows R pertoire du syst me de fichiers qui sert de d p t commun pour les fichiers vid o de tous les utilisate
85. apparaissent Elles fournissent des informations utiles concernant l administration du syst me et en simplifient l utilisation Vous pouvez par exemple attribuer des cl s des objets avec l op ration de glisser d placer 17 SafeGuard Enterprise 18 4 5 Barre d outils Contient des symboles pour les diff rentes op rations de SafeGuard Management Center Les symboles sont affich s tels qu ils sont disponibles et quand ils sont disponibles pour l objet s lectionn Apr s la connexion SafeGuard Management Center s ouvre toujours avec la derni re vue utilis e avant sa fermeture Param tres de langue Les param tres de langue pour SafeGuard Management Center et le logiciel de chiffrement SafeGuard Enterprise sur les ordinateurs d extr mit sont les suivants Langues de SafeGuard Management Center Vous pouvez d finir la langue de SafeGuard Management Center comme suit a Dans la barre de menus de SafeGuard Management Center cliquez sur Outils gt Options gt G n ral S lectionnez Utiliser la langue d finie par l utilisateur et s lectionnez une langue disponible Les langues prises en charge sont l anglais l allemand le fran ais et le japonais a Red marrez SafeGuard Management Center Il appara t dans la langue s lectionn e Langues de SafeGuard Enterprise sur les ordinateurs d extr mit Vous d finissez la langue de SafeGuard Enterprise sur l ordinateur d extr mit dans une strat gie
86. aussi bien aux ordinateurs d extr mit administr s qu aux ordinateurs administr s non administr s Remarque la r cup ration des clients virtuels doit uniquement tre utilis e pour r soudre des situations d urgence complexes Si par exemple une seule cl manque pour la r cup ration d un volume la meilleure solution consiste affecter tout simplement la cl manquante au jeu de cl s de l utilisateur appropri Flux de travail de r cup ration l aide de clients virtuels Pour acc der l ordinateur d extr mit chiffr la proc dure ci dessous s applique 1 Demandez au support technique de vous fournir le disque de r cup ration SafeGuard Enterprise Le support peut t l charger le disque de r cup ration Windows PE avec les derniers pilotes du filtre SafeGuard Enterprise sur le site du support de Sophos Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 108805 aspx 2 Cr ez le client virtuel dans SafeGuard Management Center Retrouvez plus d informations la section Cr ation de clients virtuels la page 79 3 Exportez le client virtuel dans un fichier Retrouvez plus d informations la section Exportation de clients virtuels la page 79 4 Vous avez aussi la possibilit d exporter plusieurs cl s de client virtuel dans un fichier Retrouvez plus d informations la section Cr ation et exportation de fichiers de cl s pour la r cup ration des clients virtuel
87. authentification au d marrage SafeGuard De plus du c t du pilote le module PKCS 11 doit tre pris en charge Tokens et cartes puce pris en charge par l authentification au d marrage SafeGuard SafeGuard Enterprise prend en charge une large vari t de cartes puce et de lecteurs de carte puce de tokens USB et de leurs pilotes respectifs ainsi que de middlewares gr ce l authentification au d marrage SafeGuard Avec SafeGuard Enterprise les tokens cartes puce compatibles avec les op rations 2048 bits RSA sont pris en charge La prise en charge des tokens et cartes puce faisant l objet d am liorations d une version l autre les tokens et cartes puce de la version actuelle de SafeGuard Enterprise sont r pertori s dans les notes de publication Middlewares pris en charge Les middlewares de la liste ci dessous sont pris en charge par le module PKCS 11 correspondant PKCS 11 est une interface standard servant connecter des tokens cryptographiques cartes puce diff rents logiciels Elle est utilis e ici pour la communication entre le token cryptographique carte puce le lecteur de carte puce et SafeGuard Enterprise Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 112781 aspx 219 SafeGuard Enterprise 220 Fabricant Actividentity Middleware ActivClient ActivClient PIV AET SafeSign Identity Client eToken PKI Client Charismatics
88. autorit de certification AC sont supprim s dans la base de donn es et si vous ne souhaitez plus les utiliser veuillez les supprimer manuellement du magasin local de tous les ordinateurs administrateurs SafeGuard Enterprise peut ensuite uniquement communiquer avec les certificats ayant expir si les cl s nouvelles et anciennes sont pr sentes sur le m me token a Les certificats de l AC ne peuvent pas provenir d un token et tre stock s dans la base de donn es ou dans le magasin de certificats Si vous utilisez des certificats de l AC ces derniers doivent tre disponibles sous forme de fichiers et pas seulement sous forme de token Ceci s applique galement aux CRL a Les certificats g n r s par SafeGuard Enterprise sont sign s avec SHA 1 ou SHA 256 pour v rification SHA 256 fournit une s curit optimale et il est utilis par d faut sur toutes 75 SafeGuard Enterprise 12 3 1 1232 76 les premi res installations Si la version 6 de SafeGuard Enterprise ou une version pr c dente doit tout de m me tre g r e ou si la mise niveau a lieu partir d une version ant rieure l algorithme SHA 1 est utilis par d faut a Les certificats fournis par le client et import s dans SafeGuard Enterprise ne sont actuellement pas v rifi s conform ment RFC3280 Par exemple nous n emp chons pas l utilisation de certificats de signature des fins de chiffrement a Les certificats de connexion des respons
89. aux donn es chiffr es sur l ordinateur proc dez comme suit 1 Demandez au support technique Sophos de vous fournir le disque SafeGuard Enterprise Windows PE Le support peut t l charger le disque de r cup ration Windows PE avec les derniers pilotes du filtre SafeGuard Enterprise sur le site du support de Sophos Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 108805 aspx 2 Ins rez le disque de r cup ration Windows PE dans l ordinateur 3 D marrez l ordinateur partir du disque de r cup ration et effectuez une proc dure Challenge R ponse avec un client virtuel Retrouvez plus d informations la section Challenge R ponse l aide de clients virtuels la page 246 L acc s aux donn es stock es sur cette partition est r cup r Remarque en fonction du BIOS en cours d utilisation il est possible que le d marrage partir du disque ne fonctionne pas 257 SafeGuard Enterprise 29 5 2 29 53 29 5 4 29 5 4 1 258 MBR corrompu Pour r soudre les probl mes d enregistrement d amor age ma tre MBR Master Boot Record corrompu SafeGuard Enterprise propose l utilitaire BE_Restore exe Retrouvez une description d taill e de la fa on de restaurer un MBR corrompu au moyen de cet utilitaire dans le Guide des outils de SafeGuard Enterprise Code de d marrage du noyau endommag Un disque dur dont le code de d marrage du noyau est endommag reste accessib
90. bits Le Chiffrement int gral du disque SafeGuard avec authentification au d marrage SafeGuard est le module Sophos permettant de chiffrer les volumes sur les ordinateurs SafeGuard Enterprise 10 d extr mit Il est livr avec l authentification pr alable au d marrage Sophos nomm e authentification au d marrage SafeGuard qui prend en charge les options de connexion par cartes puce par empreinte digitale et qui offre un m canisme Challenge R ponse pour la r cup ration L authentification pr alable au d marrage BitLocker g r e par SafeGuard est le composant qui active et g re le moteur de chiffrement BitLocker et l authentification pr alable au d marrage BitLocker Elle est disponible sur les plates formes BIOS et UEFI a La version UEFI propose galement un m canisme Challenge R ponse SafeGuard pour la r cup ration de BitLocker lorsque l utilisateur oublie son code confidentiel La version UEFI peut tre utilis e si la plate forme r pond certaines conditions pr alables requises Par exemple la version UEFI doit tre 2 8 1 Retrouvez plus de renseignements dans les Notes de publication a La version BIOS ne propose pas toutes les fonctions de r cup ration offertes par le m canisme Challenge R ponse SafeGuard Elle sert d option de secours lorsque les conditions requises l utilisation de la version UEFI ne sont pas remplies Le programme d installation Sophos v rifie si les conditi
91. ce SafeGuard Management Center vous disposez du support mutualis pour l administration de plusieurs domaines et bases de donn es Vous pouvez g rer plusieurs bases de donn es SafeGuard Enterprise et g rer diff rentes configurations Seuls les utilisateurs disposant des privil ges les responsables de la s curit peuvent acc der SafeGuard Management Center Plusieurs responsables de la s curit peuvent travailler simultan ment sur les donn es Les diff rents responsables de la s curit peuvent effectuer leurs op rations conform ment aux r les et aux droits qui leur ont t attribu s Vous pouvez personnaliser les strat gies et les param tres selon vos besoins Apr s l enregistrement de nouveaux param tres dans la base de donn es ils peuvent tre transf r s sur les ordinateurs d extr mit o ils deviennent actifs Remarque certaines fonctions ne sont pas incluses dans toutes les licences Veuillez contacter votre Partenaire commercial pour obtenir plus de renseignements sur ce qui est inclus dans votre licence 4 4 1 4 2 Manuel d administration Connexion SafeGuard Management Center Au cours de la configuration initiale de SafeGuard Enterprise un compte est cr pour le responsable principal de la s curit Ce compte est obligatoire la premi re fois que vous vous connectez SafeGuard Management Center Pour d marrer SafeGuard Management Center l utilisateur doit conna tre le mot
92. certificat s effectue apr s l importation en le s lectionnant dans la liste d roulante 4 Pour confirmer cliquez sur OK Le nouveau responsable principal de la s curit appara t dans la fen tre de navigation sous le n ud Responsables principaux de la s curit Leurs propri t s peuvent tre affich es en s lectionnant le responsable de la s curit concern dans la fen tre de navigation Le MSO peut se connecter SafeGuard Management Center avec le nom affich 119 Cr ation d un responsable de la s curit Condition pr alable pour cr er un responsable de la s curit vous devez poss der le droit d affichage et de cr ation de responsables de la s curit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur le n ud du responsable de la s curit o vous souhaitez placer le nouveau responsable de la s curit puis s lectionnez Nouveau gt Nouveau responsable de la s curit 61 SafeGuard Enterprise 62 3 Proc dez de la fa on suivante dans la bo te de dialogue Nouveau responsable de la s curit Champ case cocher Description Le responsable de la s curit peut tre d sactiv jusqu nouvel avis Le responsable de la s curit est dans le syst me mais ne peut pas encore se connecter SafeGuard Management Center Il peut seulement le faire et effectuer ses t
93. certificat du responsable principal de la s curit d j disponible sur le r seau Dans Importer le certificat d authentification recherchez le fichier de cl sauvegard Sous Mot de passe du fichier de cl saisissez le mot de passe de ce fichier Saisissez le mot de passe du magasin de certificats sous Mot de passe du magasin de certificats et confirmez le Cliquez sur OK Le certificat est import et affich sous Certificat du responsable principal de la s curit Le responsable principal de la s curit a besoin du magasin de certificats pour se connecter SafeGuard Management Center Notez ce mot de passe et conservez le en lieu s r Si vous le perdez le responsable principal de la s curit ne pourra pas se connecter SafeGuard Management Center Le responsable principal de la s curit a besoin du fichier de cl s priv es pour restaurer une installation interrompue de SafeGuard Management Center 3 Cliquez sur Suivant Le responsable principal de la s curit est cr Cr ation du certificat du responsable principal de la s curit MSO Dans la bo te de dialogue Cr ation d un certificat MSO proc dez comme suit 1 Sous Identifiant du responsable principal de la s curit saisissez un nom de responsable principal de la s curit 2 Saisissez deux fois le mot de passe du magasin de certificats et cliquez sur OK Le certificat MSO est cr et enregistr en local sous la forme d une sauvegarde
94. chiffr avec une cl diff rente de celle par d faut du volume et si vous modifiez le fichier et l enregistrez vous pouvez vous attendre ce que la cl de chiffrement d origine soit pr serv e puisque vous modifiez un fichier et n en cr ez pas de nouveau Mais de nombreuses applications enregistrent des fichiers en effectuant une combinaison d op rations d enregistrement de suppression et de changement de nom par exemple Microsoft Office Si elles font a le param tre SafeGuard Enterprise par d faut est d utiliser la cl par d faut pour cette t che de chiffrement et donc de changer la cl utilis e pour le chiffrement Si vous voulez changer ce comportement et pr server la cl utilis e pour le chiffrement dans tous les cas vous pouvez modifier une cl de registre sur l ordinateur d extr mit 169 SafeGuard Enterprise 212 21 2 1 170 Pour toujours utiliser la m me cl lors de l enregistrement des fichiers modifi s HKEY_ LOCAL MACHINE SYSTEM CurrentControlSet Control UTIMACO SGLCENC ActivateEncryptionTunneling dword 00000001 Pour permettre l utilisation d une cl diff rente cl par d faut lors de l enregistrement des fichiers modifi s Il s agit du param tre par d faut apr s l installation HKEY_LOCAIL MACHINE SYSTEM CurrentControlSet Control UTIMACO SGLCENC ActivateEncryptionTunneling dword 00000000 Remarque les changements de ce param tre seront appliqu s
95. cibles une strat gie qui sp cifie le chiffrement bas sur volume des lecteurs amovibles et qui permet l utilisateur de choisir une cl dans une liste par exemple Toute cl du jeu de cl s utilisateur peut tre contourn e par l utilisateur en ne choisissant aucune cl Pour s assurer que les lecteurs amovibles sont toujours chiffr s utilisez une strat gie de chiffrement bas e sur fichier ou d finissez explicitement une cl dans la strat gie de chiffrement bas e sur volume Param tre de strat gie Mode de chiffrement du support Manuel d administration Explication Permet de prot ger les p riph riques ordinateurs de bureau et portables etc ainsi que tous types de supports amovibles Remarque ce param tre est obligatoire L objectif essentiel consiste chiffrer toutes les donn es stock es sur des p riph riques de stockage locaux ou externes La m thode de fonctionnement transparente permet aux utilisateurs de continuer utiliser leurs applications courantes par exemple Microsoft Office Le chiffrement transparent signifie que toutes les donn es chiffr es dans des r pertoires ou dans des volumes chiffr s sont automatiquement d chiffr es dans la m moire principale d s qu elles sont ouvertes dans un programme Un fichier est automatiquement chiffr de nouveau lorsqu il est enregistr Les options suivantes sont disponibles Aucun chiffrement Bas sur le volume chiffrement tr
96. cl de son choix s il y est autoris et si disponible Si l utilisateur connecte un autre p riph rique USB la cl d finie pour le chiffrement initial est de nouveau utilis e Cette cl est galement utilis e pour tous les processus de chiffrement ult rieurs jusqu ce que l utilisateur s lectionne explicitement une autre cl Remarque si la phrase secr te des supports est activ e cette option sera d sactiv e La Cl d finie pour le chiffrement sera utilis e Dossier en texte brut Le dossier sp cifi ici sera cr sur tous les supports amovibles p riph riques de stockage de masse et dans le dossier de synchronisation de stockage dans le Cloud Les fichiers copi s dans ce dossier restent au format brut 155 SafeGuard Enterprise Param tre de strat gie Explication L utilisateur est autoris Vous pouvez autoriser l utilisateur d cider du chiffrement des d cider de l op ration de fichiers sur les supports amovibles et sur les p riph riques de chiffrement stockage de masse Gi vous d finissez cette option sur Oui les utilisateurs sont invit s d cider si les donn es doivent tre chiffr es Pour les p riph riques de stockage en masse l invite appara t apr s chaque connexion tandis que pour les supports amovibles l invite appara t lorsqu ils sont connect s Si vous d finissez cette option sur Oui m moriser les param tres de l utilisateur les utilisateurs peu
97. cliquez sur OK Le nom de l ordinateur appara t sur la page Type de r cup ration a Saisissez le nom abr g de l ordinateur directement dans le champ Lorsque vous cliquez sur Suivant ce nom est recherch dans la base de donn es S il est trouv le nom d ordinateur unique s affiche a Saisissez directement le nom de l ordinateur au format de nom unique par exemple CN Postel OU D veloppement OU Si ge DC Utimaco DC uae Cliquez sur Suivant S lectionnez le domaine de l utilisateur Saisissez le nom de l utilisateur requis Pour ce faire vous pouvez proc der de plusieurs fa ons Pour s lectionner le nom utilisateur cliquez sur dans la section Informations utilisateur de la page R cup ration de connexion Cliquez ensuite sur Rechercher maintenant La liste des utilisateurs s affiche S lectionnez le nom requis puis cliquez sur OK Le nom utilisateur appara t sur la page Type de r cup ration Saisissez directement le nom de l utilisateur Assurez vous de l orthographier correctement Cliquez sur Suivant Une fen tre appara t o vous pouvez saisir le code de challenge Saisissez le code de challenge que l utilisateur vous a transmis et cliquez sur Suivant Ce code est v rifi Si le code a t saisi de fa on incorrecte le terme Challenge non valide appara t au dessous du bloc contenant l erreur Si le code de challenge a t saisi correctement l action de r cup ration demand e p
98. conditions pr alables suivantes doivent tre remplies Sachez quel est votre environnement Management Center Policy Editor source et cible L environnement Management Center Policy Editor source est celui que vous avez utilis pour la cr ation des packages de configuration pour les ordinateurs d extr mit qui sont d placer L environnement Management Center Policy Editor cible est celui vers lequel les ordinateurs d extr mit seront d plac s Pour remplacer le certificat d entreprise 1 Dans l outil de gestion cible exportez le certificat d entreprise Dans le menu Outils cliquez sur Options S lectionnez l onglet Certificats et cliquez sur le bouton Exporter sous Certificat d entreprise Saisissez et confirmez un mot de passe pour la sauvegarde du certificat lorsque vous y tes invit et s lectionnez un r pertoire de destination et un nom de fichier galement lorsque vous y tes invit Le certificat d entreprise est export fichier cer 83 SafeGuard Enterprise los 13 3 1 84 2 Dans l outil d administration d origine allez dans le menu Outils et cliquez sur Options S lectionnez l onglet Certificats et cliquez sur Cr er dans la section Demander Dans la bo te de dialogue Cr er un CCO recherchez le certificat d entreprise cible que vous avez export dans l outil d administration cible tape 1 Assurez vous qu il s agit du certificat d sir Cliquez sur Cr er et s lectionnez un r pertoir
99. confidentiels am lior s Si le param tre Autoriser les codes confidentiels am lior s au d marrage est d fini sur D sactiv l utilisation de codes confidentiels n est pas autoris e Remarque BitLocker prend uniquement en charge la disposition du clavier EN US Par cons quent les utilisateurs risquent de rencontrer des probl mes lors de la saisie de codes confidentiels am lior s ou de mots de passe complexes Il est conseill aux utilisateurs de passer en disposition du clavier EN US avant de cr er leur code confidentiel ou mot de passe BitLocker Ils devront probablement appuyer sur une touche diff rente de celle de leur clavier pour saisir le caract re voulu Par cons quent avant le chiffrement du volume de d marrage l ordinateur est red marr afin de garantir que l utilisateur sera en mesure de saisir son code confidentiel ou son mot de passe correctement au d marrage Carte m moire USB Les cl s externes peuvent tre stock es sur une carte m moire USB non prot g e 171 SafeGuard Enterprise 212 2 Bon usage param tres des strat gies et exp rience utilisateur 172 Le responsable de la s curit configure les strat gies de chiffrement pour les lecteurs chiffrer ainsi que pour la strat gie d authentification Le module de plate forme s curis e TPM doit tre utilis chaque fois que cela est possible Toutefois m me sans TPM le volume de d marrage doit tre chiffr L in
100. d utilisateur ROussos est saisi Si l option Respecter la casse est d finie sur Oui et si l option Interdire l utilisation du nom d utilisateur en tant que code confidentiel est d finie sur Non l utilisateur ROussos ne peut pas utiliser de variante du nom d utilisateur par exemple roussos ou rOussOS en tant que code confidentiel 139 SafeGuard Enterprise 140 Param tre de strat gie Interdire l utilisation cons cutive de touches horizontales Explication Concerne les touches dispos es successivement sur les rang es du clavier Par exemple 128 ou aze Un maximum de deux caract res adjacents du clavier est autoris Les s quences de touches cons cutives ne concernent que la zone du clavier alphanum rique Interdire l utilisation cons cutive de touches verticales Interdire l utilisation de 3 caract res cons cutifs ou plus Concerne les touches dispos es successivement sur les colonnes du clavier Par exemple wqa1 xsz2 ou 3edc mais pas Wse4 xdr5 ou cft6 Un maximum de deux symboles adjacents d une m me colonne clavier est autoris Si vous n autorisez pas les colonnes du clavier ces combinaisons sont rejet es comme codes confidentiels Les s quences de touches cons cutives ne concernent que la zone du clavier alphanum rique L activation de cette option interdit les s quences de touches qui sont des s ries cons cutives de symbole
101. de la prochaine connexion Pour supprimer un groupe de travail vous avez besoin des droits d Acc s complet pour tous les objets concern s 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit de la souris sur le groupe de travail que vous voulez supprimer et s lectionnez Supprimer 3 Pour confirmer cliquez sur Oui Le groupe de travail est supprim Ses membres ventuels sont galement supprim s Remarque si vous n avez pas les droits d Acc s complet pour tous les membres du groupe de travail la suppression du groupe de travail choue et un message d erreur appara t Cr ation d un domaine Les responsables de la s curit disposant des droits requis peuvent cr er un domaine sous le r pertoire racine Veuillez cr er un nouveau domaine uniquement si vous ne voulez pas ou ne pouvez pas importer un domaine partir d Active Directory AD par exemple parce qu aucun AD n est disponible 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit de la souris sur Racine Filtre actif et s lectionnez Nouveau gt Cr er un domaine enregistrement auto 3 Sous Informations communes saisissez les informations suivantes concernant le contr leur de domaine 10 2 8 10 2 9 Manuel d administration Les deux entr es de noms
102. de passe Informatique avant la quatri me invitation de changement du mot de passe en d autres termes longueur d historique du mot de passe 4 Remarque si vous d finissez la longueur de l historique de mot de passe sur 0 l utilisateur peut utiliser son ancien mot de passe comme nouveau mot de passe Ceci n est pas la bonne marche suivre et doit tre vit autant que possible 20 7 Phrase secr te pour SafeGuard Data Exchange L utilisateur doit entrer une phrase secr te qui est utilis e pour g n rer des cl s locales pour un change s curis des donn es avec SafeGuard Data Exchange Les cl s g n r es sur les ordinateurs d extr mit sont galement stock es dans la base de donn es SafeGuard 146 Manuel d administration Enterprise Dans les strat gies du type Phrase secr te vous d finissez les conditions requises correspondantes Retrouvez une description de SafeGuard Data Exchange la section SafeGuard Data Exchange la page 195 Retrouvez plus d informations sur SafeGuard Data Exchange et sur SafeGuard Portable sur l ordinateur d extr mit dans le Manuel d utilisation de SafeGuard Enterprise au chapitre SafeGuard Data Exchange Param tre de strat gie PHRASE SECR TE Explication Longueur minimum de la phrase secr te D finit le nombre minimum de caract res de la phrase secr te partir de laquelle la cl est g n r e La valeur requise peut tre saisie dire
103. de passe du magasin de certificats et disposer de la cl priv e du certificat Retrouvez plus d informations dans le Guide d installation de SafeGuard Enterprise La proc dure de connexion d pend de l ex cution de SafeGuard Management Center connect une base de donn es mode Ind pendant ou plusieurs bases de donn es mode Mutualis Remarque deux responsables de la s curit ne doivent pas utiliser le m me compte Windows sur le m me ordinateur Dans le cas contraire il est impossible de distinguer correctement leurs droits d acc s Avertissement l expiration du certificat d entreprise la connexion SafeGuard Management Center commence par afficher un avertissement six mois avant l expiration du certificat d entreprise et vous invite le renouveler et le d ployer sur les ordinateurs d extr mit Sans certificat d entreprise valide un ordinateur d extr mit ne peut pas se connecter au serveur Vous pouvez renouveler le certificat d entreprise tout moment M me si le certificat d entreprise a d j expir Un certificat d entreprise expir sera aussi indiqu par une bo te de message Retrouvez plus d informations sur le renouvellement d un certificat d entreprise la section Renouvellement du certificat d entreprise la page 82 Connexion en mode ind pendant 1 D marrez SafeGuard Management Center partir du dossier des produits dans le menu D marrer Une bo te de dialogue de conne
104. des responsables de la s curit 11 12 R trogradation de responsables principaux de la s curit 11 13 Modification du certificat du responsable de la s curit 11 14 Organisation des responsables de la s curit dans l arborescence 11 15 Basculement rapide de responsables de la s curit nnnennnenneenneeeee nn 11 16 Suppression d un responsable de la s curit 12 Cl sietcertiricals rie AR nel ne lle flat radin area ane Lt le aa 12 1 Cl s pour le chiffrement des donn es 12 2 Cl s personnelles pour le chiffrement bas sur fichier par File Encryption 73 12 91 CertiiCAIS TA APR I E EE LA AR Re On ten 75 12 4 Exportation du certificat d entreprise et du responsable principal de la S CUTIL LT de de ne el a M a re ne 78 PREE E E E EE EA E area E est rt ts iet 79 13 Ordres de changement du certificat d entreprise CCO 82 13 1 Renouvellement du certificat d entreprise 82 13 2 Remplacement du certificat d entreprise 83 13 3 Gestion des ordres de changement du certificat d entreprise 84 14 Utilisation de strat gies 86 14 1 Cr ation de strat gies 86 14 2 Modification des param tres de strat gie 86 14 3 Groupes de strat gies 88 14 4 Sauvegarde de strat gies et de groupes de strat gies 89 14 5 Restauration de strat gies et de groupes de strat gies 90 14 6 Attribution de strat gies 90 14 7 Gestion des strat gies dans Utilisateurs et ordina
105. disponible vous devez l importer dans le magasin de certificats 5 7 5 8 Manuel d administration Remarque il est impossible d importer un certificat partir d une infrastructure de cl publique PKI de Microsoft Un certificat import doit avoir 1024 bits au minimum et 4096 bits au maximum 1 Dans Importation du fichier de cl pour l authentification cliquez sur et s lectionnez le fichier de cl Veuillez saisir le mot de passe du fichier de cl Saisissez le mot de passe du magasin de certificats Confirmez le mot de passe du magasin de certificats Cliquez sur OK gi D Les certificats et les cl s priv es sont pr sent contenus dans le magasin de certificats La connexion SafeGuard Management Center n cessite ensuite le mot de passe du magasin de certificats Cr ation du certificat d entreprise Le certificat d entreprise permet de diff rencier des installations de SafeGuard Management En combinaison avec le certificat du MSO il permet de restaurer une configuration de base de donn es SafeGuard Enterprise endommag e 1 Sur la page Certificat d entreprise s lectionnez Cr er un nouveau certificat d entreprise Remarque les certificats d entreprise cr s expirent toujours le 31 d cembre 2199 2 Saisissez un nom de votre choix Remarque par d faut les certificats g n r s par SafeGuard Enterprise entreprise machine responsable de la s curit et utilisateur sont
106. doivent tre correctes Faute de quoi le domaine n est pas synchronis a Nom complet par exemple nom ordinateur domaine fr ou l adresse IP du contr leur de domaine 2 Nom distinctif lecture seule nom DNS par exemple DC nomordinateur3 DC domaine DC pays O Une description de domaine facultatif Nom Netbios nom du contr leur de domaine S Le type d objet est affich sous tat de la connexion dans ce cas Domaine 0 f Pour emp cher l h ritage de strat gie vous pouvez s lectionner Bloquer l h ritage de strat gie g Cliquez sur OK Le nouveau domaine est cr Les utilisateurs et ou ordinateurs sont automatiquement attribu s ce domaine au cours de l enregistrement automatique Le r pertoire par d faut Enregistr automatiquement est cr automatiquement sous le conteneur du domaine ne peut tre ni renomm ni supprim Changement de nom d un domaine Les responsables de la s curit disposant des droits requis peuvent renommer un domaine et d finir des propri t s suppl mentaires Vous avez besoin des droits d Acc s complet pour le domaine correspondant 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit de la souris sur le domaine renommer puis s lectionnez Propri t s 3 Dans Informations communes sous Nom complet changez le nom du domaine et sa descripti
107. donn es Activez le chiffrement SSL en enregistrant le serveur SafeGuard Enterprise l aide de l outil de package de configuration de SafeGuard Management Center Retrouvez plus d informations la section Configuration de la connexion au serveur de base de donn es la page 20 ou sur http www sophos com fr fr support knowledgebase 109012 aspx Connexion entre le serveur de base de donn es et le SafeGuard Management Center Activez le chiffrement SSL dans l Assistant de configuration initiale du SafeGuard Management Center Retrouvez plus d informations la section Configuration de la connexion au serveur de base de donn es la page 20 Connexion entre le serveur SafeGuard Enterprise et l ordinateur d extr mit prot g par SafeGuard Enterprise Activez le chiffrement SSL lors de la cr ation du package de configuration pour les ordinateurs d extr mit administr s SafeGuard Enterprise dans l outil de package de configuration de SafeGuard Management Center Retrouvez plus d informations la section Cr ation d un package de configuration pour les ordinateurs administr s la page 98 Retrouvez plus d informations sur la proc dure de configuration du serveur the SafeGuard Enterprise et sur l utilisation de SSL pour s curiser la communication dans le Guide d installation de SafeGuard Enterprise Vous pouvez d finir le chiffrement SSL pour SafeGuard Enterprise lors de la premi re configuration des composants SafeGuard
108. effet les ordinateurs d extr mit non administr s ne sont pas en mesure de cr er des rapports sur les donn es d inventaire Retrouvez plus d informations la section Onglet Lecteurs la page 266 L tat du syst me peut tre v rifi l aide de l outil de ligne de commande SGNState droits administratifs requis Retrouvez plus d informations dans le Guide des outils de SafeGuard Enterprise Le champ Informations sur le volume vous indique si l ordinateur d extr mit est pr par correctement pour le chiffrement BitLocker Dans certains cas l Outils de pr paration de lecteur Windows BitLocker doit tre ex cut Challenge R ponse SafeGuard pour BitLocker L utilisation du Challenge R ponse SafeGuard Enterprise pour BitLocker n cessite de satisfaire aux conditions ci dessous Windows 64 bits Version UEFI 2 3 1 ou plus r cente Certificat UEFI de Microsoft activ ou D marrage s curis d sactiv Entr es de d marrage NVRAM accessibles partir de Windows Windows install en mode GPT Le mat riel ne doit pas tre r pertori dans le fichier POACFG xml Sophos fournit un fichier POACFG xml par d faut int gr dans le programme d installation Nous vous conseillons de t l charger le fichier le plus r cent et de le mettre disposition du programme d installation Pendant l installation sur l ordinateur d extr mit et pendant le premier red marrage SafeGuard Enterprise d termine si le mat riel
109. en question 1 Dans SafeGuard Management Center s lectionnez Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche s lectionnez les objets de r pertoire requis Remarque l arborescence n affiche que les objets de r pertoire pour lesquels vous avez les droits d acc s Si vous avez des droits d Acc s complet l objet appara t en noir Les objets avec un acc s en Lecture seule apparaissent en bleu Un n ud gris n est pas accessible mais appara t quand m me s il existe des n uds au dessous auxquels vous avez acc s 3 Dans la zone d action de droite cliquez sur l onglet Acc s 4 Pour attribuer les droits pour les objets s lectionn s faites glisser le responsable requis depuis l extr mit droite dans le tableau Acc s 5 Dans la colonne Droits d acc s s lectionnez les droits que vous voulez accorder au responsable de la s curit pour les objets s lectionn s Acc s complet m Lecture seule Refus Pour annuler l attribution des droits pour les objets s lectionn s faites glisser le responsable de la s curit en retour dans le tableau Responsables 6 Pour enregistrer les modifications apport es la base de donn es cliquez sur l ic ne Enregistrer de la barre d outils Les objets s lectionn s sont disponibles pour le responsable de la s curit correspondant Remarque si deux responsables de la s curit travaillent sur la m me base de donn es SafeGuard Enterprise
110. es via le serveur SGN Le transfert s effectue d s que le m canisme de transport a r ussi cr er une connexion au serveur La taille du fichier journal a donc tendance augmenter jusqu ce qu une connexion ait t tablie Pour limiter la taille de chaque fichier journal il est possible de sp cifier un nombre maximal d entr es du journal dans la strat gie Lorsque le nombre d entr es pr d fini a t atteint le syst me de journalisation place le fichier journal dans la file d attente de transport du serveur SGN et d marre un nouveau fichier journal Langue utilis e sur le client Langue dans laquelle les param tres de SafeGuard Enterprise sont affich s sur l ordinateur d extr mit Vous pouvez s lectionner une langue prise en charge ou le param tre de langue du syst me d exploitation de l ordinateur d extr mit R CUP RATION DE LA CONNEXION 127 SafeGuard Enterprise 128 Param tre de strat gie Activer la r cup ration de connexion apr s la corruption du cache local Windows Explication Le cache local Windows repr sente le point de d part et de fin de l change de donn es entre l ordinateur d extr mit et le serveur Il stocke la totalit des cl s strat gies certificats utilisateur et fichiers d audit Les donn es stock es dans le cache local sont sign es et ne peuvent pas tre modifi es manuellement Par d faut la r cup ration de la connexion est d sactiv e s
111. est plus disponible dans SafeGuard Enterprise 6 1 La strat gie correspondante ainsi que l assistant de suspension sont toujours disponibles dans la version 7 0 de SafeGuard Management Center afin de prendre en charge les versions 6 et 5 60 des clients SafeGuard Enterprise sur lesquels sont install s et administr s SafeGuard Configuration Protection avec la version 7 0 de Management Center Retrouvez plus d informations sur SafeGuard Configuration Protection dans l Aide de l administrateur de SafeGuard Enterprise 6 http www sophos com fr fr medialibrary PDFs documentation sgn_60_h_eng_admin_ help pdf Manuel d administration 23 Chiffrement de fichiers Le module File Encryption de SafeGuard Enterprise offre un chiffrement de fichiers sur les lecteurs locaux et les emplacements r seau surtout pour les groupes de travail et les partages r seau Dans SafeGuard Management Center vous d finissez les r gles du chiffrement bas sur fichier dans les strat gies Chiffrement de fichiers Dans ces r gles de Chiffrement de fichiers vous indiquez les dossiers qui doivent tre g r s par le Chiffrement de fichiers le mode de chiffrement et la cl utiliser pour le chiffrement Dans les strat gies Param tres g n raux vous pouvez d finir comment des applications et des syst mes de fichiers sp cifiques sont g r s sur les ordinateurs d extr mit dans le contexte du Chiffrement de fichiers Vous pouvez indiquer les applications ig
112. ex cution de la t che aura lieu date et heure S il n existe plus d heures d ex cution de cette t che cette colonne affiche Aucune Affiche quand la derni re ex cution de la t che aura lieu date et heure Si elle n a pas encore t ex cut e cette colonne affiche Aucune R sultat de la derni re ex cution Affiche le r sultat de la derni re t che ex cut e Succ s Le script de la t che a t ex cut avec succ s chec L ex cution de la t che a chou Un num ro d erreur appara t s il est disponible En cours d ex cution Le script est en cours d ex cution Droits insuffisants La t che a chou cause de droits insuffisants pour l ex cution de scripts Interrompu L ex cution de la t che a t abandonn e car la dur e d ex cution a d pass 24 heures Contr le perdu Le contr le de l ex cution du script de la t che a t perdu par exemple parce que le service du planificateur SGN a t arr t Le script est corrompu Le script ex cuter est corrompu Le script a t supprim entre temps Alors que la t che tait plac e dans la file d attente pour ex cution le script correspondant a t supprim de la base de donn es SafeGuard Enterprise Erreurs runtime 285 SafeGuard Enterprise Colonne Description Une erreur runtime a t d tect e lors du traitement du service du planificateur Sous les colonnes les bou
113. extr mit quip s de disques durs compatibles Opal Les v nements signal s par les ordinateurs d extr mit quip s de disques durs compatibles Opal chiffrement automatique sont consign s dans le journal comme pour tout autre ordinateur d extr mit prot g par SafeGuard Enterprise Les v nements ne mentionnent pas particuli rement le type d ordinateur Les v nements signal s sont identiques tout autre ordinateur d extr mit prot g par SafeGuard Enterprise Retrouvez plus d informations la section Rapports la page 270 Manuel d administration 37 v nements disponibles pour les rapports Le tableau suivant fournit un aper u de tous les v nements pouvant tre s lectionn s pour la journalisation Cat gorie Syst me Identifiant d v nement 1005 Description Service d marr chec du d marrage du service Arr t du service chec du test d int grit des fichiers de donn es Syst me Chemin du journal indisponible Tentative de d sinstallation de SafeGuard Enterprise non autoris e Authentification Authentification GINA externe identifi et int gr GINA externe identifi chec de l int gration Authentification Authentification Authentification au d marrage active Authentification au d marrage d sactiv e Authentification Authentification veil par appel r seau activ veil par appel r seau d
114. faut 1 Dans cet affichage cliquez avec le bouton droit de la souris sur la barre d en t tes de colonnes 2 Dans le menu contextuel s lectionnez Ex cuter la personnalisation de colonne La fen tre Personnalisation appara t affichant les colonnes cach es 3 D placez la colonne requise depuis la fen tre Personnalisation vers la barre d en t tes de colonnes La colonne appara t dans l affichage des donn es d inventaire Pour la masquer de nouveau d placez la de nouveau dans la fen tre Personnalisation Filtrage des donn es d inventaire Lorsque vous utilisez une OU des filtres peuvent tre d finis pour limiter l affichage en fonction d un crit re particulier Les champs suivants sont disponibles pour d finir des filtres dans la zone Filtre de l onglet Inventaire Description Nom de l ordinateur Pour afficher les donn es d inventaire et d tat d un ordinateur particulier entrez le nom de l ordinateur dans ce champ Sous conteneurs inclus Activez ce champ pour inclure les sous conteneurs l cran Afficher la derni re Indiquez dans ce champ le nombre de modifications afficher modification Vous pouvez galement utiliser l diteur de filtres pour cr er des filtres d finis par l utilisateur Vous pouvez ouvrir l diteur de filtres depuis le menu contextuel de chaque colonne Dans la fen tre G n rateur de filtres vous pouvez d finir des filtres personnalis s et les appliquer
115. fichier journal local de processus afin de journaliser tous les v nements li s la s curit survenus sur les ordinateurs d extr mit Ce fichier journal est transf r dans la base de donn es SafeGuard Enterprise via le serveur SafeGuard Enterprise une fois atteint un certain nombre d v nements Le responsable de la s curit peut r cup rer afficher et analyser les v nements dans l Observateur d v nements de SafeGuard Management Center Les processus ex cut s sur diff rents ordinateurs d extr mit peuvent ainsi tre audit s sans intervention du personnel sur la journalisation Surveillance des utilisateurs mobiles Les utilisateurs mobiles ne sont g n ralement pas connect s en permanence au r seau de l entreprise Par exemple les commerciaux d connectent leur portable pendant une r union D s qu ils se reconnectent au r seau les v nements SafeGuard Enterprise journalis s pendant la p riode hors ligne sont transf r s Les fonctionnalit s de journalisation proposent une vue d ensemble pr cise des activit s de l utilisateur pendant la p riode de d connexion de l ordinateur Condition pr alable Les v nements sont g r s par le serveur SafeGuard Enterprise Si vous voulez activer les rapports sur les ordinateurs sur lesquels aucun client SafeGuard Enterprise n est install ordinateurs SafeGuard Management Center ou serveur SafeGuard Enterprise veuillez vous assurer que ces v nements sont e
116. fois le nombre d entr es sp cifi atteint Les v nements journalis s dans la base de donn es centrale peuvent tre affich s dans l Observateur d v nements ou dans l Observateur de suivi des fichiers de SafeGuard Enterprise En tant que responsable de la s curit vous devez disposer des droits appropri s pour afficher analyser et g rer les v nements journalis s dans la base de donn es Configuration des param tres de journalisation Les param tres de rapport sont d finis l aide de deux strat gies Strat gie Param tres g n raux Dans une strat gie Param tres g n raux vous pouvez sp cifier un nombre maximum d entr es journalis es au del duquel le fichier journal contenant les v nements destin s la base de donn es centrale doit tre transf r dans la base de donn es de SafeGuard Enterprise Ceci permet de r duire la taille des fichiers journaux individuels transf rer Ce param tre est facultatif Strat gie Journalisation Les v nements journaliser sont sp cifi s dans une strat gie de journalisation Dans cette strat gie un responsable de la s curit avec les droits de strat gie requis d finit quels v nements seront journalis s et dans quelle destination en sortie 33 4 1 33 4 2 so Manuel d administration D finition du nombre d v nements pour commentaires 1 Cliquez sur Rapports dans SafeGuard Management Center 2 Cr ez une strat gie Param tre
117. g rer des comptes rendus de tous les v nements li s la s curit Fen tre de navigation Les objets devant tre trait s ou pouvant tre cr s apparaissent dans la fen tre de navigation objets Active Directory tels que les O utilisateurs et ordinateurs l ments de strat gies etc Les objets affich s d pendent de la t che s lectionn e Remarque dans Utilisateurs et ordinateurs les objets affich s dans l arborescence de la fen tre de navigation d pendent des droits d acc s du responsable de la s curit pour les objets du r pertoire L arborescence affiche seulement les objets auxquels peut acc der le responsable de la s curit connect Les objets refus s n apparaissent pas sauf s il existe des n uds inf rieurs dans l arborescence pour lesquels le responsable de la s curit a les droits d acc s Dans ce cas les objets refus s sont gris s Si le responsable de la s curit les droits d Acc s complet l objet appara t en noir Les objets avec un acc s en Lecture seule apparaissent en bleu Zone d action Dans la zone d action d finissez les param tres des objets s lectionn s dans la fen tre de navigation La zone d action contient diff rents onglets permettant de traiter les objets et de d finir les param tres La zone d action comporte galement des informations concernant les objets s lectionn s Vues associ es Dans ces vues des objets et des informations suppl mentaires
118. gestion est prise en charge et il est possible d utiliser la r cup ration Si aucune strat gie de chiffrement SafeGuard Enterprise ne s applique au lecteur chiffr il est possible d utiliser la r cup ration SafeGuard Enterprise D chiffrement avec BitLocker Les ordinateurs chiffr s avec BitLocker ne peuvent pas tre d chiffr s automatiquement Le d chiffrement peut tre effectu soit l aide du Chiffrement de lecteur BitLocker depuis le Panneau de configuration soit en utilisant l outil de ligne de commande Manage bde de Microsoft Pour permettre aux utilisateurs de d chiffrer les lecteurs chiffr s avec BitLocker manuellement une strat gie sans r gle de chiffrement pour le lecteur chiffr par BitLocker doit tre appliqu e sur l ordinateur d extr mit L utilisateur peut ensuite d clencher le chiffrement en d sactivant BitLocker pour le lecteur de son choix partir de l l ment Chiffrement de lecteur BitLocker du Panneau de configuration 21 26 2L261 21 27 Manuel d administration BitLocker To Go partir de Windows 7 la fonction Chiffrement de lecteur BitLocker propose galement BitLocker To Go afin de permettre aux utilisateurs de chiffrer les volumes sur les supports amovibles BitLocker To Go ne peut pas tre g r par SafeGuard Enterprise BitLocker To Go peut tre utilis lorsque les composants client pour la prise en charge de SafeGuard Enterprise BitLocker ont t d ploy s
119. graphique de la structure Active Directory des unit s organisationnelles de votre entreprise s affiche 8 Cochez les unit s organisationnelles OU qui doivent tre synchronis es Il n est pas n cessaire d importer l ensemble du contenu d Active Directory 9 Pour galement synchroniser les appartenances s lectionnez la case cocher Synchroniser l appartenance Pour galement synchroniser l tat activ par l utilisateur s lectionnez la case cocher Synchroniser l tat activ par l utilisateur 10 Au bas de la zone d action cliquez sur Synchroniser Lors de la synchronisation d utilisateurs avec leur appartenance un groupe l appartenance un groupe principal n est pas synchronis e car elle n est pas visible pour le groupe Les domaines sont synchronis s Des informations sur la synchronisation s affichent Cliquez sur le message qui s affichent dans la barre d tat en dessous gauche des boutons pour voir un protocole de synchronisation Cliquez sur le protocole pour le copier dans le Presse papiers et le coller dans un e mail ou un fichier Remarque si des l ments ont t d plac s d une sous arborescence vers une autre dans Active Directory les deux sous arborescences doivent tre synchronis es avec la base de donn es SQL La synchronisation d une seule sous arborescence aboutit la suppression d objets au lieu de leur d placement Remarque nous vous conseillons de diviser en plusieurs
120. l tat de l ordinateur d extr mit ainsi que les actions de l administrateur et les v nements li s la s curit puis les enregistre de mani re centralis e Les fonctionnalit s de journalisation enregistrent les v nements d clench s par les produits SafeGuard install s Le type de journaux est d fini dans les strat gies du type Journalisation C est aussi o vous sp cifiez le r sultat et l emplacement de sauvegarde des v nements journalis s le journal des v nements Windows de l ordinateur d extr mit ou la base de donn es SafeGuard Enterprise En tant que responsable de la s curit disposant des droits n cessaires vous pouvez afficher imprimer et archiver les informations d tat et les rapports de journaux affich s dans SafeGuard Management Center SafeGuard Management Center propose des fonctions de tri et de filtrage compl tes tr s utiles lors de la s lection d v nements pertinents partir des informations disponibles Des analyses automatiques de la base de donn es de journaux par exemple avec Crystal Reports ou Microsoft System Center Operations Manager sont galement possibles SafeGuard Enterprise prot ge les entr es des journaux contre toute manipulation non autoris e l aide de signatures sur le client et sur le serveur En fonction de la strat gie de journalisation les v nements des cat gories suivantes peuvent tre journalis s Authentification Administration a
121. l utilisateur SGN Journalisation des v nements Les actions accomplies concernant les listes de comptes de service sont signal es par les v nements du journal suivants SafeGuard Management Center a Liste de comptes de service lt nom gt cr e Liste de comptes de service lt nom gt modifi e a Liste de comptes de service lt nom gt supprim e Ordinateurs d extr mit prot g s par SafeGuard Enterprise Utilisateur Windows lt nom domaine utilisateur gt connect lt horodatage gt sur le poste lt nom domaine poste de travail gt avec un compte de service SGN a Nouvelle liste de comptes de service lt nom gt import e Liste de comptes de service lt nom gt supprim e 117 SafeGuard Enterprise 19 19 1 118 Utilisateurs de l authentification au d marrage pour connexion l authentification au d marrage SafeGuard Remarque les utilisateurs de l authentification au d marrage sont uniquement pris en charge sur les ordinateurs d extr mit Windows prot g s par SafeGuard Enterprise avec l authentification au d marrage SafeGuard Une fois SafeGuard Enterprise install et l authentification au d marrage SafeGuard activ e vous devez pouvoir acc der aux ordinateurs d extr mit pour ex cuter des t ches administratives Gr ce aux utilisateurs de l authentification au d marrage les utilisateurs notamment des membres de l quipe informatique peuvent se connecter aux ordinateurs
122. l utilisateur doit correspondre celui qui a t g n r lors de l initialisation du token Il est alors inutile de r p ter le code confidentiel de l utilisateur ou de saisir un code confidentiel du responsable de la s curit 223 SafeGuard Enterprise 210 224 8 Cliquez sur G n rer un token maintenant Le token est g n r les informations de connexion crites sur le token et les informations de token enregistr es dans la base de donn es SafeGuard Enterprise Vous pouvez afficher les donn es de la zone Token dans l onglet Informations sur le token G n ration d un token ou d une carte puce pour un responsable de la s curit Lorsque SafeGuard Enterprise est install pour la premi re fois le premier responsable de la s curit peut g n rer pour lui m me un token et indiquer le mode de connexion consultez le Guide d installation SafeGuard Enterprise Pour tous les autres responsables de la s curit les tokens sont g n r s dans SafeGuard Management Center Condition pr alable 6 7 le token doit tre initialis et le module PKCS 11 appropri doit tre activ Vous devez disposer des droits n cessaires pour effectuer des s lections pour le responsable de la s curit Dans SafeGuard Management Center cliquez sur Responsables de la s curit Connectez le token l interface USB SafeGuard Enterprise lit le token Dans la fen tre de navigation de gauche cochez Responsab
123. la strat gie attribu e ou disponible requise et s lectionnez Ouvrir dans le menu contextuel La bo te de dialogue des strat gies appara t et vous pouvez visualiser et modifier les param tres de strat gie 5 Cliquez sur OK pour enregistrer vos changements 6 Pour afficher les propri t s de strat gie cliquez avec le bouton droit de la souris sur la strat gie et s lectionnez Propri t s dans le menu contextuel La bo te de dialogue Propri t s de la strat gie appara t Ici vous pouvez afficher les informations G n ral et Attribution D sactivation du d ploiement de strat gies En tant que responsable de la s curit vous pouvez d sactiver le d ploiement des ordinateurs d extr mit Pour ce faire cliquez sur le bouton Activer d sactiver le d ploiement des strat gies dans la barre d outils de SafeGuard Management Center ou s lectionnez la commande Activer d sactiver le d ploiement des strat gies dans le menu diter Apr s d sactivation du d ploiement de strat gies aucune strat gie n est envoy e aux ordinateurs d extr mit Pour inverser la d sactivation du d ploiement de strat gies cliquez sur le bouton ou s lectionnez de nouveau la commande Remarque pour d sactiver le d ploiement de strat gies un responsable de la s curit doit disposer du droit Activer d sactiver le d ploiement des strat gies Par d faut ce droit a t 91 SafeGuard Enterprise 14 9 14 9 1 14 9
124. le lecteur USB sur lequel est enregistr le fichier du client virtuel recoverytoken tok a t correctement mont Dans le gestionnaire de fichiers Windows PE s lectionnez le lecteur sur lequel est enregistr le client virtuel Le fichier recoverytoken tok appara t sur la droite S lectionnez le fichier recoverytoken tok et faites le glisser sur le lecteur o se trouve l outil de r cup ration de cl KeyRecovery D posez le dans le r pertoire Tools SGN Tools 2181 x Fie Edt New Favorites Go vew Toos Hp e eloo l BalGIx a z ee a jamaa _ F kd ea ac a0 GE F O Normal M I Overwrite I Zip Password M Relative Path M Update M Hidden System 1 object s 74 bytes 1 object s selected 74bytes F 963 69 MB free 263 70 MB total Bei Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer jalal Ele 29 2 6 4 29 2 6 5 Manuel d administration Initialisation du challenge dans l outil de r cup ration de cl KeyRecovery 1 Au bas du gestionnaire de fichiers Windows PE dans la section Lancement rapide cliquez sur l ic ne KeyRecovery pour ouvrir l outil de r cup ration de cl KeyRecovery L outil KeyRecovery affiche les ID de cl des lecteurs chiffr s Cet outil d marre et affiche une liste de tous les volumes ainsi que des informations de chiffrement cor
125. le nouvel algorithme Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 116791 aspx 77 SafeGuard Enterprise 12 4 12 4 1 12 4 2 78 Exportation du certificat d entreprise et du responsable principal de la s curit Dans une installation SafeGuard Enterprise les deux l ments suivants sont essentiels et doivent tre sauvegard s dans un emplacement s r Le certificat d entreprise enregistr dans la base de donn es SafeGuard Le certificat du responsable principal de la s curit MSO se trouvant dans le magasin de certificats de l ordinateur sur lequel SafeGuard Management Center est install Vous pouvez exporter ces deux certificats sous la forme de fichiers p12 des fins de sauvegarde Pour restaurer les installations vous pouvez importer le certificat d entreprise et du responsable de la s curit correspondant sous la forme de fichiers p12 et les utiliser lorsque vous param trez une nouvelle base de donn es Ceci pour viter de restaurer l int gralit de la base de donn es Remarque nous vous conseillons de r aliser cette t che imm diatement apr s la configuration initiale de SafeGuard Management Center Exportation des certificats d entreprise Remarque seuls les responsables principaux de la s curit sont autoris s exporter les certificats d entreprise des fins de sauvegarde 1 Dans la barre de menus de SafeGuard Management Center s l
126. lecteur chec de l acc s un lecteur Lecteur non valide d fini chec du changement de position sur un lecteur Le lecteur n est pas pr t chec du d montage d un lecteur Impossible d ouvrir le fichier Le fichier est introuvable Le chemin d acc s d fini pour le fichier est non valide Impossible de cr er le fichier Impossible de copier le fichier Aucune information n est disponible sur un volume Impossible de modifier la position dans un fichier chec de la lecture de donn es d un fichier chec de l criture de donn es dans un fichier Manuel d administration Identifiant de l erreur Affichage Impossible de supprimer un fichier Syst me de fichiers non valide Impossible de fermer le fichier L acc s un fichier a t refus M moire disponible insuffisante Param tre non valide ou erron d fini D passement de la taille de la m moire tampon de donn es Un module DLL n a pas pu tre charg Une fonction ou un processus a t annul Aucun acc s autoris Aucun noyau syst me n est install Impossible de lancer un programme Une fonction un objet ou une donn e est indisponible Entr e non valide d tect e Un objet existe d j Appel de fonction non valide r Une erreur interne s est produite Une violation d acc s s est prod
127. lectionnez le filtre appliquer l cran d inventaire Retrouvez plus d informations la section Filtrage des donn es d inventaire la page 264 Remarque si vous s lectionnez un ordinateur particulier les donn es d inventaire sont re ues d s que vous acc dez l onglet Inventaire La zone Filtre n est pas disponible ici 5 Dans la zone Filtre cliquez sur la loupe 263 SafeGuard Enterprise JAS 32 4 264 Les donn es d inventaire et d tat s affichent sous forme de tableau r capitulatif de toutes les machines du conteneur s lectionn Les onglets Lecteurs Utilisateurs et Fonctions sont galement disponibles pour chaque machine Cliquez sur l en t te de la colonne pour trier les donn es d inventaire par les valeurs de la colonne s lectionn e Le menu contextuel de chaque colonne propose de nombreuses fonctions de tri de regroupement et de personnalisation de l affichage En fonction de vos droits d acc s les l ments dans l inventaire apparaissent dans des couleurs diff rentes Les l ments des objets pour lesquels vous avez des droits d Acc s complet apparaissent en noir a Les l ments des objets pour lesquels vous avez des droits d acc s en Lecture seule apparaissent en bleu a Les l ments des objets pour lesquels vous n avez aucun droit d acc s sont gris s Affichage des colonnes masqu es Dans l affichage des donn es d inventaire certaines colonnes sont masqu es par d
128. les images d arri re plan 500 Ko SafeGuard Enterprise prend en charge deux variantes d images d arri re plan 1024 x 768 mode VESA Couleurs aucune restriction Strat gie du type Param tres g n raux option Image d arri re plan dans l authentification au d marrage basse r solution 640 x 480 mode VGA Couleurs 16 Strat gie du type Param tres g n raux option Image d arri re plan dans l authentification au d marrage basse r solution Image de connexion Taille de fichier maximale pour toutes les images de connexion 100 Ko SafeGuard Enterprise prend en charge deux variantes d images de connexion 413 x 140 Couleurs aucune restriction Strat gie du type Param tres g n raux option Image de connexion dans la POA 413 x 140 Couleurs 16 Strat gie du type Param tres g n raux option Image de connexion dans l authentification au d marrage basse r solution Les images doivent tre cr s en premier sous la forme de fichiers fichiers BMP PNG JPG puis enregistr s dans la fen tre de navigation 16 411 Enregistrement d images 1 Dans la zone de navigation Strat gies cliquez avec le bouton droit de la souris sur Images et s lectionnez Nouveau gt Image 2 Entrez le nom de l image dans le champ Nom de l image 105 SafeGuard Enterprise 16 4 2 16 4 2 1 106 3 Cliquez sur pour s lectionner l image pr alablement cr e 4 Cliquez sur OK La nouvelle image appara t
129. lors de l importation Si l importation s effectue partir d un fichier de cl p12 le mot de passe du certificat doit tre connu Si un conteneur de certificats PKCS 12 est s lectionn tous les certificats sont charg s dans la liste de certificats attribuables L attribution du certificat s effectue apr s l importation en le s lectionnant dans la liste d roulante R les du responsable de R les la s curit Des r les pr d finis ou personnalis s peuvent tre attribu s au responsable de la s curit Les droits associ s chaque r le s affichent sous Action autoris e dans la zone d action en cliquant sur le r le respectif ou en cliquant avec le bouton droit de la souris sur le responsable de la s curit et en s lectionnant Propri t s Actions I est possible d attribuer plusieurs r les un utilisateur 4 Pour confirmer cliquez sur OK Le nouveau responsable de la s curit appara t dans la fen tre de navigation sous le n ud Responsables de la s curit respectif Leurs propri t s peuvent tre affich es en s lectionnant le responsable de la s curit concern dans la fen tre de navigation Le responsable de la s curit peut se connecter SafeGuard Management Center avec le nom affich Vous devez ensuite attribuer les objets domaines de r pertoire au responsable de la s curit afin que celui ci puisse ex cuter ses t ches 63 SafeGuard Enterprise 11 10 Attribution d o
130. lt nom_mso gt cer Remarque notez ce mot de passe et conservez le en lieu s r Vous en aurez besoin pour vous authentifier SafeGuard Management Center Exportation du certificat MSO Le certificat MSO est export dans un fichier commun ment appel le fichier de cl priv es P12 qui est s curis par un mot de passe Le certificat MSO dispose ainsi d une protection suppl mentaire Le fichier de cl s priv es est n cessaire pour restaurer une installation interrompue de SafeGuard Management Center Pour exporter un certificat MSO 1 Dans Exportation du certificat saisissez et confirmez le mot de passe de la cl priv e fichier P12 Le mot de passe doit tre compos de 8 caract res alphanum riques 2 Cliquez sur OK 3 Saisissez un emplacement de stockage du fichier de cl priv es La cl priv e est cr e et le fichier est stock dans l emplacement d fini nom _mso p12 Remarque cr ez une sauvegarde de la cl priv e fichier p12 et stockez la dans un emplacement s r apr s la configuration initiale Si la cl est perdue en cas de panne du PC vous devrez alors r installer SafeGuard Enterprise Ceci est valable pour tous les certificats des responsables de s curit g n r s par SafeGuard Retrouvez plus la section Exportation du certificat d entreprise et du responsable principal de la s curit du Manuel d administration Importation du certificat MSO Si un certificat MSO est d j
131. minimale pour les phrases secr tes utilis es pour SafeGuard Data Exchange Protection des p riph riques Param tres de chiffrement bas sur volume ou sur fichier y compris des param tres pour SafeGuard Data Exchange SafeGuard Cloud Storage et SafeGuard Portable algorithmes cl s les lecteurs sur lesquels les donn es doivent tre chiffr es etc Param tres de machine sp cifiques Param tres d authentification au d marrage SafeGuard activer d sactiver d veil par appel r seau s curis d options d affichage etc Journalisation D finit les v nements consigner dans le journal et leurs destinations de sortie Protection de la configuration Remarque le param tre Protection de la configuration n est disponible que pour les clients SafeGuard Enterprise jusqu la version 6 0 Ce type de strat gie est toujours disponible dans la version 7 0 de SafeGuard Management Center afin de prendre en charge les anciens clients utilisant toujours la fonction de Protection de la configuration Param tres autoriser bloquer pour l utilisation des ports et des p riph riques lecteurs multim dias amovibles imprimantes etc Chiffrement de fichiers Param tres pour un chiffrement bas sur fichier sur les lecteurs locaux et les emplacements r seau surtout pour les groupes de travail et les partages r seau 125 SafeGuard Enterprise Dans SafeGuard Management Center les strat gies par d faut sont disponible
132. natifs Vous pouvez retrouver le type d un ordinateur dans l inventaire d un conteneur dans Utilisateurs et ordinateurs La colonne Type de chiffrement vous indique si l ordinateur correspondant est un client BitLocker La gestion centralis e et totalement transparente de BitLocker via SafeGuard Enterprise peut tre utilis e au sein d environnements informatiques h t rog nes SafeGuard Enterprise am liore de mani re consid rable les fonctions BitLocker Les strat gies de s curit de BitLocker peuvent tre appliqu es de mani re centralis e via SafeGuard Enterprise M me des processus critiques comme la gestion et la r cup ration des cl s sont disponibles lorsque BitLocker est g r par l interm diaire de SafeGuard Enterprise Retrouvez plus d informations sur la prise en charge SafeGuard Enterprise de l am lioration BitLocker To Go dans Windows 7 et Windows 8 la section BitLocker To Go la page 179 Chiffrement avec BitLocker g r par SafeGuard Enterprise La prise en charge du Chiffrement de lecteur BitLocker dans SafeGuard Enterprise vous permet de chiffrer les volumes de d marrage ainsi que les volumes non d marrables l aide du chiffrement et des cl s BitLocker De plus toutes les donn es se trouvant par exemple sur les supports amovibles peuvent tre chiffr es avec le chiffrement de fichiers de SafeGuard Enterprise et les cl s SafeGuard Enterprise Il ne s agit pas d une fonction BitLocker mais bien d un
133. ne sont cependant cr s qu apr s une connexion Windows Seuls les utilisateurs connect s Windows peuvent tre authentifi s partir de l authentification au d marrage SafeGuard 101 SafeGuard Enterprise 16 1 1 102 Pour clarifier la mani re dont un utilisateur se connecte SafeGuard Enterprise vous trouverez ci apr s une br ve introduction Retrouvez une description d taill e des proc dures de connexion d authentification au d marrage SafeGuard dans le Manuel d utilisation de SafeGuard Enterprise Connexion automatique de SafeGuard Lors de la premi re connexion la connexion automatique SafeGuard Enterprise s affiche apr s le d marrage de l ordinateur d extr mit Que se passe t il 1 Un utilisateur est connect automatiquement 2 Le client est enregistr automatiquement sur le serveur SafeGuard Enterprise 8 La cl machine est envoy e au serveur SafeGuard Enterprise et stock e dans la base de donn es SafeGuard Enterprise 4 Les strat gies de la machine sont envoy es l ordinateur d extr mit Connexion Windows La bo te de dialogue de connexion de Windows s affiche L utilisateur se connecte Que se passe t il 1 L identifiant utilisateur et un hachage des codes d acc s de l utilisateur sont envoy s au serveur 2 Les strat gies certificats et cl s utilisateur sont cr s et envoy s l ordinateur d extr mit 8 L authentification au d marrage SafeGuard est act
134. noires contenant les fonctions connues pour provoquer des probl mes sont int gr es au fichier msi install sur l ordinateur Nous vous recommandons d installer une version mise jour du fichier de configuration de l authentification au d marrage SafeGuard avant de proc der au d ploiement de SafeGuard Enterprise Ce fichier b n ficie d une mise jour mensuelle et peut tre t l charg depuis l emplacement suivant htip www sophos com fr fr support knowledgebase 65700 aspx Vous pouvez personnaliser ce fichier pour qu il refl te le mat riel d un environnement sp cifique Remarque lorsqu un fichier personnalis est utilis celui ci remplace le fichier int gr au fichier msi Le fichier par d faut s applique uniquement lorsqu aucun fichier de configuration de l authentification au d marrage SafeGuard n est d fini ou trouv Pour installer le fichier de configuration de l authentification au d marrage SafeGuard saisissez la commande suivante MSIEXEC i lt package MSI client gt POACFG lt chemin du fichier de configuration de l authentification au d marrage SafeGuard gt Vous pouvez nous aider am liorer la compatibilit en ex cutant un outil que nous vous fournissons pour recueillir seulement les informations mat rielles correspondantes L outil est tr s simple utiliser Les informations recueillies sont ajout es au fichier de configuration mat rielle Retrouvez plus d informations sur http
135. ordinateur d extr mit prot g par SafeGuard Les informations sont stock es dans un package de configuration de serveur Effectuez cette t che dans SafeGuard Management Center Le flux de travail est diff rent si le serveur SafeGuard Enterprise est install sur le m me ordinateur que SafeGuard Management Center ou sur un ordinateur diff rent Vous pouvez d finir d autres propri t s comme l ajout de responsables de s curit suppl mentaires pour le serveur s lectionn ou la configuration de la connexion la base de donn es Enregistrement et configuration du serveur SafeGuard Enterprise pour l ordinateur en cours d utilisation Au moment de l installation de SafeGuard Management Center et du serveur SafeGuard Enterprise sur l ordinateur sur lequel vous travaillez actuellement enregistrez et configurez le serveur SafeGuard Enterprise Remarque Cette option n est pas disponible si le mode mutualis est activ 1 D marrez SafeGuard Management Center 2 Dans le menu Outils cliquez sur Outil de package de configuration 3 S lectionnez l onglet Serveurs puis Faire de cet ordinateur un serveur SGN 4 S lectionnez l onglet Serveurs puis cliquez sur Options La configuration du serveur SafeGuard Enterprise d marre automatiquement 5 Acceptez les valeurs par d faut dans toutes les bo tes de dialogue suivantes Le serveur SafeGuard Enterprise est enregistr Un package de configuration serveur MSI appe
136. pas n cessaire S lectionnez SSL comme Chiffrement du transport pour la connexion entre l ordinateur d extr mit et le serveur SafeGuard Enterprise Sophos en tant que Chiffrement de transport n est pas pris en charge pour Mac Indiquez un chemin de sortie pour le package de configuration ZIP Cliquez sur Cr er un package de configuration La connexion au serveur pour le mode Chiffrement du transport SSL est valid En cas d chec de la connexion un message d avertissement s affiche Le package de configuration ZIP a t cr dans le r pertoire sp cifi Vous devez maintenant distribuer et d ployer ce package sur vos Macs Retrouvez plus d informations dans les manuels de Sophos SafeGuard Native Device Encryption pour Mac et de Sophos SafeGuard File Encryption pour Mac 16 16 1 Manuel d administration Authentification au d marrage de SafeGuard Remarque cette description concerne les ordinateurs d extr mit Windows 7 sur lesquels est install le chiffrement int gral du disque SafeGuard SafeGuard Enterprise identifie l utilisateur avant m me le d marrage du syst me d exploitation Pour ce faire le noyau du syst me de SafeGuard Enterprise d marre en amont Il est prot g contre toute modification puis il est enregistr et masqu sur le disque dur Lorsque l utilisateur est correctement authentifi dans l authentification au d marrage SafeGuard seul le syst me d exploitation effectif
137. pas connect Windows automatiquement La bo te de dialogue de connexion de Windows s affiche 3 Dans le champ Domaine s lectionnez le domaine lt Authentification au d marrage gt 4 Connectez vous Windows l aide de votre compte utilisateur Windows existant 123 SafeGuard Enterprise 19 8 1 Changement du mot de passe local Si le mot de passe d un utilisateur de l authentification au d marrage a t chang avec F8 le changement n est pas synchronis avec d autres ordinateurs d extr mit L administrateur doit changer de mani re centralis e le mot de passe pour cet utilisateur 124 20 Manuel d administration Param tres de strat gie Les strat gies SafeGuard Enterprise comportent tous les param tres n cessaires pour mettre en uvre une strat gie de s curit l chelle de l entreprise sur les ordinateurs d extr mit Les strat gies de SafeGuard Enterprise peuvent comporter des param tres pour les domaines suivants types de strat gies Param tres g n raux Param tres pour le taux de transfert la personnalisation la r cup ration de connexion les images d arri re plan etc Authentification Param tres de mode de connexion verrouillage de p riph rique etc Code confidentiel D finit la configuration minimale des codes confidentiels utilis s Mots de passe D finit la configuration minimale des mots de passe utilis s Phrase secr te D finit la configuration
138. pas install il peut utiliser la phrase secr te des supports dans SafeGuard Portable Joe peut acc der aux fichiers sp cifiques en saisissant la phrase secr te de la cl JoeCl sans acc der l ensemble des fichiers du support amovible Vous devez d finir les param tres dans une strat gie du type Protection des p riph riques Supports amovibles Mode de chiffrement du support Bas sur fichier Cl utiliser pour le chiffrement Toute cl du jeu de cl s utilisateur Permet l utilisateur de choisir diff rentes cl s pour chiffrer des fichiers de son support amovible Cl d finie pour le chiffrement lt cl de groupe domaine gt par exemple groupe _utilisateurs Bob _Alice DC L utilisateur peut partager des donn es dans son groupe de travail et permettre un autre utilisateur d acc der de mani re transparente au support amovible lorsqu il le connecte son ordinateur professionnel 24 5 Manuel d administration a L utilisateur peut d finir une phrase secr te des supports pour les p riph riques Oui L utilisateur d finit une phrase secr te des supports sur son ordinateur qui s applique tous les supports amovibles a Copier portable SG sur la cible Oui SafeGuard Portable permet l utilisateur d acc der tous les fichiers chiffr s du support amovible en saisissant une phrase secr te des supports unique sur un syst me sur lequel SafeGuard Data Exchange n est pas insta
139. principal de la s curit MSO Le n ud des responsables de la s curit comporte une arborescence dans laquelle chaque n ud repr sente un responsable de la s curit Toutefois cette hi rarchie ne tient pas compte des droits et des r les Condition pr alable pour d placer un responsable de la s curit dans l arborescence vous devez poss der le droit d affichage et de modification de responsables de la s curit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation faites glisser le responsable que vous souhaitez d placer vers le n ud appropri Tous les enfants du responsable s lectionn seront galement d plac s Basculement rapide de responsables de la s curit titre pratique vous pouvez red marrer rapidement SafeGuard Management Center afin de vous connecter sous le nom d un autre responsable 1 Dans SafeGuard Management Center s lectionnez Fichier gt Changer le responsable SafeGuard Management Center red marre et la bo te de dialogue de connexion s affiche 2 S lectionnez le responsable de la s curit que vous souhaitez connecter SafeGuard Management Center puis saisissez son mot de passe Si vous travaillez en mode mutualis Multi Tenancy vous serez connect selon la m me configuration de base de donn es SafeGuard Management Center red marre et la vue attribu e au responsable connect s affiche Suppression
140. propri t s du responsable et du r le 1 Dans SafeGuard Management Center cliquez sur Responsables de la s curit 2 Dans la zone de navigation de gauche cliquez deux fois sur l objet dont vous souhaitez obtenir un aper u 55 SafeGuard Enterprise 11 4 1 11 4 2 11 4 3 11 4 4 11 4 5 11 5 56 Les informations disponibles dans la zone d action droite d pendent de l objet s lectionn Affichage des propri t s du responsable principal de la s curit Les informations g n rales et de modification relatives au responsable principal de la s curit s affichent Affichage des propri t s des responsables de la s curit Les informations g n rales et de modification relatives au responsable de la s curit s affichent 1 Dans Propri t s s lectionnez l onglet Actions afin d afficher un r sum des actions autoris es et des r les attribu s au responsable de la s curit Affichage des droits et des r les des responsables de la s curit Un r sum des actions de tous les r les attribu s au responsable de la s curit s affiche L arborescence affiche les actions n cessaires l ex cution d autres actions Les r les attribu s peuvent galement tre affich s 1 Dans la bo te de dialogue lt Nom du responsable de la s curit gt Propri t s dans l onglet Actions s lectionnez une action pour afficher tous les r les attribu s qui contiennent cette action 2 Clique
141. que si un param tre est pr sent dans les deux strat gies la valeur de la strat gie de la machine remplace celle de la strat gie de l utilisateur Si le regroupement des strat gies individuelles de la machine indique Non configur les conditions suivantes s appliquent Les param tres de l utilisateur deviennent prioritaires sur ceux de la machine TAUX DE TRANSFERT Intervalle de connexion au serveur minutes JOURNALISATION D termine la p riode en minutes apr s laquelle un client SafeGuard Enterprise envoie une demande de strat gie modifications au serveur SafeGuard Enterprise Remarque pour viter qu un grand nombre de clients ne contactent le serveur simultan ment la communication s effectue dans une p riode de 50 de l intervalle de connexion d fini Exemple Si vous avez s lectionn 90 minutes la communication s effectue apr s un intervalle pouvant aller de 45 135 minutes Commentaires apr s un certain nombre d v nements PERSONNALISATION Le syst me de journalisation introduit sous le nom de Win32 Service SGM LogPlayer recueille les entr es du journal g n r es par SafeGuard Enterprise pour la base de donn es centrale et les stocke dans des fichiers journaux locaux Elles sont stock es dans le cache local dans le r pertoire Auditing SGMTransLog Ces fichiers sont transf r s au m canisme de transport qui les envoie ensuite la base de donn
142. r cent est disponible Colonne Explication Affiche le nom distinctif du sujet du certificat d entreprise Affiche le num ro de s rie du certificat d entreprise metteur Affiche le nom distinctif de l metteur du certificat d entreprise Valide compter du Affiche la date et l heure du d but de la validit du certificat d entreprise Valide jusqu au Affiche la date et l heure de l expiration du certificat d entreprise Un certificat d entreprise plus Indique si un certificat d entreprise plus r cent que l actuel de r cent est disponible l ordinateur d extr mit est disponible 32 11 Cr ation de rapports des donn es d inventaire En tant que responsable de la s curit vous pouvez cr er des rapports des donn es d inventaire dans diff rents formats Par exemple vous pouvez cr er des rapports de conformit pour prouver que des ordinateurs d extr mit ont t chiffr s Les rapports peuvent tre imprim s ou export s dans un fichier 32 111 Impression de rapports d inventaire 1 Dans la barre de menus de SafeGuard Management Center cliquez sur Fichier 2 Vous pouvez soit imprimer le rapport directement soit afficher un aper u avant impression 268 Manuel d administration L aper u avant impression fournit plusieurs fonctions par exemple pour la modification de la mise en page en t te et pied de page etc a Pour obtenir un aper u avant impression s lectionnez Imprimer gt A
143. rieure Mode de connexion BitLocker Pour les volumes non d marrables lecteurs de donn es fixes pour volumes non d marrables les options suivantes sont disponibles Auto d verrouiller si le volume de d marrage est chiffr une cl externe est cr e et stock e sur le volume de d marrage Le ou les volumes non d marrables seront ensuite d chiffr s automatiquement lls seront d verrouill s automatiquement l aide de la fonctionnalit Auto d verrouiller de BitLocker L auto d verrouillage fonctionne uniquement si le volume de d marrage est chiffr Autrement c est le mode de connexion de secours qui est utilis Mot de passe l utilisateur est invit saisir son mot de passe pour chaque volume non d marrable Cl de d marrage les cl s de d verrouillage des volumes non d marrables sont stock es sur une cl USB Remarque les clients la version 6 1 ou ant rieure ignorent ce param tre de strat gie et utilisent plut t les valeurs d finies pour le mode de connexion des volumes de d marrage Le module de plate forme s curis e TPM ne peut pas tre utilis sur les volumes non d marrables Une carte m moire USB ou un message d erreur seront utilis s dans ce cas Remarque les mots de passe sont uniquement pris en charge sur Windows 8 ou version sup rieure 136 Param tre de strat gie Manuel d administration Explication Remarque si le mode de connexion de secou
144. rieure un message avec une couleur d arri re plan sp cifique l tat vert valide jaune avertissement rouge erreur et une ic ne indiquent l tat global de la licence quel que soit le domaine ou l UO s lectionn e En cas de message d avertissement ou d erreur les informations sur la restauration d un tat de licence valide sont galement affich es Les ic nes affich es dans l onglet Licences ont les significations suivantes Licence valide 28 6 5 Manuel d administration Avertissement A La licence d un module affiche un tat d avertissement si La limite de la licence est d pass e La licence a expir Erreur XR La licence d un module affiche un tat d erreur si La seuil de tol rance est d pass La licence a expir il y a plus d un mois Pour actualiser l aper u de l tat de la licence cliquez sur Recompter les licences utilis es Importation de fichiers de licence Condition pr alable pour importer un fichier de licence dans la base de donn es SafeGuard Enterprise un responsable de la s curit doit disposer du droit Importer le fichier de licence 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation gauche cliquez sur le n ud racine le domaine ou l unit organisationnelle 3 Dans la zone d action changez pour l onglet Licences 4 Cliquez sur le bouton Importer le fichier de li
145. s La zone Filtre de l Observateur d v nements offre les champs suivants pour la d finition des filtres Champ Description Cat gories Gr ce ce champ vous pouvez filtrer l Observateur d v nements en fonction de la classification source par exemple Chiffrement Authentification Syst me affich e dans la colonne Cat gorie 274 Manuel d administration Description S lectionnez les cat gories souhait es dans la liste d roulante du champ Niveau d erreur Gr ce ce champ vous pouvez filtrer l Observateur d v nements en fonction de la classification des v nements Windows par exemple avertissement erreur indiqu e dans la colonne Niveau S lectionnez les niveaux souhait s dans la liste d roulante du champ Afficher dernier Dans ce champ vous pouvez d finir le nombre d v nements afficher Les derniers v nements journalis s sont affich s par d faut les 100 derniers v nements Vous pouvez galement cr er des filtres personnalis s l aide de l diteur de filtres Vous pouvez afficher l diteur de filtres dans le menu contextuel des colonnes d un rapport Dans la fen tre G n rateur de filtres vous pouvez d finir des filtres et les appliquer la colonne concern e 33 6 Rapport d acc s aux fichiers sur Les supports amovibles et dans le stockage Cloud Pour SafeGuard Data Exchange et SafeGuard Cloud Storage vous pouvez suivre le nombre de fichiers qui sont
146. session ne fournit pas une protection suffisante Arr tez vos ordinateurs ou mettez les en hibernation L authentification au d marrage SafeGuard est toujours activ e jusqu la prochaine utilisation de l ordinateur Ce dernier est ainsi totalement prot g Remarque il est important que le fichier de mise en veille prolong e soit sur le volume chiffr G n ralement il se trouve sur C Vous pouvez configurer les param tres d alimentation appropri s de mani re centralis e l aide d Objets de strat gie de groupe ou localement via la bo te de dialogue Options d alimentation du Panneau de configuration de l ordinateur D finissez l action du bouton Veille sur Mettre en veille prolong e ou Arr ter Mettez en place d une strat gie de mot de passe forte Mettez en place une strat gie de mot de passe forte et imposez des changements de mot de passe intervalles r guliers surtout pour la connexion l ordinateur d extr mit Les mots de passe ne doivent tre partag s avec quiconque ni crits Formez vos utilisateurs pour choisir des mots de passe forts Un mot de passe fort suit les r gles suivantes est assez long pour tre s r il est conseill d utiliser au moins 10 caract res a contient un m lange de lettres majuscules et minuscules ainsi que des caract res sp ciaux ou des symboles 11 SafeGuard Enterprise 12 ne contient pas de mot ou de nom fr quemment utilis a
147. sous la forme d un n ud secondaire de Images dans la zone de navigation de strat gie Si vous s lectionnez l image elle s affiche dans la zone d action L image peut d sormais tre s lectionn e lors de la cr ation de strat gies R p tez la proc dure pour enregistrer d autres images Toutes les images enregistr es s affichent sous la forme de n uds secondaires Remarque vous pouvez utiliser le bouton Modifier l image pour changer l image attribu e Texte d informations d fini par l utilisateur dans l authentification au d marrage SafeGuard Vous pouvez personnaliser l authentification au d marrage SafeGuard en affichant les textes d informations d finis par l utilisateur Texte d informations affich lors du lancement d une proc dure Challenge R ponse pour la r cup ration de connexion par exemple Contactez le bureau de support en appelant au 01234 56789 Vous pouvez d finir un texte d informations en utilisant l option Textes dans une strat gie de type Param tres g n raux Mentions l gales affich es apr s la connexion l authentification au d marrage SafeGuard Vous pouvez d finir le texte de la mention l gale en utilisant l option Afficher la mention l gale dans la strat gie de type Param tres de machine sp cifiques Texte d informations suppl mentaires affich apr s la connexion l authentification au d marrage SafeGuard Vous pouvez d finir un texte d informations suppl
148. suite au red marrage de l ordinateur d extr mit Chiffrement de lecteur BitLocker Le Chiffrement de lecteur BitLocker est une fonction de chiffrement de disque complet avec authentification pr alable au d marrage incluse dans les syst mes d exploitation Microsoft Windows Elle est con ue pour prot ger les donn es en permettant le chiffrement des volumes de d marrage et de donn es Pour Windows 8 et version sup rieure seul le Chiffrement de lecteur BitLocker et non le chiffrement int gral du disque SafeGuard peut tre utilis pour le chiffrement int gral du disque SafeGuard Enterprise g re le chiffrement BitLocker sur un ordinateur Le chiffrement BitLocker peut tre activ et la gestion des lecteurs d j chiffr s par BitLocker peut tre prise en charge Pendant l installation sur l ordinateur d extr mit et pendant le premier red marrage SafeGuard Enterprise d termine si le mat riel satisfait aux conditions requises pour BitLocker avec le Challenge R ponse SafeGuard S il ne satisfait pas aux conditions la gestion de SafeGuard Enterprise BitLocker s effectue sans Challenge R ponse Dans ce cas la cl de r cup ration BitLocker peut tre r cup r e l aide de SafeGuard Management Center Authentification avec le Chiffrement de lecteur BitLocker Le Chiffrement de lecteur BitLocker offre diff rentes options d authentification pour les volumes de d marrage et pour les volumes non d marrables Le res
149. sur Suivant 6 Un code de r ponse est g n r Communiquez le l utilisateur Une aide l pellation est fournie Vous pouvez galement copier le code de r ponse dans le Presse papiers L utilisateur peut saisir le code de r ponse ex cuter l action requise puis reprendre son travail 29a 29 3 1 Manuel d administration R cup ration pour BitLocker Selon le syst me utilis SafeGuard Enterprise offre une proc dure Challenge R ponse pour la r cup ration ou la possibilit d obtenir une cl de r cup ration de la part du support Retrouvez plus d informations sur la configuration requise du Challenge R ponse SafeGuard Enterprise la section Conditions pr alables la gestion de BitLocker sur les ordinateurs d extr mit la page 173 R ponse pour les clients SafeGuard Enterprise chiffr s BitLocker ordinateurs d extr mit UEFI Pour les ordinateurs d extr mit UEFI satisfaisant certaines conditions requises SafeGuard Enterprise offre la proc dure Challenge R ponse pour la r cup ration Sur les ordinateurs d extr mit UEFI qui ne remplissent pas ces conditions requises la gestion SafeGuard BitLocker sans proc dure Challenge R ponse est install e automatiquement Retrouvez plus d informations sur la r cup ration de ces ordinateurs d extr mit la section Cl de r cup ration pour les clients SafeGuard Enterprise chiffr s par BitLocker ordinateurs d extr mit BIOS la page
150. sur l ordinateur d extr mit le mode de chiffrement s lectionn dans la strat gie s applique Protection des p riph riques Les strat gies du type Protection des p riph riques couvrent les param tres pour le chiffrement des donn es sur diff rents p riph riques de stockage des donn es Le chiffrement peut tre bas sur volume ou sur fichier avec des cl s et des algorithmes diff rents Les strat gies de type Protection des p riph riques incluent galement des param tres pour SafeGuard Data Exchange SafeGuard Cloud Storage et SafeGuard Portable Retrouvez plus d informations sur SafeGuard Data Exchange la section SafeGuard Data Exchange la page 195 Retrouvez plus d informations sur SafeGuard Cloud Storage la section Cloud Storage la page 205 Retrouvez plus d informations sur SafeGuard Data Exchange SafeGuard Cloud Storage et SafeGuard Portable sur l ordinateur d extr mit dans leManuel d utilisation de SafeGuard Enterprise Lors de la cr ation d une strat gie de protection des p riph riques vous devez d abord sp cifier la cible de la protection du p riph rique Les cibles possibles sont les suivantes a Stockage de masse volumes de d marrage autres volumes m Supports amovibles Lecteurs optiques Mod les de p riph riques de stockage a P riph riques de stockage distincts a D finitions Cloud Storage Pour chaque cible cr ez une strat gie distincte Remarque supports amovibles
151. tout moment une authentification responsable des r les pr d finis Superviseur Les responsables supervision peuvent acc der leurs propres n uds dans la zone Responsables de la s curit De m me ils sont autoris s g rer les responsables de la s curit inclus dans leurs n uds respectifs Responsable de la s curit Les responsables de la s curit poss dent des droits tendus notamment sur la configuration de SafeGuard Enterprise la gestion des strat gies et des cl s ainsi que sur les autorisations relatives au contr le et la r cup ration Responsable du support Les responsables du support ont le droit d effectuer des actions de r cup ration Ils peuvent galement afficher la plupart des zones de fonctions de SafeGuard Management Center Responsable de l audit Pour contr le SafeGuard Enterprise les responsables d audit peuvent afficher la plupart des zones de fonctions de SafeGuard Management Center Responsable de la r cup ration Les responsables de la r cup ration ont le droit de r parer la base de donn es SafeGuard Enterprise 53 SafeGuard Enterprise 11 1 3 11 1 4 11 2 54 R les personnalis s En tant que responsable de la s curit poss dant les droits n cessaires vous pouvez d finir de nouveaux r les partir d une liste d actions de droits puis les attribuer un responsable de la s curit existant ou nouveau De m me qu avec les r les pr d finis
152. tre valid e et BitLocker va donc tre ex cut en mode h rit Le package de configuration client n a pas encore t install 0x00BEB203 0x80280006 12497411 2144862202 La version UEFI n est pas prise en charge et BitLocker va donc tre ex cut en mode h rit La configuration minimum requise est 2 3 1 Module de plate forme s curis e inactif 0x80280007 0x80280014 2144862201 2144862188 Module de plate forme s curis e d sactiv Le module de plate forme s curis e a d j un propri taire 0x80310037 0x8031005B 2144272329 2144272293 Le param tre de strat gie de groupe qui exige la compatibilit FIPS emp che la g n ration du mot de passe de r cup ration locale et son criture sur le fichier de sauvegarde de la cl Le chiffrement va tout de m me se poursuivre La strat gie de groupe pour la m thode d authentification sp cifi e n est pas d finie Veuillez activer la strat gie de groupe Demander une authentification suppl mentaire au d marrage 327 SafeGuard Enterprise 328 0x8031005E 2144272290 La strat gie de groupe pour le chiffrement sans module de plate forme s curis e n est pas d finie Veuillez activer la strat gie de groupe Demander une authentification suppl mentaire au d marrage et s lectionner la case Autoriser BitLocker sans un module de plateforme s curis e compatible 0x80280000 0x803100C
153. un emplacement de fichier accessible pour le support Les fichiers peuvent galement tre fournis au support l aide de diff rents m canismes Ce fichier est chiffr par le certificat d entreprise Il peut donc tre enregistr sur un support externe ou sur le r seau pour tre fourni au support technique des fins de r cup ration peut galement tre envoy par e mail Indiquez un chemin de sortie pour le package de configuration MSI 10 Cliquez sur Cr er un package de configuration Le package de configuration MSI a t cr dans le r pertoire sp cifi Vous devez maintenant distribuer et d ployer ce package sur les ordinateurs d extr mit 99 SafeGuard Enterprise 15 3 Cr ation d un package de configuration pour Les Macs 100 Un package de configuration pour un Mac contient les informations sur le serveur et le certificat d entreprise Le Mac utilise ces informations pour signaler les informations d tat authentification au d marrage SafeGuard active inactive tat de chiffrement Les informations d tat apparaissent dans SafeGuard Management Center 1 O AON Dans le menu Outils de SafeGuard Management Center cliquez sur Outil de package de configuration S lectionnez Packages du client administr Cliquez sur Ajouter un package de configuration Donnez un nom au package de configuration Attribuez un serveur SafeGuard Enterprise principal le serveur secondaire n est
154. utilisant les commandes fournies pour garantir la protection maximale de l ordinateur d extr mit malgr la d sactivation de l authentification au d marrage SafeGuard Remarque la d sactivation de l authentification au d marrage SafeGuard m me pour un nombre limit de processus de d marrage r duit le niveau de s curit de votre syst me D finissez les param tres de l veil par appel r seau WOL dans une strat gie du type Param tres de machine sp cifiques Exemple d veil par appel r seau s curis L quipe de d ploiement des logiciels informe le responsable de la s curit SafeGuard Enterprise d un d ploiement de logiciels pr vu pour le 25 septembre 2014 entre 03 00 et 06 00 heures du matin Deux red marrages sont requis L agent local en charge du d ploiement des logiciels doit tre en mesure de se connecter Windows Dans SafeGuard Management Center le responsable de la s curit cr e une strat gie du type Param tres de machine sp cifiques avec les param tres suivants et l attribue aux ordinateurs d extr mit souhait s Param tre de strat gie Valeur Nombre de connexions automatiques 0 pas de WOL Autoriser la connexion Windows pendant le WOL D but de la tranche horaire pour le lancement du 24 sept 2014 12 00 WOL externe Fin de la tranche horaire pour le lancement du WOL 25 sept 2014 06 00 externe Retrouvez plus d informations sur les param tres indivi
155. utilisateurs et d ordinateurs vous avez besoin au moins de droits d acc s en Lecture seule pour l un des objets groupe d utilisateurs ou d ordinateurs en question Pour d finir ou changer l attribution vous avez besoin des droits d Acc s complet pour les deux objets en question L affichage AUM montrant les utilisateurs machines disponibles est filtr en fonction de vos droits d acc s 215 SafeGuard Enterprise 216 Remarque vous pouvez attribuer des utilisateurs individuels un ordinateur ou r ciproquement en utilisant le m me processus que pour les groupes 1 2 3 Cliquez sur Utilisateurs et ordinateurs Pour attribuer un groupe d ordinateurs un utilisateur unique s lectionnez ce dernier Cliquez sur l onglet Ordinateur dans la zone d action Tous les ordinateurs et groupes d ordinateurs sont affich s sous Ordinateurs disponibles Faites glisser les groupes s lectionn s de la liste des Groupes disponibles jusqu la zone d activation Une bo te de dialogue s affiche demandant si l utilisateur doit tre le propri taire de tous les ordinateurs S il n y a pas de propri taire sp cifique dans SafeGuard Management Center le premier utilisateur se connecter cet ordinateur est automatiquement entr en tant que propri taire Cet utilisateur peut autoriser d autres utilisateurs acc der cet ordinateur La condition est que l utilisateur Peut devenir propri taire a Si vous r pondez Oui le
156. verrouiller leurs ordinateurs les utilisateurs doivent lancer une proc dure Challenge R ponse Enregistrement d utilisateurs SafeGuard Enterprise suppl mentaires Le premier utilisateur se connecter Windows est enregistr automatiquement dans l authentification au d marrage SafeGuard Au d part aucun autre utilisateur Windows ne peut se connecter l authentification au d marrage SafeGuard Les autres utilisateurs doivent tre import s avec l aide du premier Retrouvez une description d taill e de l importation d autres utilisateurs dans le Manuel d utilisation de SafeGuard Enterprise Un param tre de strat gie sp cifie qui est autoris importer un nouvel utilisateur Vous pouvez trouver cette strat gie dans SafeGuard Management Center sous l ments de strat gie Type Param tres de machine sp cifiques Champ Autoriser l enregistrement de nouveaux utilisateurs SGN pour Param tre par d faut Propri taire Le propri taire d un ordinateur d extr mit est sp cifi dans SafeGuard Management Center sous Utilisateurs et ordinateurs S lectionnez lt nom de l ordinateur d extr mit Onglet Utilisateurs Types d utilisateur Il existe diff rents types d utilisateur dans SafeGuard Enterprise Retrouvez plus d informations sur la mani re de changer le comportement par d faut de ces types d utilisateur la section Param tres de strat gie la page 125 Propri taire le prem
157. 1 SafeGuard Enterprise ne prend pas en charge OneDrive pour les utilisateurs locaux OneDrive Entreprise 208 Application de synchronisation Dossiers de synchronisation Pour les applications de synchronisation le chemin pleinement qualifi de l application de synchronisation utilis e par le logiciel OneDrive Pour les dossiers de synchronisation le chemin pleinement qualifi du dossier de synchronisation utilis par le logiciel OneDrive Remarque OneDrive Entreprise prend uniquement en charge le stockage des fichiers chiffr s dans les dossiers locaux et leur synchronisation dans le Cloud Le stockage des fichiers chiffr s partir des applications Microsoft Office 2013 Fournisseur SkyDrive Manuel d administration Espace r serv Utilisable dans Le param tre R sultat Se directement dans le Cloud OneDrive Entreprise ou sur le serveur SharePoint n est pas pris en charge Ces fichiers ne sont pas chiffr s et sont stock s dans le Cloud Les fichiers chiffr s par SafeGuard Enterprise dans le Cloud OneDrive Entreprise ne peuvent pas tre ouverts par Microsoft Office 365 lt SkyDrive gt Application de Pour les applications de synchronisation Dossiers synchronisation le de synchronisation chemin pleinement qualifi de l application de synchronisation utilis e par le logiciel OneDrive Pour les dossiers de synchronisation le chemin pleinement qualifi du dossier de synchr
158. 2 14 9 3 14 9 4 14 9 5 14 9 6 92 affect aux r les pr d finis de responsable principal de la s curit et de responsable de la s curit mais il peut aussi tre affect de nouveaux r les d finis par l utilisateur R gles d attribution et d analyse des strat gies La gestion et l analyse des strat gies s effectuent selon les r gles d crites dans cette section Attribution et activation des strat gies Pour activer une strat gie devant tre mise en uvre pour un utilisateur ou un ordinateur vous devez d abord l attribuer un objet conteneur n uds racine domaine UO conteneur int gr ou groupe de travail Pour que la strat gie attribu e un utilisateur ou un ordinateur devienne effective lorsque vous attribuez une strat gie un point quelconque de la hi rarchie tous les ordinateurs ordinateurs authentifi s et tous les utilisateurs utilisateurs authentifi s sont activ s automatiquement l attribution sans activation ne suffit pas Tous les utilisateurs et tous les ordinateurs sont combin s dans ces groupes H ritage de strat gie Les strat gies ne peuvent tre transmises qu entre objets conteneurs Les strat gies peuvent tre activ es au sein d un conteneur supposer qu il ne contienne aucun autre objet conteneur au niveau du groupe L h ritage entre groupes est impossible Hi rarchie d h ritage de strat gie Lorsque des strat gies sont attribu es le long d une c
159. 674210307 Utilisateur introuvable 3758096385 Le mot de passe ne contient pas assez de lettres 3758096386 Le mot de passe ne contient pas assez de chiffres 3758096387 Le mot de passe ne contient pas assez de caract res sp ciaux 3758096388 Le mot de passe est identique au nom d utilisateur 3758096389 Le mot de passe contient des caract res cons cutifs 3758096390 Le mot de passe ressemble trop au nom d utilisateur 3758096391 Le mot de passe figure dans la liste des mots de passe interdits 3758096392 Le mot de passe ressemble trop l ancien mot de passe 3758096393 Le mot de passe comporte une s quence clavier de plus de deux caract res 3758096394 Le mot de passe comporte une colonne clavier de plus de deux caract res 3758096395 Le mot de passe n est pas encore valide 3758096396 Un mot de passe a expir 3758096397 La p riode de validit minimum du mot de passe n est pas expir e 3758096398 La p riode de validit maximum du mot de passe est expir e 3758096399 Les informations concernant un changement de mot de passe imminent doivent tre affich es 3758096400 Doit tre chang lors de la premi re connexion 325 SafeGuard Enterprise 38 2 326 Identifiant de l erreur 3758096401 Affichage Le mot de passe a t trouv dans l historique 3758096402 4026531840 Erreur lors de la v r
160. ACPI APIC est utilis 0 aucun support ACPI APIC d faut 1 support ACPI APIC activ 110 Manuel d administration 16 6 Authentification au d marrage SafeGuard d sactiv e et Lenovo Rescue and Recovery Si l authentification au d marrage SafeGuard est d sactiv e sur l ordinateur l authentification Rescue and Recovery doit tre activ e pour la protection contre l acc s aux fichiers chiffr s partir de l environnement Rescue and Recovery Retrouvez plus d informations sur l activation de l authentification Rescue and Recovery dans la documentation Lenovo Rescue and Recovery 111 SafeGuard Enterprise 17 Acc s administratif aux ordinateurs d extr mit Windows Remarque les descriptions suivantes se rapportent aux ordinateurs d extr mit Windows prot g s par SafeGuard Enterprise l aide de l authentification au d marrage SafeGuard SafeGuard Enterprise utilise deux types de comptes pour permettre aux utilisateurs de se connecter aux ordinateurs d extr mit et d ex cuter des t ches administratives apr s l installation de SafeGuard Enterprise Comptes de service pour la connexion Windows Gr ce aux comptes de service les utilisateurs peuvent se connecter connexion Windows aux ordinateurs d extr mit apr s l installation de SafeGuard Enterprise sans avoir activer l authentification au d marrage SafeGuard et sans tre ajout s en tant qu utilisateurs sur les ordinateurs Les listes d
161. Assurez vous qu une lettre a t attribu e tous les lecteurs Seuls les lecteurs auxquels une lettre a t attribu e sont pris en compte pour le chiffrement d chiffrement du disque Les lecteurs sans lettre sont susceptibles d entra ner des fuites de donn es confidentielles en texte brut Pour carter ce type de menace ne permettez pas aux utilisateurs de changer les attributions de lettres au lecteur D finissez leurs droits utilisateurs en cons quence Les utilisateurs standard de Windows n ont pas ce droit par d faut Appliquez un chiffrement initial rapide avec pr caution SafeGuard Enterprise propose le chiffrement initial rapide pour r duire le temps du chiffrement initial des volumes en acc dant seulement l espace v ritablement utilis Ce mode conduit un tat moins s curis si un volume a t utilis avant son chiffrement avec SafeGuard Enterprise cause de leur architecture les SSD Solid State Disks sont plus affect s que les disques durs standard Ce mode est d sactiv par d faut Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 113334 aspx Utilisez seulement l algorithme AES 256 pour le chiffrement des donn es a Utilisez SSL TLS SSL version 3 ou sup rieure pour la protection de la communication client serveur Retrouvez plus d informations dans le Guide d installation de SafeGuard Enterprise Emp chez toute d sinstallation Manuel d a
162. BitLocker qui inclut le TPM TPM TPM PIN ou TPM Cl de d marrage l activation du TPM s effectue automatiquement Le TPM Module de plate forme s curis e est un p riph rique mat riel utilis par BitLocker pour stocker ses cl s de chiffrement Les cl s ne sont pas stock es sur le disque dur de l ordinateur Le module TPM doit tre accessible par le BIOS au cours du d marrage Lorsque l utilisateur d marre son ordinateur BitLocker r cup re ces cl s automatiquement partir du TPM Ordinateurs d extr mit sans TPM Si un ordinateur d extr mit n est pas quip d un TPM une cl de d marrage BitLocker sous Windows 8 ou version sup rieure ou un mot de passe peut tre utilis comme mode de connexion Une cl de d marrage BitLocker peut tre cr e l aide d une carte m moire USB pour stocker les cl s de chiffrement L utilisateur doit ins rer la carte m moire chaque d marrage de l ordinateur Lorsque SafeGuard Enterprise active BitLocker les utilisateurs sont invit s proc der l enregistrement de la cl de d marrage BitLocker Une bo te de dialogue affiche les lecteurs cible valides dans lesquels vous pouvez stocker la cl de d marrage Remarque pour les volumes de d marrage il est essentiel que vous disposiez de la cl de d marrage lorsque vous allumez votre ordinateur La cl de d marrage peut donc uniquement tre stock e sur des supports amovibles Pour les volumes de donn
163. Dans la zone de navigation s lectionnez l utilisateur requis 3 Dans l onglet Cl cliquez avec le bouton droit de la souris sur la Cl personnelle active requise et s lectionnez R trograder la cl personnelle dans le menu contextuel La cl est r trograd e C est encore une cl personnelle mais elle ne peut plus tre utilis e comme cl personnelle active Si une r gle File Encryption d finit une cl personnelle utiliser pour le chiffrement et si l utilisateur n a pas encore de cl personnelle active le serveur SafeGuard Enterprise la cr e automatiquement Certificats Un seul certificat peut tre affect par utilisateur Si ce certificat utilisateur est stock sur un token les utilisateurs peuvent donc utiliser ce token token cryptographique Kerberos pour se connecter leur ordinateur d extr mit Notez que lors de l importation d un certificat utilisateur la section publique et la section priv e de ce certificat sont import es toutes les deux Si uniquement la partie publique est import e seule l authentification par token est prise en charge La combinaison des certificats AC et de la CRL Certificate Revocation List liste de r vocation des certificats doit correspondre Dans le cas contraire les utilisateurs ne peuvent pas se connecter leurs ordinateurs respectifs V rifiez que la combinaison est correcte SafeGuard Enterprise n effectue pas cette v rification Sides certificats de l
164. F 2144862208 2144272177 Veuillez consulter les Codes d erreur COM TPM PLA FVE de Microsoft Manuel d administration 39 Support technique Vous b n ficiez du support technique des produits Sophos de l une des mani res suivantes Rendez vous sur le forum de la communaut SophosTalk en anglais sur community sophos com et recherchez d autres utilisateurs rencontrant le m me probl me que le v tre Rendez vous sur la base de connaissances du support de Sophos sur www sophos com fr fr support aspx T l chargez la documentation des produits sur www sophos com fr fr support documentation a Ouvrez un incident support sur https secure2 sophos com fr fr support contact support support query aspx 329 SafeGuard Enterprise 40 Mentions l gales 330 Copyright 1996 2014 Sophos Limited Tous droits r serv s SafeGuard est une marque d pos e de Sophos Limited et de Sophos Group Aucune partie de cette publication ne peut tre reproduite stock e dans un syst me de recherche documentaire ou transmise sous quelque forme ou par quelque moyen que ce soit lectronique m canique photocopie enregistrement ou autre sauf si vous poss dez une licence valide auquel cas vous pouvez reproduire la documentation conform ment aux termes de cette licence ou si vous avez le consentement pr alable crit du propri taire du copyright Sophos Sophos Anti Virus et SafeGuard sont des marques d
165. Imprimer Connexion des v nements journalis s Les v nements destin s la base de donn es centrale sont journalis s dans le tableau EVENT de la base de donn es de SafeGuard Enterprise Une protection d int grit sp cifique peut tre appliqu e ce tableau Les v nements peuvent tre journalis s sous forme de liste connect e dans le tableau EVENT En raison de la connexion chaque entr e de la liste d pend de l entr e pr c dente Si une entr e est supprim e de la liste ceci appara t clairement et peut tre v rifi l aide d une v rification de l int grit Pour optimiser les performances la connexion des v nements dans le tableau EVENT est d sactiv e par d faut Vous pouvez activer la connexion des v nements journalis s pour v rifier l int grit Retrouvez plus d informations la section V rification de l int grit des v nements journalis s la page 278 Remarque la protection d int grit ne s applique pas au tableau EVENT lorsque la connexion des v nements journalis s est d sactiv e Remarque un trop grand nombre d v nements peut entra ner des probl mes de performances Retrouvez plus d informations sur la mani re d viter ces probl mes de performances lors du nettoyage des v nements la section Nettoyage d v nement planifi par script la page 279 Activation de la connexion des v nements journalis s 1 Arr tez le service Web SGNSRYV sur le se
166. Les actions sont tri es par zone de fonctions et dispos es de mani re hi rarchique Cette structure permet de visualiser les actions n cessaires l ex cution d autres actions Authentification d un responsable suppl mentaire L authentification d un responsable suppl mentaire galement appel e r gle des deux personnes peut tre attribu e des actions sp cifiques d un r le Cela signifie que l utilisateur de ce r le n est autoris effectuer qu une certaine action si un utilisateur d un autre r le est pr sent et le confirme chaque fois qu un utilisateur effectue cette action un autre utilisateur doit la confirmer Vous pouvez attribuer une authentification suppl mentaire indiff remment des r les pr d finis ou personnalis s D s qu un autre responsable a le m me r le le r le personnalis peut galement tre s lectionn Le r le consistant effectuer l autorisation suppl mentaire doit tre pr alablement attribu un utilisateur De plus la base de donn es SafeGuard Enterprise doit compter au moins deux responsables de la s curit Lorsqu une action requiert une authentification suppl mentaire celle ci est n cessaire m me si l utilisateur d tient un autre r le ne n cessitant pas d authentification suppl mentaire pour la m me action Si un responsable cr e un r le alors qu il ne poss de pas le droit de modification de l authentification suppl mentaire les param tres relatifs
167. O Pour permettre d autres responsables de la s curit de cr er des ordres de changement du certificat d entreprise le Responsable principal de la s curit doit cr er un r le personnalis et attribuer le droit G rer les CCO ce r le Renouvellement du certificat d entreprise Un certificat d entreprise sur le point d expirer peut tre renouvel dans SafeGuard Management Center la connexion SafeGuard Management Center commence afficher un avertissement six mois avant l expiration du certificat d entreprise Sans certificat d entreprise valide un ordinateur d extr mit ne peut pas se connecter au serveur Le renouvellement du certificat d entreprise comprend trois tapes Cr ation d un ordre de changement du certificat CCO Certificate Change Order Cr ation d un package de configuration contenant le CCO Red marrage des serveurs et distribution et d ploiement des packages de configuration sur les ordinateurs d extr mit Pour renouveler un certificat d entreprise 1 2 3 Dans la barre de menus de SafeGuard Management Center s lectionnez Outils gt Options S lectionnez l onglet Certificats et cliquez sur Mettre jour dans la section Demander Dans la bo te de dialogue Mettre jour le certificat d entreprise saisissez un nom de CCO et indiquez un chemin de sauvegarde Saisissez un mot de passe pour le fichier P12 et retapez le En option saisissez un commentaire et cliquez sur Cr er
168. Ordinateur local Configuration ordinateur Mod les d administration Composants Windows Chiffrement de lecteur BitLocker Lecteur du syst me d exploitation Pour utiliser la m thode Cl de d marrage veuillez galement activer Autoriser BitLocker sans un module de plateforme s curis e compatible dans la Strat gie de groupe 135 SafeGuard Enterprise Param tre de strat gie Explication Remarque si le mode de connexion de secours est activ sur le syst me le mode de connexion d fini ici ne sera pas appliqu Mode de connexion de secours S il est impossible d utiliser le param tre Mode de connexion BitLocker pour volumes de BitLocker pour les volumes de d marrage SafeGuard d marrage Enterprise offre les alternatives de connexion suivantes Mot de passe L utilisateur doit saisir un mot de passe Cl de d marrage la cl de connexion est stock e sur une carte m moire USB Mot de passe ou cl de d marrage les cartes m moire USB seront uniquement utilis es si les mots de passe sont pris en charge sur le syst me d exploitation client Erreur un message d erreur s affiche et le volume n est pas chiffr Remarque pour les clients la version 6 1 ou ant rieure les valeurs Mot de passe ou cl de d marrage et Mot de passe seront reli s aux anciens param tres Carte m moire USB et Erreur Remarque les mots de passe sont uniquement pris en charge sur Windows 8 ou version sup
169. SL dans le Guide d installation de SafeGuard Enterprise 12 Indiquez un chemin de sortie pour le package de configuration MSI 13 Cliquez sur Cr er un package de configuration Si vous avez s lectionnez le chiffrement SSL en tant que mode de Chiffrement du transport la connexion au serveur est valid e En cas d chec de la connexion un message d avertissement s affiche Le package de configuration MSI a t cr dans le r pertoire sp cifi Assurez vous de red marrer tous les serveurs SGN Vous devez maintenant distribuer et d ployer ce package sur les ordinateurs d extr mit administr s par SafeGuard Enterprise Remplacement du certificat d entreprise Le remplacement du certificat d entreprise est n cessaire lorsque vous voulez d placer un ordinateur d extr mit d un environnement autonome un autre diff rent L ordinateur d extr mit d placer doit avoir le certificat d entreprise de l environnement dans lequel il va tre d plac Sinon l ordinateur d extr mit n accepte pas les strat gies du nouvel environnement Les t ches requises pour remplacer le certificat d entreprise peuvent tre ex cut es dans SafeGuard Management Center et dans SafeGuard Policy Editor Dans la description suivante le terme outil d administration signifie la fois SafeGuard Management Center et SafeGuard Policy Editor car le remplacement du certificat d entreprise est identique dans les deux cas Les
170. SOPHOS Security made simple SateGuard Enterprise Manuel d administration Version du produit 7 Date du document d cembre 2014 Table des mati res 1 propos de SafeGuard Enterprise 7 0 9 2 Bon usage en mati re de s curit sessessieeseeessesenesresstssstnssnnsnnnstnnntnnnennnnnnnnnnnne 11 3 propos de SafeGuard Management Center 14 4 Connexion SafeGuard Management Center 15 4 1 Avertissement l expiration du certificat d entreprise 15 4 2 Connexion en mode ind pendant 15 4 3 Connexion en mode mutualis trrnssst rr nnnrt nnr nnne nnn nn nenen nnen 16 4 4 Interface utilisateur de SafeGuard Management Center 16 4 5 Param tres de langue 18 5 Configuration de SafeGuard Management Center 19 5 1 Conditions pr alables 19 5 2 Configurations mutualis es 19 5 3 Configuration initiale de SafeGuard Management Center 20 5 4 Configuration de la connexion au serveur de base de donn es 20 5 5 Cr ation ou s lection d une base de donn es 21 5 6 Cr ation du responsable principal de la s curit 21 5 7 Cr ation du certificat d entreprise 23 5 8 Configuration initiale compl te de SafeGuard Management Center 23 5 9 Cr ation de configurations de base de donn es suppl mentaires M TUAlIS ES 25 nee AM a E etes d rte renier stone sac 24 5 10 Configuration des
171. Syst me a Chiffrement a Client Contr le d acc s a Pour SafeGuard Data Exchange vous pouvez avoir un suivi des fichiers acc d s sur les supports amovibles en journalisant les v nements correspondants Retrouvez plus d informations sur ce type de rapport la section Rapport d acc s aux fichiers sur les supports amovibles et dans le stockage Cloud la page 275 Pour SafeGuard Cloud Storage vous pouvez avoir un suivi des fichiers acc d s dans le stockage Cloud en journalisant les v nements correspondants Retrouvez plus d informations sur ce type de rapport la section Rapport d acc s aux fichiers sur les supports amovibles et dans le stockage Cloud la page 275 33 1 33 1 1 3312 Do Sue Manuel d administration Sc narios d application Les fonctionnalit s de journalisation de SafeGuard Enterprise constituent une solution conviviale et compl te pour l enregistrement et l analyse des v nements Les exemples suivants illustrent des sc narios d application types des Rapports de SafeGuard Enterprise Contr le centralis des ordinateurs d extr mit d un r seau Le responsable de la s curit souhaite tre r guli rement inform des v nements critiques acc s non autoris aux donn es nombre d checs de tentatives de connexion sur une p riode sp cifi e par exemple Gr ce une strat gie de journalisation le responsable de la s curit peut configurer la journalisation dans un
172. _utilisateurs Bob Alice DC pour s assurer qu ils partagent la m me cl Si les strat gies de l entreprise stipulent galement que tous les fichiers des supports amovibles doivent toujours tre chiffr s ajoutez les param tres suivants Chiffrement initial de tous les fichiers Oui V rifie que les fichiers des supports amovibles sont chiffr s lors de la premi re connexion du support au syst me L utilisateur peut annuler le chiffrement initial Non L utilisateur ne peut pas annuler le chiffrement initial pour le diff rer par exemple L utilisateur n est pas autoris acc der aux fichiers non chiffr s Non 197 SafeGuard Enterprise 24 4 2 198 Si des fichiers au format brut sont d tect s sur les supports amovible leur acc s est refus L utilisateur peut d chiffrer des fichiers Non L utilisateur n est pas autoris d chiffrer des fichiers de supports amovibles Copier portable SG sur la cible Non SafeGuard Portable n est pas n cessaire tant que les donn es de supports amovibles sont partag es dans un groupe de travail SafeGuard Portable permet galement d autoriser le d chiffrement de fichiers sur des ordinateurs sur lesquels SafeGuard Enterprise n est pas install Les utilisateurs peuvent partager des donn es en changeant simplement leurs p riph riques Lorsqu ils connectent les p riph riques leurs ordinateurs ils acc dent en toute transparence aux fichie
173. a bo te de dialogue Attribution d une nouvelle cl a Saisissez une description pour la cl personnelle b Pour cacher la cl personnelle dans le jeu de cl s de l utilisateur s lectionnez Masquer la cl 5 Selon que vous cr ez une cl personnelle pour un utilisateur qui n a pas encore de cl personnelle active ou pour un utilisateur qui en a une la bo te de dialogue Attribution d une nouvelle cl affiche des cases cocher diff rentes S lectionnez la case cocher affich e pour d finir la cl nouvellement cr e comme une cl personnelle Cl personnelle cette case cocher appara t pour les utilisateurs qui n ont pas encore de cl personnelle active Remplacer la cl personnelle active cette case cocher appara t pour les utilisateurs qui ont d j une cl personnelle active 6 Cliquez sur OK La cl personnelle est cr e pour l utilisateur s lectionn Dans l ongletCl la cl appara t comme la Cl personnelle active pour l utilisateur Pour un utilisateur qui avait d j une cl personnelle active la cl existante est r trograd e et l utilisateur en re oit une nouvelle La cl personnelle r trograd e reste dans le jeu de cl s de l utilisateur La cl personnelle active ne peut pas tre attribu e d autres utilisateurs Cr ation de cl s personnelles pour plusieurs utilisateurs Pour cr er des cl s personnelles vous avez besoin des droits Cr er des cl s et Attrib
174. a commande du menu contextuel Non les utilisateurs de l ordinateur d extr mit ne peuvent pas ajouter de cl s R action aux volumes non chiffr s D finit de quelle mani re SafeGuard Enterprise g re les supports non chiffr s Les options suivantes sont disponibles Rejeter le support en texte n est pas chiffr Accepter uniquement les supports vierges et chiffrer Accepter tous les supports et chiffrer L utilisateur peut d chiffrer le volume Permet l utilisateur de d chiffrer le volume avec une commande du menu contextuel dans l Explorateur Windows Chiffrement initial rapide S lectionnez ce param tre pour activer le mode de chiffrement initial rapide pour le chiffrement bas sur volume Ce mode r duit le temps n cessaire pour le chiffrement initial sur les ordinateurs d extr mit Remarque ce mode peut galement entra ner un tat plus faible de s curit Retrouvez plus d informations la section Chiffrement initial rapide la page 168 Poursuivre sur les secteurs incorrects Indique si le chiffrement doit se poursuivre ou tre arr t si des secteurs incorrects sont d tect s Le param tre par d faut est Oui PARAMETRES SUR FICHIER Chiffrement initial de tous les fichiers D marre automatiquement le chiffrement initial d un volume apr s la connexion de l utilisateur Il se peut que l utilisateur doive s lectionner une cl du jeu de cl s au pr
175. a m me lettre de lecteur que le pr c dent SafeGuard Enterprise n enregistre que la cl de r cup ration du nouveau disque Gestion des lecteurs d j chiffr s avec BitLocker Si des lecteurs d j chiffr s avec BitLocker sont pr sents sur votre ordinateur ils seront g r s par SafeGuard Enterprise d s que le logiciel sera install Lecteurs de d marrage chiffr s a Selon la prise en charge SafeGuard Enterprise BitLocker utilis e il se peut que vous deviez red marrer l ordinateur Veuillez red marrer l ordinateur aussit t que possible Si une strat gie de chiffrement SafeGuard Enterprise s applique au lecteur chiffr Le Challenge R ponse SafeGuard Enterprise BitLocker est install la gestion est prise en charge et il est possible d utiliser le Challenge R ponse SafeGuard Enterprise SafeGuard Enterprise BitLocker est install la gestion est prise en charge et il est possible d utiliser la r cup ration Si aucune strat gie de chiffrement SafeGuard Enterprise ne s applique au lecteur chiffr Le Challenge R ponse SafeGuard Enterprise BitLocker est install la gestion n est pas prise en charge et il n est pas possible d utiliser le Challenge R ponse SafeGuard Enterprise SafeGuard Enterprise BitLocker est install il est possible d utiliser la r cup ration Lecteurs de donn es chiffr s a Siune strat gie de chiffrement SafeGuard Enterprise s applique au lecteur chiffr la
176. a souris dans la zone d action pour afficher le menu contextuel Dans le menu contextuel cliquez sur Ajouter Une nouvelle ligne est ajout e la liste de questions Saisissez votre question sur la ligne a Pour modifier des questions cliquez sur le texte de la question souhait e dans la zone d action La question est marqu e d une ic ne en forme de crayon Entrez vos modifications sur la ligne de la question a Pour supprimer des questions s lectionnez la question souhait e en cliquant sur la case grise situ e au d but de la ligne de la question dans la zone d action puis cliquez sur Supprimer dans le menu contextuel de la question 3 Pour enregistrer vos modifications cliquez sur l ic ne Enregistrer dans la barre d outils Le sujet de question modifi est enregistr Il est transf r avec la strat gie du type Param tres g n raux activant Local Self Help sur les ordinateurs d extr mit Suppression de sujets de question Pour supprimer l int gralit d un sujet de question cliquez avec le bouton droit de la souris sur le sujet concern Questions Local Self Help dans la zone de navigation Strat gies puis s lectionnez Supprimer 239 SafeGuard Enterprise 29 19 29 2 240 Remarque si vous supprimez un sujet de question alors que des utilisateurs ont d j r pondu certaines questions pour activer Local Self Help sur leurs ordinateurs leurs r ponses ne sont plus valides car les questions n exist
177. ables de la s curit doivent se trouver dans le magasin de certificats MY Remarque la liste Certificats attribu s dans Cl s et certificats indique seulement les certificats attribu s aux objets pour lesquels vous avez des droits en Lecture seule ou d Acc s complet La vue Certificat indique le nombre de certificats disponibles quels que soient vos droits d acc s La liste Certificats attribu s indique le nombre de certificats disponibles en fonction de vos droits d acc s Pour modifier les certificats vous avez besoin des droits d Acc s complet au conteneur dans lequel r sident les utilisateurs Importation des certificats d autorit de certification et des listes de r vocation de certificats Si des certificats AC autorit de certification sont utilis s veuillez importer toute la hi rarchie AC y compris toutes les listes de r vocation des certificats dans la base de donn es SafeGuard Les certificats AC ne peuvent pas tre r cup r s partir de tokens Ils doivent tre mis disposition sous la forme de fichier afin que vous puissiez les importer dans la base de donn es SafeGuard Enterprise Ceci s applique galement aux listes de r vocation de certificats 1 Dans SafeGuard Management Center cliquez sur Cl s et certificats 2 S lectionnez Certificats et cliquez sur l ic ne Importer les certificats de l AC de la barre d outils Naviguez jusqu aux fichiers du certificat AC que vous souhaitez importer
178. ackage de configuration MSI Cliquez sur Cr er un package de configuration Si vous avez s lectionnez le chiffrement SSL en tant que mode de Chiffrement du transport la connexion au serveur est valid e En cas d chec de la connexion un message d avertissement s affiche 15 2 Manuel d administration Le package de configuration MSI a t cr dans le r pertoire sp cifi Vous devez maintenant distribuer et d ployer ce package sur les ordinateurs d extr mit Cr ation d un package de configuration pour les ordinateurs non administr s 1 o A OMN 9 Dans le menu Outils de SafeGuard Management Center cliquez sur Outil de package de configuration S lectionnez Packages du client autonome Cliquez sur Ajouter un package de configuration Donnez un nom au package de configuration Indiquez un Groupe de strat gies pr alablement cr dans SafeGuard Management Center et que vous souhaitez appliquer aux ordinateurs d extr mit Sous Groupe d authentification au d marrage vous pouvez s lectionner le groupe d utilisateurs de l authentification au d marrage attribuer l ordinateur d extr mit Les utilisateurs de l authentification au d marrage peuvent acc der l ordinateur d extr mit pour des t ches administratives apr s activation de l authentification au d marrage SafeGuard Pour attribuer des utilisateurs de l authentification au d marrage le groupe d authentificatio
179. afeGuard Aucun autre utilisateur ne sera ajout l AUM ou ne pourra s identifier lors de l authentification au d marrage Tout utilisateur se connectant Windows qui n est pas Utilisateur _a Utilisateur_b ou Utilisateur_c est exclu de l AUM dans ce sc nario et ne sera jamais activ dans l authentification au d marrage SafeGuard Les utilisateurs peuvent toujours tre ajout s par la suite dans SafeGuard Management Center Cependant leur jeu de cl s ne sera pas disponible apr s la premi re connexion la synchronisation n tant pas d clench e par la premi re connexion Apr s une deuxi me connexion le jeu de cl s sera disponible et les utilisateurs pourront acc der leur ordinateur selon les strat gies appliqu es S ils n ont jamais r ussi se connecter un ordinateur d extr mit il est possible de les ajouter comme indiqu ci dessus Remarque si un responsable de la s curit ou un responsable de la s curit principale supprime le dernier certificat d utilisateur valide de l AUM les utilisateurs pourront se connecter automatiquement l authentification au d marrage SafeGuard de l ordinateur correspondant Il en va de m me si le domaine de l ordinateur d extr mit change Seuls les codes d acc s Windows sont n cessaires pour se connecter l ordinateur r activer l authentification au d marrage SafeGuard et pour ajouter un utilisateur en tant que propri taire Blocage de l utilisateur Si vous s
180. afeGuardDataBase SafeGuard Vous pouvez galement pr ciser le nombre d v nements conserver dans le tableau EVENT Le nombre par d faut est 100 000 Default keep the latest 100000 events change if required SELECT ShrinkCommand exec spShrinkEventTable 100000 Vous pouvez sp cifier si une ex cution de t che doit tre journalis e dans le journal des v nements NT exec sp_add job job_ name AutoShrinkEventTable enabled 1 notify level _eventlog 3 Les valeurs suivantes sont disponibles pour le param tre notify_level_eventlog ETES R sultat 3 Journaliser chaque ex cution de la t che Journaliser en cas d chec de la t che Journaliser si la t che a t ex cut e avec succ s Ne pas journaliser l ex cution de la t che dans le journal des v nements NT Vous pouvez pr ciser la fr quence de r p tition de la t che en cas d chec 39 190 33 14 Manuel d administration exec sp_add jobstep a Qretry attempts 3 Cet exemple d finit 3 tentatives d ex cution de la t che en cas d chec Q retry_ interval 60 Cet exemple d finit un intervalle de 60 minutes a Vous pouvez sp cifier l heure d ex cution de la t che exec sp_add jobschedule a Qfreq type 4 Cet exemple d finit une ex cution quotidienne de la t che a Qfreq_ interval 1 Cet exemple d finit une ex cution de la t che une fois par jour a Qactive_start_time 010000 Cet exemple d
181. agasin de certificats Cliquez sur OK SafeGuard Management Center est ouvert et reli la configuration de base de donn es s lectionn e Remarque si vous saisissez un mot de passe incorrect un message d erreur s affiche et un d lai est impos avant la tentative de connexion suivante Le d lai augmente chaque chec de tentative de connexion Les tentatives rat es de connexion sont consign es dans le journal 4 4 Interface utilisateur de SafeGuard Management Center Fen tre de navigation F SaleGuard Management Center MSO actif SGXSRV SafeGuard lox E o AT Agir Ados Oue Ah B Tat Frais Zone de navigation S responsables de La s cur S nappat Boutons pour toutes les op rations d administration Zone de navigation La zone de navigation contient des boutons pour toutes les op rations d administration a Utilisateurs et ordinateurs 16 Manuel d administration Pour importer des groupes et des utilisateurs partir d un annuaire actif partir du domaine ou d un ordinateur individuel Strat gies Pour cr er des strat gies a Cl s et certificats Pour g rer les cl s et les certificats Tokens Pour g rer les tokens et les cartes puce Responsables de la s curit Pour cr er des responsables de la s curit ou des r les et d finir les op rations qui n cessitent une autorisation suppl mentaire Rapports Pour cr er et
182. age et fait partie d un groupe qui se trouve lui m me dans cette UO cette activation ne s applique pas cet utilisateur ordinateur En effet il n existe pas d attribution valide pour cet utilisateur ou cet ordinateur directement ou indirectement Le groupe tait en effet activ mais une activation peut seulement s appliquer aux utilisateurs et aux machines pour lesquels il existe aussi une attribution de strat gie Ce qui signifie que l activation des strat gies ne peut pas aller au del des limites de conteneur s il n y a pas d attribution directe ou indirecte de la strat gie pour cet objet Une strat gie devient effective lorsqu elle a t activ e pour des groupes d utilisateurs ou des groupes d ordinateurs Les groupes d utilisateurs puis les groupes d ordinateurs sont analys s les utilisateurs authentifi s et les ordinateurs authentifi s sont galement des groupes Les deux r sultats sont reli s par une instruction OR Si ce lien OR donne une valeur positive pour la relation ordinateur utilisateur la strat gie s applique Remarque si plusieurs strat gies sont actives pour un objet les strat gies individuelles sont group es en respectant n anmoins les r gles d crites et fusionn es Ce qui signifie que les param tres r els d un objet peuvent tre compos s de plusieurs strat gies diff rentes Un groupe peut avoir les param tres d activation suivants a Activ Une strat gie a t attribu e Le grou
183. age de tous les utilisateurs Chemin type C Documents and Settings Tous les utilisateurs Documents Mes Images Manuel d administration Espace r serv au chemin Syst me R sultats dans la valeur suivante sur d exploitation l ordinateur d extr mit Tous Windows et Mac OS X lt Vid os publiques gt Windows R pertoire du syst me de fichiers qui sert de d p t commun pour les fichiers vid o de tous les utilisateurs Chemin type C Documents and Settings Tous les utilisateurs Documents Mes Vid os lt ltin rant gt Windows R pertoire du syst me de fichiers qui sert de d p t commun pour les donn es sp cifiques aux applications Chemin type C Documents and Settings nom d utilisateur Application Data lt Syst me gt Windows Dossier syst me Windows Chemin type C1 Windows System32 Pour les syst mes 64 bits celui ci sera tendu en deux r gles une pour le 32 bits et une pour le 64 bits lt Temporary Burn Folder gt Windows R pertoire du syst me de fichiers qui sert de zone de transit pour les fichiers en attente d criture sur un CD ROM Chemin type C Documents and Settings username Local Settings Application Data Microsoft CD Burning lt Dossier de gravure temporaire gt Windows R pertoire du syst me de fichiers qui sert de d p t commun pour les fichiers temporaires Internet Chemin type C Documents and Settings username Local Settings Temporary Internet Files lt Windo
184. age de configuration du client SafeGuard Enterprise doit galement tre install sur l ordinateur PC sur lequel SafeGuard Management Center est ex cut 1 Dans SafeGuard Management Center cliquez sur Strat gies 2 Cr ez une nouvelle strat gie du type Param tres de machine sp cifiques ou s lectionnez une strat gie existante de ce type 219 27 5 1 Manuel d administration 3 Dans la zone de travail c t droit s lectionnez le middleware appropri sous Param tres de prise en charge du token gt Nom du module Enregistrez les param tres 4 Attribuez la strat gie pr sent SafeGuard Enterprise peut communiquer avec le token G n ration d un token Lorsqu un token est g n r dans SafeGuard Enterprise les donn es qui sont utilis es pour l authentification sont crites sur ce token Ces donn es sont constitu es de codes d acc s et de certificats Dans SafeGuard Enterprise des tokens peuvent tre g n r s pour les r les d utilisateurs suivants Tokens pour les utilisateurs des ordinateurs d extr mit administr s Tokens pour les responsables de la s curit L utilisateur et les responsables de la s curit peuvent acc der au token L utilisateur est celui qui doit utiliser le token L utilisateur n a acc s qu aux objets et aux cl s priv s Le responsable de la s curit peut uniquement acc der aux objets publics mais il peut r initialiser le code confidentiel de l utilisateur
185. agement Center Version 6 1 ou sup rieure de Sophos SafeGuard File Encryption pour Mac Version 6 1 de Sophos SafeGuard Disk Encryption pour Mac Version 7 0 de Sophos SafeGuard Native Device Encryption a Version 6 de Sophos SafeGuard Disk Encryption pour Mac rapport uniquement Remarque Retrouvez plus de conseils et d informations sur les sp cificit s et limites d utilisation de SafeGuard File Encryption ou de SafeGuard Disk Native Device Encryption pour Mac dans les Manuels d administration respectifs de ces produits Donn es d inventaire et d tat des Mac Pour les Macs l inventaire fournit les donn es suivantes sur chaque machine Les donn es affich es peuvent varier selon le produit Sophos install Le nom du Mac Le syst me d exploitation Le type de l authentification au d marrage a L tat de l authentification au d marrage Le nombre de lecteurs chiffr s Le nombre de lecteurs d chiffr s Le dernier contact du serveur La date de modification a Sile certificat d entreprise en cours est utilis ou non Cr ation d un package de configuration pour Les Macs Un package de configuration pour un Mac contient les informations sur le serveur et le certificat d entreprise Le Mac utilise ces informations pour signaler les informations d tat Manuel d administration authentification au d marrage SafeGuard active inactive tat de chiffrement Les informations d tat apparai
186. alable L utilisateur peut annuler le chiffrement initial Permet l utilisateur d annuler le chiffrement initial L utilisateur est autoris acc der aux fichiers non chiffr s D finit si un utilisateur peut acc der aux donn es non chiffr es d un volume L utilisateur peut d chiffrer des fichiers Permet l utilisateur de d chiffrer des fichiers individuels ou des r pertoires entiers avec l extension de l Explorateur Windows lt clic droit gt L utilisateur peut d finir une phrase secr te des supports pour les p riph riques Permet l utilisateur de d finir une phrase secr te des supports sur son ordinateur La phrase secr te des supports permet d acc der facilement l aide de SafeGuard Portable toutes les Param tre de strat gie Manuel d administration Explication cl s locales utilis es sur des ordinateurs sur lesquels SafeGuard Data Exchange n est pas install Supports amovibles et Cloud Storage seulement Copier SG Portable sur la cible Si cette option est s lectionn e SafeGuard Portable est copi sur tous les supports amovibles connect s l ordinateur d extr mit et dans tous les dossiers de synchronisation d finis par une d finition Cloud Storage pour SafeGuard Cloud Storage d s l criture de contenu sur le support ou le dossier chiffr SafeGuard Portable permet l change des donn es chiffr es avec les supports amovibles ou le sto
187. all est affich e Si vous ne pouvez pas s lectionner le serveur saisissez son nom ou son adresse IP avec le nom de l instance SQL a S lectionnez Utiliser SSL pour prot ger la connexion entre SafeGuard Management Center et le serveur de base de donn es SQL Nous vous conseillons fortement d effectuer cette op ration lorsque vous avez s lectionn Authentification au serveur SQL car ce param tre chiffrera le transport des codes d acc s SQL Le chiffrement SSL requiert un environnement SSL actif sur le serveur de base de donn es SQL que vous avez pr alablement configur Retrouvez plus d informations la section S curisation des connexions de transport avec SSL la page 40 2 Sous Authentification activez le type d authentification utiliser pour acc der cette instance du serveur de base de donn es Ceci est n cessaire afin que le SafeGuard Management Center puisse communiquer avec la base de donn es a S lectionnez Utiliser l authentification Windows NT pour utiliser vos codes d acc s Windows Remarque Utilisez ce type d authentification si votre ordinateur appartient un domaine Une configuration obligatoire suppl mentaire est n cessaire car l utilisateur doit tre autoris se connecter la base de donn es Retrouvez plus d informations dans le Guide d installation de SafeGuard Enterprise Jo 9 6 Manuel d administration a S lectionnez Utiliser l authentification SQL Server pour acc der
188. ans ce cas l utilisateur est automatiquement invit lancer une proc dure Challenge R ponse si le cache local est corrompu G n ration d une r ponse pour Les ordinateurs non administr s l aide du fichier de r cup ration de cl Remarque le fichier de r cup ration de cl g n r durant l installation du logiciel de chiffrement SafeGuard Enterprise doit tre stock dans un emplacement accessible au responsable support et son nom doit tre connu 1 Pour ouvrir l Assistant de r cup ration dans SafeGuard Management Center s lectionnez Outils gt R cup ration dans la barre de menus 2 Dans Type de r cup ration s lectionnez Clients Sophos SafeGuard autonomes 3 Recherchez le fichier de r cup ration de cl requis en cliquant sur le bouton pr s du champ Fichier de r cup ration de cl Pour faciliter l identification des fichiers de r cup ration leur nom est identique celui de l ordinateur nomordinateur GUID xml 4 Saisissez le code de challenge que l utilisateur vous a transmis et cliquez sur Suivant Ce code est v rifi Si le code de challenge a t saisi correctement l action de r cup ration demand e par l ordinateur ainsi que les actions de r cup ration possibles s affichent Si le code a t saisi de fa on incorrecte le terme Challenge non valide appara t au dessous du bloc contenant l erreur 5 S lectionnez l action que l utilisateur doit entreprendre puis cliquez
189. ansparent bas sur secteur Garantit que toutes les donn es sont chiffr es y compris les fichiers de d marrage les fichiers d change les fichiers inactifs de mise en veille prolong e les fichiers temporaires les informations de r pertoire etc sans que l utilisateur ait modifier ses habitudes de travail ou tenir compte de probl mes de s curit Bas sur fichier chiffrement transparent bas sur fichier Chiffrement Smart Media Garantit que toutes les donn es sont chiffr es l exception du support de d marrage et des informations de r pertoire avec l avantage que m me les supports optiques tels que les CD DVD peuvent tre chiffr s et que les donn es peuvent tre chang es avec des ordinateurs externes sur lesquels SafeGuard Enterprise n est pas install si les strat gies l autorisent Remarque pour les strat gies avec listes blanches seuls Aucun chiffrement ou Bas sur fichier peuvent tre s lectionn s PARAM TRES G N RAUX Algorithme utiliser pour le chiffrement D finit l algorithme de chiffrement Liste des algorithmes utilisables avec les normes respectives A S256 32 octets 256 bits AES128 16 octets 128 bits Cl utiliser pour le chiffrement D finit la cl utilis e pour le chiffrement Vous pouvez d finir des cl s sp cifiques cl machine ou une cl d finie par ex ou vous pouvez autoriser l utilisateur s lectionner une cl Vou
190. ant de les supprimer 805306412 Affichage des t ches 805306413 Plusieurs CRL trouv es dans la base de donn es Impossible de supprimer les CRL 805306414 CRL non trouv e dans la base de donn es 805306415 L utilisateur auquel le certificat devrait avoir t attribu est introuvable dans la base de donn es 805306416 Un blob P7 est requis en urgence pour l attribution d un certificat 805306417 L utilisateur auquel le certificat devrait avoir t attribu n a pas un nom unique 323 SafeGuard Enterprise 324 Identifiant de l erreur 805306418 Affichage Il est malheureusement impossible de trouver l attribution du certificat 805306419 L attribution du certificat n est pas unique Le certificat devant tre supprim n est pas clair 805306420 L utilisateur pour lequel le certificat doit tre produit est introuvable dans la base de donn es 805306421 L utilisateur auquel le certificat doit tre attribu ne peut pas avoir un nom unique 805306422 Le certificat a d j t attribu un autre utilisateur Un certificat ne peut tre attribu qu un seul utilisateur 805306423 La machine laquelle le certificat doit tre attribu est introuvable dans la base de donn es 805306424 La machine laquelle le certificat doit tre attribu n a pas pu tre identifi e de fa on unique 805306425 Les certifi
191. ar le client SafeGuard Enterprise ainsi que les actions de r cup ration possibles sur ce client s affichent Les actions possibles pour la r ponse d pendent des actions demand es c t client lors de l appel du challenge Par exemple si l action Token cryptographique demand n cessaire est requise c t client les actions disponibles pour la r ponse sont D marrer le client SGN avec une connexion utilisateur et D marrer le client SGN sans connexion utilisateur 10 S lectionnez l action que l utilisateur doit ex cuter 11 Si l action D marrer le client SGN avec une connexion utilisateur a t s lectionn e vous pouvez galement s lectionner Afficher le mot de passe utilisateur afin d afficher le mot de passe sur l ordinateur cible 12 Cliquez sur Suivant 13 Un code de r ponse est g n r Fournissez le code de r ponse l utilisateur Une aide l pellation est fournie Vous pouvez galement copier le code de r ponse dans le Presse papiers 245 SafeGuard Enterprise 29 2 6 29 26 1 246 L utilisateur peut saisir le code de r ponse sur l ordinateur d extr mit et ex cuter l action autoris e Challenge R ponse l aide de clients virtuels Gr ce la r cup ration des clients virtuels SafeGuard Enterprise permet de r cup rer des volumes chiffr s m me dans des situations d urgence complexes par exemple lorsque l authentification au d marrage SafeGuard est corrompue Elle s applique
192. ar d faut de param tres de strat gie Dans la barre d outils les ic nes suivantes servent la configuration des param tres de strat gie Param tre de strat gie Affiche les valeurs par d faut des param tres de strat gie qui n ont pas t configur s param tre non configur Les valeurs par d faut pour les param tres des strat gies sont affich s par d faut Cliquez sur l ic ne pour masquer les valeurs par d faut D finit le param tre de strat gie d fini sur non configur D finit tous les param tres de strat gie d une zone sur non configur D finit la valeur par d faut de la strat gie marqu e D finit tous les param tres de strat gie d une zone sur la valeur par d faut Diff rences entre Les strat gies sp cifiques d une machine et Les strat gies sp cifiques d un utilisateur Strat gie affich e en bleu La strat gie s applique uniquement aux machines et non aux utilisateurs Strat gie affich e en noir La strat gie s applique aux machines et aux utilisateurs 87 SafeGuard Enterprise 14 3 14 3 1 88 Groupes de strat gies Les strat gies SafeGuard Enterprise peuvent tre combin es dans des groupes de strat gies Un groupe de strat gies peut contenir diff rents types de strat gies Dans SafeGuard Management Center le groupe de strat gies Par d faut disponible est attribu la Racine sous Utilisateurs et ordinateurs Si vous rassemblez des stra
193. ar un saut de ligne Caract re g n rique Le caract re g n rique peut repr senter tout caract re et tout nombre de caract res dans un code Param tre de strat gie Manuel d administration Explication confidentiel Par exemple 123 signifie que toute s quence de caract res contenant 123 sera interdite comme code confidentiel Remarque Gila liste ne contient qu un seul caract re g n rique l utilisateur ne sera plus en mesure de se connecter au syst me apr s un changement obligatoire de mot de passe Les utilisateurs ne doivent pas tre autoris s acc der ce fichier L option Utiliser la liste des codes confidentiels interdits doit tre activ e MODIFICATIONS Changer le code confidentiel apr s un min de jours D termine la p riode pendant laquelle un code confidentiel ne peut pas tre modifi Ce param tre emp che l utilisateur de changer trop souvent de code confidentiel au cours d une p riode donn e Exemple L utilisateur Bertrand d finit un nouveau code confidentiel par exemple 13jk56 L intervalle minimum de changement pour cet utilisateur ou pour le groupe auquel il appartient est d fini cinq jours Apr s deux jours seulement l utilisateur d cide de changer le code confidentiel par 13jk56 Le changement de code confidentiel est refus car Madame Bertrand ne peut d finir un nouveau code confidentiel qu apr s un d lai de cinq jo
194. ard Enterprise lit le token 3 Marquez le token auquel vous voulez ajouter la partie priv e du certificat et dans la zone de travail droite ouvrez l onglet Informations de connexion et certificats 21 0 27 8 1 27 8 2 Manuel d administration 4 Cliquez sur l ic ne P12 token dans la barre d outils de SafeGuard Management Center 5 S lectionnez le fichier de certificat concern 6 Saisissez le code confidentiel du token et le mot de passe du fichier p12 et confirmez en cliquant sur OK La partie priv e du certificat est ajout e au token pr sent vous devez l attribuer un utilisateur Retrouvez plus d informations la section Attribution de certificats de token un utilisateur la page 227 Les utilisateurs peuvent alors seulement se connecter avec ce token Gestion des codes confidentiels En tant que responsable de la s curit vous pouvez changer le code confidentiel de l utilisateur et celui du responsable de la s curit et aussi forcer le changement du code confidentiel de l utilisateur Ceci est g n ralement n cessaire lors de la g n ration d un token Vous pouvez galement initialiser des codes confidentiels c est dire les g n rer comme de nouveaux codes confidentiels et les bloquer Remarque pour initialiser changer et bloquer les codes confidentiels vous avez besoin des droits d Acc s complet pour les utilisateurs correspondants Vous pouvez utiliser des strat gies pour sp
195. at gies Param tres de strat gie Texte des informations suppl mentaires Manuel d administration Explication Le texte afficher en tant qu informations suppl mentaires Dans ce champ vous pouvez s lectionner un l ment de texte enregistr sous Textes dans la zone de navigation Strat gies Afficher pendant s Activer et afficher l ic ne de la barre d tat syst me Dans ce champ vous pouvez d finir la dur e en secondes pendant laquelle les informations suppl mentaires doivent tre affich es Vous pouvez sp cifier le nombre de secondes apr s lesquelles la zone de texte d informations suppl mentaires est ferm e automatiquement L utilisateur peut fermer la zone de texte tout moment en cliquant sur OK L ic ne de la barre d tat syst me de SafeGuard Enterprise permet l utilisateur d acc der rapidement et facilement l ensemble des fonctions de l ordinateur d extr mit En outre des informations concernant l tat de l ordinateur d extr mit nouvelles strat gies re ues etc peuvent tre affich es dans des infobulles Oui l ic ne de la barre d tat syst me est affich e dans la zone d information de barre des t ches et l utilisateur est continuellement inform via l infobulle concernant l tat de l ordinateur d extr mit prot g par SafeGuard Enterprise Non l ic ne de la barre d tat syst me n est pas affich e Aucune information d tat n est
196. at de l ordinateur d extr mit indique que ce dernier est Pr t pour la modification du certificat L utilisateur doit maintenant lancer une modification du certificat sur l ordinateur d extr mit Retrouvez plus d informations dans le Manuel d utilisation de SafeGuard Enterprise Une fois que l utilisateur a chang le certificat sur l ordinateur d extr mit le certificat est galement renouvel sur le serveur SafeGuard Enterprise lors de la synchronisation suivante Cela supprime l ancien token de l onglet Certificats de l utilisateur dans SafeGuard Management Center Le nouveau token devient le token standard pour l utilisateur Remarque dans SafeGuard Management Center les deux certificats peuvent tre supprim s s par ment Si un seul certificat de veille est disponible le certificat suivant est attribu sous la forme d un certificat de veille Importation d un certificat partir d un fichier du token Condition pr alable le token a t g n r Vous devez s lectionner cette proc dure pour un token avec la prise en charge Kerberos Le certificat doit tre reconnu par SafeGuard Enterprise et ajout au token S il existe d j un certificat g n r automatiquement le certificat import le remplacera Pour ajouter la partie priv e du certificat fichier p12 sur le token partir d une fichier 1 Dans SafeGuard Management Center cliquez sur Tokens 2 Connectez le token dans l interface USB SafeGu
197. ateur d extr mit a Cliquez sur le bouton Parcourir pour naviguer dans le syst me de fichiers et s lectionnez le dossier requis a Sinon saisissez simplement un nom de chemin Remarque retrouvez plus d informations sur les chemins de configuration dans les r gles de Chiffrement de fichiers la section Informations suppl mentaires sur la configuration des chemins dans les r gles de Chiffrement de fichiers la page 185 Dans la colonne tendue s lectionnez a Ce dossier uniquement pour appliquer la r gle seulement au dossier indiqu par la colonne Chemin ou Inclure les sous dossiers pour appliquer aussi la r gle tous ses sous dossiers Dans la colonne Mode d finissez comment le Chiffrement de fichiers doit g rer le dossier indiqu dans la colonne Chemin a S lectionnez Chiffrer pour chiffrer de nouveaux fichiers dans le dossier Le contenu des fichiers chiffr s existants est d chiffr de mani re transparente lorsqu un utilisateur y acc de avec la cl requise Si l utilisateur n a pas la cl requise l acc s est refus 5 Manuel d administration a Si vous s lectionnez Exclure les nouveaux fichiers du dossier ne sont pas chiffr s Vous pouvez utiliser cette option pour exclure un sous dossier du chiffrement si le dossier parent est d j couvert par une r gle avec l option Chiffrer a Si vous s lectionnez Ignorer les fichiers du dossier ne sont pas g r s du tout par le Chiffrement de fic
198. ateur de t ches ne peut pas d terminer lequel des deux mod les a t install sur la machine Pour viter cela ne s lectionnez pas la case cocher Scripts autoris s pour les mod les qui ne sont pas install s sur le serveur Evitez aussi les mod les dupliqu s avec le m me certificat de machine Retrouvez plus d informations sur l enregistrement des serveurs dans le Guide d installation de SafeGuard Enterprise v nements de journalisation du planificateur de t ches Les v nements concernant l ex cution des t ches peuvent tre journalis s pour fournir des informations utiles par exemple pour la r solution des probl mes Vous pouvez d finir les v nements suivants journaliser a La t che du planificateur s est ex cut e avec succ s a La t che du planificateur a chou Le fil du service du planificateur s est arr t cause d une exception Les v nements incluent les r sultats de la console de scripts pour faciliter la r solution des probl mes Retrouvez plus d informations sur la journalisation la section Rapports la page 270 291 SafeGuard Enterprise 39 30l 35 2 292 Gestion des ordinateurs d extr mit Mac dans SafeGuard Management Center Les Macs sur lesquels les produits Sophos suivants sont install s peuvent tre g r s par SafeGuard Enterprise et ou cr er des rapports d informations sur leur tat Les informations d tat apparaissent dans SafeGuard Man
199. ateurs de s lectionner la cl de leur choix Toute cl du jeu de cl s utilisateur sauf la cl utilisateur Les utilisateurs ne sont pas autoris s utiliser leurs cl s personnelles pour chiffrer des donn es Toute cl de groupe du jeu de cl s utilisateur Les utilisateurs ne peuvent s lectionner qu une des cl s de groupe pr sentes dans leur jeu de cl s Cl machine d finie C est la cl unique g n r e exclusivement pour cet ordinateur par SafeGuard Enterprise lors du premier d marrage L utilisateur n a pas d autre option Une cl machine d finie est g n ralement utilis e par la partition d initialisation et syst me et pour les unit s sur lesquelles se trouve le r pertoire Documents and Settings Cl d finie dans la liste Cette option permet de d finir une cl particuli re que l utilisateur doit utiliser pour le chiffrement Pour indiquer une cl d utilisateur de cette mani re veuillez d finir une cl sous Cl d finie pour le chiffrement Cette option s affiche une fois que vous s lectionnez Cl d finie sur la liste Cliquez sur le bouton situ en regard de Cl d finie pour le chiffrement pour afficher une bo te de dialogue dans laquelle vous pouvez sp cifier une cl Assurez vous que l utilisateur a aussi la cl correspondante Marquez la cl s lectionn e et cliquez sur OK La cl s lectionn e sera utilis e pour le chiffrement sur l ordinateur client 71 SafeGuard Enterpr
200. ation Cl requise 1 Dans l Assistant de r cup ration sur la page Client virtuel s lectionnez si l action est demand e par un ordinateur d extr mit administr ou non administr Pour les ordinateurs d extr mit administr s s lectionnez Cl de r cup ration du client SafeGuard Enterprise administr Cliquez sur Dans Rechercher des cl s vous pouvez afficher les cl s en fonction de leur ID ou de leur nom symbolique Cliquez sur Rechercher maintenant s lectionnez la cl et cliquez sur OK Remarque une r ponse ne peut tre initi e que pour des cl s attribu es Si une cl est inactive c est dire qu elle n est pas attribu e au moins un utilisateur une r ponse pour client virtuel est impossible Dans ce cas la cl inactive peut tre attribu e un autre utilisateur et une r ponse pour cette cl peut tre de nouveau g n r e Pour les ordinateurs d extr mit administr s s lectionnez Cl de r cup ration du client Sophos SafeGuard autonome Cliquez sur pr s de cette option pour rechercher le fichier Pour faciliter l identification des fichiers de r cup ration leur nom est identique celui de l ordinateur nomordinateur GUID xml S lectionnez le fichier et cliquez sur Ouvrir Remarque le support doit pouvoir acc der au fichier de r cup ration de cl n cessaire pour r cup rer l acc s l ordinateur Ce fichier peut par exemple se trouver sur un partage r seau 2
201. ation de SafeGuard Management Center veuillez effectuer la configuration initiale Vous devez ex cuter cette op ration en mode Single Tenancy et en mode Multi Tenancy Pour lancer l assistant de configuration de SafeGuard Management Center 1 S lectionnez SafeGuard Management Center depuis le menu D marrer L assistant de configuration d marre et vous guide tout au long des tapes n cessaires 2 Dans la page Bienvenue cliquez sur Suivant Configuration de la connexion au serveur de base de donn es Une base de donn es sert stocker toutes les strat gies et tous les param tres de chiffrement SafeGuard Enterprise Pour que SafeGuard Management Center et le serveur SafeGuard Enterprise puissent communiquer avec cette base de donn es vous devez sp cifier une m thode d authentification pour l acc s la base de donn es soit l authentification Windows NT soit l authentification SQL Si vous voulez vous connecter au serveur de base de donn es avec l authentification SQL assurez vous d avoir port e de main les codes d acc s SQL respectives Si n cessaire vous pouvez les obtenir aupr s de votre administrateur SQL 1 Sur la page Connexion au serveur de base de donn es effectuez les op rations suivantes a Sous Param tres de connexion s lectionnez le serveur de base de donn es SQL dans la liste Serveur de base de donn es La liste de tous les ordinateurs d un r seau sur lequel Microsoft SQL Server est inst
202. ation de la structure organisationnelle Remarque avec le Planificateur de t ches SafeGuard Management vous pouvez cr er des t ches p riodiques pour la synchronisation automatique entre Active Directory et SafeGuard Enterprise Votre produit livr contient cet effet un mod le de script pr d fini Retrouvez plus d informations la section Planification des t ches la page 283 et la section Scripts pr d finis pour les t ches quotidiennes la page 289 1 Dans SafeGuard Management Center s lectionnez Outils gt Options 2 S lectionnez l onglet R pertoire et cliquez sur Ajouter 3 Dans Authentification LDAP proc dez comme suit a Dans le champ Nom ou adresse IP du serveur saisissez le nom NetBIOS du contr leur de domaine ou son adresse IP b Pour Codes d acc s de l utilisateur saisissez votre nom et votre mot de passe Windows pour vous connecter l environnement c Cliquez sur OK Remarque pour les ordinateurs autonomes Windows un r pertoire doit tre partag pour activer une connexion via LDAP 4 Cliquez sur Utilisateurs et ordinateurs 5 Dans la fen tre de navigation de gauche cliquez sur le r pertoire racine Racine Filtre actif 6 Dans la zone d action de droite s lectionnez l onglet Synchroniser 10 1 2 Manuel d administration 7 S lectionnez le r pertoire requis dans la liste DSN r pertoire et cliquez sur l ic ne de la loupe en haut droite Une repr sentation
203. ation et les distribuer sur les ordinateurs d extr mit Remarque les packages de configuration pour ordinateurs d extr mit non administr s peuvent uniquement tre utilis s sur les ordinateurs d extr mit Windows Package de configuration pour le serveur SafeGuard Enterprise Pour garantir un bon fonctionnement vous devez cr er un package de configuration pour le serveur SafeGuard Enterprise qui d finira la base de donn es et la connexion SSL activera l API de script etc Package de configuration pour les Mac Les ordinateurs Macs re oivent l adresse du serveur et le certificat d entreprise par le biais de ce package lls envoient les informations sur leur tat qui sont ensuite affich es dans SafeGuard Management Center Retrouvez plus d informations sur la cr ation des packages de configuration pour Macs la section Cr ation d un package de configuration pour Macs la page 292 Remarque v rifiez votre r seau et vos ordinateurs intervalles r guliers pour d tecter les anciennes versions ou les versions inutilis es des packages de configuration De m me pour des raisons de s curit n oubliez pas de les supprimer Assurez vous de toujours d sinstaller les anciens packages de configuration avant d installer tout nouveau package de configuration sur l ordinateur le serveur 97 SafeGuard Enterprise 15 1 Cr ation d un package de configuration pour les ordinateurs administr s 98 Conditions p
204. aucune structure de certificat n est pr sente Remarque si seule la partie priv e du certificat est crite sur le token l utilisateur peut seulement acc der sa cl priv e avec ce token La cl priv e ne se trouve alors que sur le token En cas de perte du token la cl priv e devient inaccessible 2112 27 1 3 Manuel d administration Condition pr alable le token a t g n r 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Connectez le token dans l interface USB SafeGuard Enterprise lit le token 3 Cochez l utilisateur pour lequel un certificat doit tre g n r et ouvrez l onglet Certificat dans la zone de travail du c t droit 4 Cliquez sur G n rer et attribuer un certificat par token Notez que la longueur de la cl doit correspondre la taille du token 5 S lectionnez le connecteur et saisissez le code confidentiel du token 6 Cliquez sur Cr er Le token g n re le certificat et l attribue l utilisateur Attribution de certificats de token un utilisateur Conditions pr alables le token a t g n r a Vous avez besoin des droits d Acc s complet pour l utilisateur correspondant Pour attribuer un certificat disponible sur un token un utilisateur 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Connectez le token dans l interface USB SafeGuard Enterprise lit le token 3 S lectionnez l ut
205. auquel l utilisateur peut se connecter L utilisateur peut galement changer la phrase secr te des supports La synchronisation est alors automatique lorsque la phrase secr te reconnue sur l ordinateur et la phrase secr te des supports amovibles ne correspondent pas En cas d oubli de la phrase secr te des supports l utilisateur peut la r cup rer sans recourir au support Remarque pour activer la phrase secr te des supports activez l option L utilisateur peut d finir une phrase secr te des supports pour les p riph riques dans une strat gie de type Chiffrement de p riph rique Cette option n est disponible que si vous avez s lectionn Supports amovibles comme Cible de protection de p riph rique Manuel d administration 24 3 1 Phrase secr te des supports et ordinateurs d extr mit non 24 4 24 4 1 administr s Sur un ordinateur d extr mit non administr autrement dit un ordinateur fonctionnant en mode autonome sur lequel la fonction de phrase secr te des supports est d sactiv e aucune cl n est disponible une fois l installation termin e car les ordinateurs d extr mit non administr s utilisent des cl s locales uniquement Avant de pouvoir utiliser le chiffrement l utilisateur doit cr er une cl Si la fonction de phrase secr te des supports est activ e dans une strat gie de support amovible pour ces ordinateurs la cl de chiffrement de support est cr e automatiquement sur l ordinateur c
206. bjets de r pertoire un responsable de 64 la S curit Afin que les responsables de la s curit puissent ex cuter ses t ches il doit poss der les droits d acc s aux objets de r pertoire Les droits d acc s peuvent tre accord s aux domaines aux unit s organisationnelles UO et aux groupes d utilisateurs ainsi qu au n ud Enregistr automatiquement situ sous le r pertoire racine Dans Utilisateurs et ordinateurs vous pouvez changer les droits d acc s d un autre responsable de la s curit si vous avez l acc s complet pour le conteneur appropri et tes responsable du responsable de la s curit en question Vous ne pouvez pas changer vos propres droits d acc s Si vous attribuez un responsable de la s curit un objet de r pertoire pour la premi re fois le responsable de la s curit h rite de vos droits d acc s pour ce conteneur Remarque vous ne pouvez pas accorder d autres responsables de la s curit des droits d acc s plus lev s que vos propres droits d acc s Condition pr alable si vous voulez accorder refuser au responsable de la s curit le droit d acc der aux objets de r pertoire et de les g rer vous devez poss der les droits utilisateurs et ordinateurs d affichage des droits d acc s des responsables de la s curit et d autoriser de refuser l acc s au r pertoire En plus vous avez besoin des droits d Acc s complet pour les objets de r pertoire
207. ble de la s curit est cr le token est g n r les informations de connexion sont crites sur le token en fonction du param tre et les informations du token sont 210 27 6 1 Manuel d administration enregistr es dans la base de donn es SafeGuard Enterprise Vous pouvez afficher les donn es de la zone Token dans l onglet Informations sur le token Configuration du mode de connexion Il existe deux m thodes de connexion l aide d un token Il est possible de combiner les deux m thodes de connexion a Connexion avec identifiant utilisateur mot de passe m Connexion avec token Lorsque vous vous connectez avec un token ou une carte puce vous pouvez s lectionner la m thode non cryptographique ou la m thode Kerberos cryptographique En tant que responsable de la s curit vous sp cifiez le mode de connexion utiliser dans une strat gie du type Authentification Si vous s lectionnez l option de connexion par token Kerberos Vous allez devoir mettre un certificat dans une infrastructure de cl publique PKI et la stocker sur le token Ce certificat est import sous forme de certificat utilisateur dans la base de donn es SafeGuard Enterprise Si un certificat g n r automatiquement existe d j dans une base de donn es il est remplac par le certificat import Activation de la connexion automatique l authentification au d marrage SafeGuard avec des codes confidentiels de token par d
208. c s ce volume sera refus Toute cl du jeu de cl s utilisateur sauf les cl s cr es localement Toutes les cl s sauf les cl s g n r es localement partir d un jeu de cl s sont affich es et l utilisateur peut s lectionner l une d entre elles Cl d finie dans la liste L administrateur peut s lectionner toutes les cl s disponibles lorsqu il d finit des strat gies dans Management Center La cl doit tre s lectionn e sous Cl d finie pour le chiffrement Si l option Cl machine d finie est utilis e Si SafeGuard Data Exchange est uniquement install sur l ordinateur d extr mit pas d authentification au d marrage SafeGuard ni de chiffrement bas sur volume une strat gie d finissant la Cl machine d finie comme tant la cl utiliser pour le chiffrement bas sur fichier ne s appliquera pas sur cet ordinateur La cl machine d finie n est pas disponible sur un ordinateur de ce type Les donn es ne peuvent pas tre chiffr es Strat gies pour l ordinateur d extr mit non administr prot g par SafeGuard Enterprise autonome Remarque notez que seule l option Toute cl du jeu de cl s utilisateur peut tre utilis e lors de la cr ation de strat gies pour des ordinateurs d extr mit non administr s La cr ation de cl s Param tre de strat gie Cl d finie pour le chiffrement Manuel d administration Explication locales doit en outre tre autor
209. cats import s ne peuvent pas tre tendus par SGN 805306426 Donn es de certificat incoh rentes 805306427 L extension du certificat n a pas t approuv e par un responsable de la s curit 805306428 Erreur de suppression du token 805306429 Le certificat ne peut pas tre supprim par le token car il a t autoris par l utilisateur pr sent 805306430 Un acc s syst me du m me nom existe d j S lectionnez un autre nom 805306431 Aucun r le n est affect au responsable de la s curit La connexion est impossible 805306432 La licence a t viol e 805306433 Aucune licence trouv e 805306435 Chemin du fichier journal manquant ou incorrect 2415919104 Aucune strat gie trouv e 2415919105 Aucun fichier de configuration n est disponible 2415919106 Aucune connexion au serveur 2415919107 Aucune donn e suppl mentaire 2415919108 Priorit non valide utilis e pour l envoi au serveur Identifiant de l erreur 2415919109 Manuel d administration Affichage Donn es suppl mentaires en attente 2415919110 Enregistrement automatique en attente 2415919111 chec de l authentification de la base de donn es 2415919112 Identifiant de session erron 2415919113 Paquet de donn es ignor 3674210305 Domaine introuvable 3674210306 Machine introuvable 3
210. cc s Modification du certificat du responsable de la s curit Condition pr alable pour modifier le certificat d un responsable de la s curit ou d un responsable principal de la s curit vous devez poss der le droit d affichage et de modification des responsables de la s curit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez sur le responsable de la s curit dont vous souhaitez modifier le certificat Le certificat actuellement attribu appara t dans la zone d action de droite dans le champ Certificats 3 Dans la zone d action cliquez sur la liste d roulante Certificats et s lectionnez un certificat diff rent 67 SafeGuard Enterprise 11 14 11 15 1116 68 4 Pour enregistrer les modifications apport es la base de donn es cliquez sur l ic ne Enregistrer de la barre d outils Organisation des responsables de la s curit dans l arborescence Vous pouvez organiser les responsables de la s curit de mani re hi rarchique dans la fen tre de navigation Responsables de la s curit et ce afin de repr senter la structure organisationnelle de votre soci t L arborescence peut tre organis e pour l ensemble des responsables de la s curit l exception des responsables principaux de la s curit Les responsables principaux de la s curit sont affich s dans une liste un niveau sous le n ud Responsable
211. cc s a t attribu au responsable correspondant Par exemple Si le droit a t attribu un n ud parent de l objet de r pertoire s lectionn le n ud parent appara t ici Dans ce cas le responsable de la s curit a h rit du droit d acc s pour l objet de r pertoire s lectionn par l attribution son n ud parent La colonne tat affiche comment le responsable de la s curit a re u le droit d acc s H rit couleur bleue du texte Le droit d acc s a t h rit d un n ud parent Remplac couleur marron du texte Le droit d acc s a t h rit d un n ud parent mais a chang au n ud s lectionn par attribution directe Directement affect couleur noire du texte Le droit d acc s a t attribu directement au n ud s lectionn Pour les droits h rit s vous pouvez afficher une infobulle dans la colonne tat indiquant l origine du droit correspondant Promotion des responsables de La s curit Proc dez comme suit levez un utilisateur au grade de responsable de la s curit dans la zone Utilisateurs et ordinateurs levez un responsable de la s curit au grade de responsable principal de la s curit dans la zone Responsables de la s curit Conditions pr alables la promotion d un utilisateur Un responsable de la s curit avec les droits n cessaires peut promouvoir des utilisateurs au rang de responsables de la s curit et leur attribuer
212. ce dans la zone Utilisateurs et ordinateurs de l onglet Licences Un message d avertissement vous informe que la licence n est pas valide l aide des informations d taill es sur le fichier de licence vous pouvez d terminer le module pour lequel le nombre de licences disponibles est d pass Cet tat de la licence peut tre modifi en faisant voluer en renouvelant ou en mettant la licence niveau Licence non valide erreur Si la valeur de tol rance du nombre de licences ou la p riode de validit d finie dans la licence est d pass e SafeGuard Management Center affiche un message d erreur Dans SafeGuard Management Center le d ploiement de strat gies sur les ordinateurs d extr mit est d sactiv Un message d erreur s affiche dans la zone Utilisateurs et ordinateurs de l onglet Licences l aide des informations d taill es sur le fichier de licence vous pouvez d terminer le module pour lequel le nombre de licences disponibles est d pass Pour surmonter la restriction de fonctionnalit vous pouvez Redistribuer des licences Pour mettre disposition les licences vous pouvez d sinstaller le logiciel sur les ordinateurs d extr mit non utilis s et supprimer ainsi les ordinateurs de la base de donn es SafeGuard Enterprise m Mettre niveau renouveler des licences Manuel d administration Contactez votre partenaire commercial pour mettre niveau ou renouveler votre licence Vous recev
213. cence Une fen tre s ouvre dans laquelle vous pouvez s lectionner le fichier de licence 5 S lectionnez le fichier de licence que vous souhaitez importer puis cliquez sur Ouvrir La bo te de dialogue Application de la licence appara t avec le contenu du fichier de licence 6 Cliquez sur Appliquer la licence Le fichier de licence est import dans la base de donn es SafeGuard Enterprise Apr s avoir import le fichier de licence les licences de module achet es sont indiqu es par le type de licence standard Tous les modules pour lesquels aucune licence n a t achet e et pour lequel la licence d valuation fichier de licence par d faut ou des licences de d monstration individuelles sont utilis es sont marqu s avec le type de licence d monstration Remarque lorsqu un nouveau fichier de licence est import seuls les modules inclus dans ce fichier de licence sont affect s Toute autre information de licence de module est conserv e telle que r cup r e depuis la base de donn es Cette fonctionnalit d importation simplifie l valuation d autres modules suite l achat 29 SafeGuard Enterprise 6 6 6 6 1 6 6 2 30 D passement du nombre de licences Une valeur de tol rance a t d finie dans votre fichier de licence quant au d passement du nombre de licences achet es et la p riode de validit de la licence Si le nombre de licences disponibles par module ou la p riode de validit
214. certificat pour se connecter SafeGuard Management Center Le certificat peut tre cr par SafeGuard Enterprise lui m me ou un certificat existant peut tre utilis Si la connexion avec un token est essentielle le certificat doit tre ajout au token du responsable de la s curit Cr er Le certificat et le fichier de cl sont cr s et enregistr s dans un emplacement choisi Saisissez et confirmez un mot de passe pour le fichier P12 Le fichier p12 doit tre la disposition du responsable de la s curit lorsqu il se connecte Le certificat cr est attribu automatiquement au responsable de la s curit et affich dans Certificat Si des r gles de mot de passe de SafeGuard Enterprise sont utilis es celles ci doivent tre d sactiv es dans Active Directory Remarque longueur max du chemin d enregistrement et du nom de fichier 260 caract res Lors de la cr ation d un responsable de la s curit la partie publique du certificat suffit Lors de la connexion SafeGuard Management Center cependant la partie priv e du certificat le fichier de cl est galement requise Si elle n est pas disponible dans la base de donn es elle doit l tre pour le responsable de la s curit sur une carte m moire par exemple et peut tre stock e dans le magasin de certificats pendant la connexion Certificat Importation Un certificat existant est utilis et attribu au responsable de la s curit
215. chier est compress avec NTFS et ne peut pas tre chiffr 352321648 Le fichier est chiffr avec EFS Identifiant de l erreur 352321649 Manuel d administration Affichage Propri taire du fichier non valide 352321650 Mode de chiffrement du fichier non valide 352321651 Erreur d op ration CBC 385875969 Int grit rompue 402653185 Le token ne contient pas de codes d acc s 402653186 Impossible d crire les codes d acc s sur le token 402653187 Impossible de cr er la balise TDF 402653188 La balise TDF ne contient pas les donn es requises 402653189 L objet existe d j sur le token 402653190 Aucun connecteur valide trouv 402653191 Lecture impossible du num ro de s rie 402653192 Le chiffrement du token a chou 402653193 Le d chiffrement du token a chou 536870913 Le fichier de cl ne contient pas de donn es valides 536870914 Des parties de la paire de cl s RSA sont incorrectes 536870915 Impossible d importer la paire de cl s 536870916 Le format du fichier de cl s n est pas valide 536870917 Aucune donn e disponible 536870918 chec de l importation du certificat 536870919 Le module a d j t initialis 536870920 Le module n a pas encore t initialis 536870921 Le chiffrement ASN 1 est corrompu 536870922 Longue
216. chiffr s par BitLocker Retrouvez plus d informations sur les mots de passe BitLocker la section Code confidentiel et mots de passe la page 171 Les mots de passe peuvent comporter des nombres des lettres et des caract res sp ciaux par exemple etc Toutefois lorsque vous g n rez un nouveau mot de passe n utilisez pas de caract re avec la combinaison ALT lt caract re gt car ce mode de saisie n est pas disponible dans l authentification au d marrage SafeGuard Les r gles relatives aux mots de passe utilis s pour se connecter au syst me sont d finies dans des strat gies du type Mot de passe Remarque retrouvez plus d informations sur l application d une strat gie de mot de passe fort la section Bon usage en mati re de s curit la page 11 ainsi que dans le Manuel SafeGuard Enterprise pour une utilisation conforme la certification L application de r gles de mots de passe et l historique des mots de passe peuvent seulement tre garantis si le fournisseur de codes d acc s SGN est utilis en permanence D finissez des r gles de mots de passe soit dans le SafeGuard Management Center soit dans Active Directory pas dans les deux Param tre de strat gie Explication Mot de passe Longueur minimum du mot de passe Indique le nombre maximum de caract res que doit contenir un mot de passe lorsqu il est modifi par l utilisateur La valeur requise peut tre saisie directement ou augment e r
217. chiffre le fichier de configuration Cliquez sur OK 4 Sp cifiez un nom et un emplacement de stockage pour le fichier de configuration export SGNConiig Si cette configuration existe d j vous tes invit confirmer le remplacement de la configuration existante Le fichier de configuration de base de donn es est enregistr l emplacement de stockage sp cifi Importation d une configuration partir d un fichier Pour utiliser ou modifier une configuration de base de donn es vous pouvez importer une configuration cr e pr c demment dans SafeGuard Management Center Pour ce faire vous pouvez proc der de deux fa ons a Via SafeGuard Management Center Mutualis 33 SafeGuard Enterprise 34 r s 1 6 a En cliquant deux fois sur le fichier de configuration Ind pendant et Mutualis Importation d une configuration avec SafeGuard Management Center 1 D marrez SafeGuard Management Center La bo te de dialogue S lection d une configuration s affiche 2 Cliquez sur Importer recherchez le fichier de configuration souhait puis cliquez sur Ouvrir 3 Entrez le mot de passe du fichier de configuration d fini lors de l exportation puis cliquez sur OK La configuration s lectionn e s affiche 4 Pour activer la configuration cliquez sur OK 5 Pour vous authentifier dans SafeGuard Management Center vous tes invit s lectionner le nom du responsable de la s curit d
218. chiffrement du lecteur E sera bas sur les fichiers dans le chiffrement bas sur les volumes le chiffrement bas sur les volumes est conserv Toutefois si l utilisateur de l UO FBE User n a pas la m me cl il ne peut pas acc der au lecteur E Priorit s au sein d une attribution Au sein d une attribution la strat gie ayant la plus haute priorit 1 se range au dessus d une strat gie ayant une priorit inf rieure Remarque si une strat gie ayant une priorit inf rieure mais ayant t d sign e Ne pas remplacer est attribu e au m me niveau qu une strat gie d un niveau sup rieur cette strat gie sera prioritaire en d pit de son niveau inf rieur Priorit s au sein d un groupe Au sein d un groupe la strat gie ayant la plus haute priorit 1 se range au dessus d une strat gie ayant une priorit inf rieure Indicateurs d tat La d finition d indicateurs d tat permet de changer les r gles par d faut pour les strat gies Bloquer l h ritage de strat gie Param tre des conteneurs pour lesquels vous ne souhaitez pas que des strat gies de niveau sup rieur s appliquent cliquez avec le bouton droit sur l objet dans la fen tre de navigation Propri t s Si vous ne souhaitez pas qu un objet conteneur h rite d une strat gie d un objet plus lev s lectionnez Bloquer l h ritage de strat gie pour l en emp cher Si Bloquer l h ritage de strat gie a t s lectionn pour un objet conten
219. chiffrement ult rieur est ex cut de mani re transparente Dans le cadre d une administration centralis e vous d finissez la gestion des donn es de supports amovibles En tant que responsable de la s curit vous d finissez les param tres sp cifiques dans une strat gie du type Protection des p riph riques avec Supports amovibles comme Cible de protection de p riph rique Le chiffrement bas sur fichier doit tre utilis pour SafeGuard Data Exchange Cl s de groupe Pour changer des donn es chiffr es entre utilisateurs des cl s de groupe SafeGuard Enterprise doivent tre utilis es Si la cl de groupe se trouve dans les jeux de cl s des utilisateurs ces derniers peuvent acc der en toute transparence aux supports amovibles connect s leurs ordinateurs Sur les ordinateurs sur lesquels SafeGuard Enterprise n est pas install il est impossible d acc der aux donn es chiffr es de supports amovibles l exception de la cl de domaine groupe d finie de mani re centralis e qui peut tre utilis e avec la phrase secr te des supports Remarque SafeGuard Portable peut tre utilis pour utiliser partager des donn es chiffr es de supports amovibles sur avec des ordinateurs utilisateurs ne disposant pas de SafeGuard Enterprise SafeGuard Portable n cessite l utilisation de cl s locales ou d une phrase secr te des supports Cl s locales SafeGuard Data Exchange prend en charge le chiffrement l
220. chine Ordinateur gt Utilisateur gt Ordinateur La premi re ex cution sur machine est requise pour les strat gies qui sont crites avant que la connexion utilisateur n intervienne par exemple image d arri re plan lors de la connexion Aucun bouclage param tre standard Ordinateur gt Utilisateur Autres d finitions C est l origine d une strat gie qui permet de d terminer s il s agit d une strat gie d utilisateur ou d une strat gie de machine Un objet de l utilisateur appelle une strat gie d utilisateur et un ordinateur appelle une strat gie d ordinateur La m me strat gie peut tre une strat gie de machine ou d utilisateur selon le point de vue Strat gie d utilisateur Toute strat gie fournie par l utilisateur pour l analyse Si une strat gie est mise en uvre via un seul utilisateur les param tres associ s la machine de cette strat gie ne sont pas appliqu s en d autres termes les param tres associ s l ordinateur ne s appliquent pas Les valeurs par d faut s appliquent Strat gie d ordinateur Toute strat gie fournie par la machine pour l analyse Si une strat gie est mise en uvre via un seul ordinateur les param tres sp cifiques l utilisateur pour cette strat gie sont galement appliqu s La strat gie de l ordinateur repr sente par cons quent une strat gie pour tous les utilisateurs Manuel d administration 15 Utilisation des packages de configuration
221. ckage dans le Cloud sans que SafeGuard Enterprise ne soit install sur le destinataire Le destinataire peut d chiffrer et chiffrer de nouveau les fichiers chiffr s en utilisant SafeGuard Portable et le mot de passe correspondant Le destinataire peut chiffrer de nouveau les fichiers avec SafeGuard Portable ou utiliser la cl d origine pour le chiffrement Il n est pas n cessaire que SafeGuard Portable soit install ou copi sur l ordinateur du destinataire il peut tre utilis directement partir du support amovible ou du dossier de synchronisation du stockage dans le Cloud Cl de chiffrement initial par d faut Ce champ propose une bo te de dialogue de s lection d une cl utilis e pour le chiffrement initial bas sur fichier Si vous s lectionnez une cl ici l utilisateur ne peut pas s lectionner de cl au d marrage du chiffrement initial Le chiffrement initial d marre sans interaction de l utilisateur La cl s lectionn e est toujours utilis e pour le chiffrement initial Exemple Condition pr alable une cl par d faut a t d finie pour le chiffrement initial Le chiffrement initial d marre automatiquement lorsque l utilisateur connecte un p riph rique USB l ordinateur La cl d finie est utilis e L utilisateur ne doit pas intervenir Si l utilisateur souhaite chiffrer de nouveau les fichiers ou enregistrer de nouveaux fichiers sur le p riph rique USB il peut s lectionner la
222. cker Lecteur du syst me d exploitation Pour utiliser la m thode Cl de d marrage veuillez galement activer Autoriser BitLocker sans un module de plateforme s curis e compatible dans la Strat gie de groupe Pour utiliser la m thode TPM PIN sur les tablettes veuillez galement activer la Strat gie de groupe Activer l utilisation de l authentification BitLocker exigeant une saisie au clavier pr alable au d marrage sur tablettes tactiles 173 SafeGuard Enterprise 174 Remarque ces Strat gies de groupe sont automatiquement activ es lors de l installation sur l ordinateur d extr mit Assurez vous que les param tres ne sont pas remplac s par diff rents Strat gies de groupe Une strat gie de protection des p riph riques BitLocker qui d clenche la configuration d un m canisme d authentification par exemple TPM TPM PIN TPM Cl de d marrage va automatiquement d clencher l activation TPM L utilisateur est inform que le TPM doit tre activ et si le syst me doit tre red marr ou arr t selon le TPM utilis Remarque si la gestion de SafeGuard BitLocker est install e sur un ordinateur d extr mit il se peut que l tat de chiffrement d un lecteur indique Non pr par Ceci signifie que le lecteur ne peut actuellement pas tre chiffr avec BitLocker car les pr parations d usage n ont pas encore t effectu es Ceci s applique uniquement aux ordinateurs d extr mit administr s En
223. confidentiel de l utilisateur Condition pr alable Le token doit tre connect Le responsable de la s curit doit conna tre le code confidentiel Ou il doit tre initialis Retrouvez plus d informations la section Initialisation du code confidentiel de l utilisateur la page 229 Vous avez besoin des droits en Lecture seule ou d Acc s complet pour l utilisateur correspondant Dans SafeGuard Management Center cliquez sur Tokens gauche de la zone de navigation s lectionnez le token appropri sous Connecteurs de tokens et s lectionnez l onglet Codes d acc s amp certificats Cliquez sur l ic ne Obtenir les codes d acc s utilisateur et saisissez le code confidentiel de l utilisateur du token Les donn es du token s affichent 28 28 1 Manuel d administration veil par appel r seau WOL s curis Dans SafeGuard Management Center vous pouvez d finir des param tres de strat gie pour l veil par appel r seau WOL s curis afin de pr parer les ordinateurs d extr mit des d ploiements logiciels Si une strat gie correspondante s applique aux ordinateurs d extr mit les param tres n cessaires par exemple la d sactivation de l authentification au d marrage SafeGuard et un intervalle d veil par appel r seau sont transf r s directement sur les ordinateurs d extr mit lorsque les param tres sont analys s L quipe de d ploiement peut concevoir un script de programmation en
224. connecter avec le token Nous vous recommandons d utiliser des certificats PKI Vous pouvez attribuer les donn es d authentification diff rents types de tokens de la mani re suivante En g n rant des certificats directement sur le token a En attribuant des donn es qui sont d j sur le token En important des certificats d un fichier Remarque les certificats de l AC ne peuvent pas provenir d un token et tre stock s dans la base de donn es ou dans le magasin de certificats Si vous utilisez des certificats de l AC ces derniers doivent tre disponibles sous forme de fichiers et pas seulement sur un token Ceci s applique galement aux CRL liste de r vocation des certificats De surcro t les certificats de l AC doivent correspondre la liste de r vocation de certificats pour que les utilisateurs puissent se connecter aux ordinateurs concern s V rifiez que l AC et que la liste de r vocation de certificats correspondante sont correctes SafeGuard Enterprise n effectue pas cette v rification SafeGuard Enterprise ne peut ensuite communiquer avec les certificats ayant expir que si les cl s nouvelles et anciennes sont pr sentes sur la m me carte G n ration de certificats partir de tokens Pour g n rer des certificats partir de tokens vous avez besoin des droits d Acc s complet pour l utilisateur concern Vous pouvez g n rer de nouveaux certificats directement partir du token si par exemple
225. ctement ou augment e r duite l aide des touches fl ch es Longueur maximale de la phrase secr te D finit le nombre maximum de caract res de la phrase secr te La valeur requise peut tre saisie directement ou augment e r duite l aide des touches fl ch es Nombre minimum de lettres Nombre minimum de chiffres Nombre minimum de caract res sp ciaux Ce param tre sp cifie qu une phrase secr te ne peut pas contenir seulement des lettres des nombres ou des symboles mais doit comporter une combinaison de ces 2 au moins par exemple 15 fleur Ce param tre n est pratique que si la longueur minimale d finie pour la phrase secr te est sup rieure 2 Respecter la casse Ce param tre est effectif lorsque l option Interdire l utilisation du nom d utilisateur en tant que phrase secr te est active Exemple le nom d utilisateur ROussos est saisi Si l option Respecter la casse est d finie sur OUI et si Interdire l utilisation du nom d utilisateur en tant que phrase secr te est d finie sur NON l utilisateur ROussos ne peut pas utiliser de variante du nom d utilisateur par exemple roussos ou rOussOS en tant que phrase secr te Interdire l utilisation cons cutive de touches horizontales Concerne les touches dispos es successivement sur les rang es du clavier Par exemple 123 ou aze Un maximum de deux caract res adjacents du clavier est autoris Les s quences de touch
226. ction Utilisateurs de l authentification au d marrage pour connexion l authentification au d marrage SafeGuard la page 118 112 Manuel d administration 18 Listes de comptes de service pour la connexion Windows Remarque les comptes de service sont uniquement pris en charge sur les ordinateurs d extr mit Windows prot g s par SafeGuard Enterprise avec l authentification au d marrage SafeGuard Exemple de sc nario type pour la plupart des mises en uvre une quipe de d ploiement installe de nouveaux ordinateurs dans un environnement sur lequel SafeGuard Enterprise est install Pour des raisons d installation ou de v rification les op rateurs en charge du d ploiement peuvent se connecter leur ordinateur respectif avant que l utilisateur final ne re oive sa nouvelle machine et n active l authentification au d marrage SafeGuard Le sc nario peut ainsi tre le suivant 1 SafeGuard Enterprise est install sur un ordinateur d extr mit 2 Apr s le red marrage de l ordinateur d extr mit l op rateur en charge du d ploiement se connecte 3 L op rateur en charge du d ploiement est ajout l authentification au d marrage SafeGuard qui s active L op rateur en charge du d ploiement devient le propri taire de l ordinateur d extr mit la r ception de son ordinateur l utilisateur final ne pourra pas se connecter l authentification au d marrage SafeGuard L utilisateur doit ex cuter un
227. d Pour le mode veil par appel r seau nous vous conseillons d autoriser trois red marrages de plus que n cessaire pour vos op rations de maintenance pour faire face aux probl mes impr vus Autoriser la connexion Windows pendant l veil par r seau D termine si les connexions Windows locales sont autoris es durant un veil par appel r seau D but de la plage horaire pour le lancement du WOL externe Fin de la plage horaire pour le lancement du WOL externe La date et l heure peuvent tre s lectionn es ou saisies pour le d but et la fin de l veil par appel r seau WOL Format de date MM JJ AAAA Format d heure HH MM Les combinaisons suivantes de saisie sont possibles d but et fin de l veil par appel r seau d finis fin de l veil par appel r seau d finie d but ouvert 157 SafeGuard Enterprise 158 Param tres de strat gie Explication aucune entr e aucun intervalle n a t d fini Pour un d ploiement planifi de logiciels le responsable de la s curit doit d finir la plage de l veil par appel r seau de sorte que le script de programmation puisse d marrer suffisamment t t pour que les ordinateurs d extr mit aient le temps de d marrer WOLstart D but WOL le point de d part de l veil par appel r seau dans le script de programmation doit se trouver dans l intervalle d fini dans la strat gie Si aucun intervalle n est d
228. d fini en tant que strat gie Pour supprimer un mod le veuillez cliquer sur Effacer le mod le Manuel d administration Param tres de strat gie Explication Remarque veuillez ne pas modifier les fichiers de mod les fournis Si la structure XML de ces fichiers est modifi e les param tres ne seront pas reconnus sur l ordinateur d extr mit et le fournisseur de codes d acc s Windows par d faut sera utilis la place PARAM TRES DE PRISE EN CHARGE DU TOKEN Nom du module middleware du token Enregistre le module PKCS 11 d un token Les options suivantes sont disponibles Activeldentity ActivClient Activeldentity ActivClient PIV AET SafeSign Identity Client Aladdin eToken PKI Client a sign Client ATOS CardOS API Charismathics Smart Security Interface Estonian ID Card Gemalto Access Client Gemalto Classic Client Gemalto NET Card IT Solution trustWare CSP M dulo PKCS 11 TC FNMT Nexus Personal RSA Authentication Client 2 x RSA Smart Card Middleware 3 x Siemens CardOS API T Systems NetKey 3 0 Unizeto proCertum Param tres PKCS 11 personnalis s Si vous s lectionnez Param tres PKCS 11 personnalis s les Param tres PKCS 11 personnalis s sont activ s 163 SafeGuard Enterprise Param tres de strat gie Explication Vous pouvez saisir les noms de module utiliser Module PKCS 11 pour Windows Module PKCS 11 pour l authentification au d mar
229. d finie sur Non l utilisateur ROussos ne peut pas utiliser de variante du nom d utilisateur par exemple roussos ou rOussOS en tant que mot de passe Interdire l utilisation cons cutive de touches horizontales Concerne les touches dispos es successivement sur les rang es du clavier Par exemple 123 ou aze Un maximum de deux caract res adjacents du clavier est autoris Les s quences de touches cons cutives ne concernent que la zone du clavier alphanum rique Interdire l utilisation cons cutive de touches verticales Concerne les touches dispos es successivement sur les colonnes du clavier Par exemple wqal xsz2 ou 3edc mais pas wsed xdr5 ou cft6 Un maximum de deux symboles adjacents d une m me colonne clavier est autoris Si vous n autorisez pas les colonnes du clavier ces combinaisons sont rejet es comme mot de passe Les s quences de touches cons cutives ne concernent que la zone du clavier alphanum rique Interdire l utilisation de 3 caract res cons cutifs ou plus L activation de cette option interdit les s quences de touches qui sont des s ries cons cutives de symboles de code ASCII que ce soit par ordre croissant ou d croissant abc ou cba constitu es de trois symboles identiques ou plus aaa ou 111 Interdire l utilisation du nom d utilisateur en tant que mot de passe Indique qu un nom d utilisateu
230. d informations sur les param tres de strat gie correspondants la section Protection des p riph riques la page 150 Cet intervalle de temps existe galement pour les volumes d objets du syst me de fichiers non identifi s qui sont connect s un ordinateur d extr mit notamment lorsque l utilisateur a d j ouvert des fichiers sur le volume lorsque la strat gie de chiffrement prend effet Dans ce cas il n est pas garanti que l acc s au volume sera refus car cela risque de provoquer une perte de donn es 2111 4 21 1 1 5 21 1 2 21 1 21 Manuel d administration Chiffrement des volumes avec la fonctionnalit Autorun activ e Si vous appliquez une strat gie de chiffrement aux volumes pour lesquels Autorun est activ voici ce qui peut se produire Le volume n est pas chiffr a Sile volume est un objet syst me fichier non identifi Unidentified File System Object l acc s n est pas refus Acc s aux volumes chiffr s BitLocker To Go Si SafeGuard Enterprise est utilis avec la prise en charge BitLocker To Go activ e et si une strat gie de chiffrement SafeGuard Enterprise existe pour un volume chiffr BitLocker To Go l acc s au volume est refus Si aucune strat gie de chiffrement SafeGuard Enterprise n existe l utilisateur peut acc der au volume Retrouvez plus d informations sur BitLocker To Go la section BitLocker To Go la page 179 Chiffrement int gral du disque bas sur fic
231. d un responsable de La s curit Condition pr alable pour supprimer un responsable de la s curit ou un responsable principal de la s curit vous devez poss der le droit d affichage et de suppression de responsables de la s curit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit sur le responsable de la s curit ou le responsable principal de la s curit supprimer et s lectionnez Supprimer Vous ne pouvez pas supprimer le responsable de la s curit sous le nom duquel vous tes connect 3 Si le responsable poss de des enfants vous tes invit s lectionner un nouveau n ud parent pour les enfants Manuel d administration Le responsable est supprim de la base de donn es Remarque un responsable principal de la s curit explicitement cr en tant que responsable et non seulement promu au rang de responsable de la s curit doit cependant tre conserv dans la base de donn es Si un utilisateur promu au rang de responsable de la s curit est supprim de la base de donn es son compte utilisateur l est galement Remarque si le responsable supprimer s est vu attribuer un r le incluant une authentification suppl mentaire et si le responsable est le seul qui ce r le a t attribu le responsable sera tout de m me supprim Nous consid rons que le responsable principal de la s curit
232. dant disponible sur l ordinateur d extr mit jusqu ce que le groupe d authentification au d marrage ait t attribu 119 SafeGuard Enterprise 19 4 19 5 19 6 120 Cr ation de groupes POA Pour cr er des groupes POA vous avez besoin des droits d Acc s complet pour le n ud POA sous Utilisateurs et ordinateurs Pour attribuer des utilisateurs de l authentification au d marrage aux ordinateurs d extr mit les comptes doivent tre r organis s en groupes 1 Dans la zone de navigation de SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la zone de navigation Utilisateurs et ordinateurs sous POA s lectionnez Groupes POA 3 Dans le menu contextuel des Groupes POA cliquez sur Nouveau gt Cr er un groupe La bo te de dialogue Cr er un groupe s affiche 4 Dans le champ Nom complet saisissez le nom du nouveau groupe POA 5 Ajoutez ventuellement une description 6 Cliquez sur OK Le nouveau groupe POA est cr Il appara t sous Groupes POA dans la zone de navigation Utilisateurs et ordinateurs Vous pouvez maintenant ajouter des utilisateurs POA au groupe POA Ajout d utilisateurs dans les groupes POA Pour modifier les groupes POA vous avez besoin des droits d Acc s complet pour le n ud POA sous Utilisateurs et ordinateurs 1 Dans la zone de navigation de SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigatio
233. de MSO et cr de mani re explicite en tant que MSO dans la base de donn es SafeGuard Enterprise Un responsable principal de la s curit peut d l guer des t ches une autre personne Pour ce faire vous pouvez proc der de deux fa ons Un nouveau responsable de la s curit peut tre cr dans Responsables de la s curit a Un utilisateur ou tous les membres d un conteneur import d Active Directory et visibles dans le r pertoire racine de SafeGuard Management Center peuvent tre promus au rang de responsable de la s curit dans Utilisateurs et ordinateurs Un ou plusieurs r les peuvent alors tre attribu s aux responsables de la s curit Par exemple un utilisateur peut se voir attribuer le r le de responsable supervision et celui de responsable du support Toutefois le responsable principal de la s curit peut galement cr er des r les personnalis s et les attribuer des utilisateurs particuliers R les pr d finis Dans SafeGuard Management Center les r les de responsable de la s curit suivants sauf ceux du MSO sont pr d finis L attribution des droits ces r les pr d finis ne peut tre chang e Par exemple si un r le pr d fini poss de le droit de cr ation d l ments de strat gie et de groupes de strat gies ce droit ne peut pas tre supprim du r le De m me un nouveau droit ne peut pas tre ajout un r le pr d fini Toutefois vous pouvez attribuer
234. de SGMCMDintn WOLstart entre le 24 sept 2014 midi et le 26 sept 2014 9 heures du matin se trouve dans l intervalle de l veil par appel r seau et ce dernier sera par cons quent activ Manuel d administration 29 Options de r cup ration SafeGuard Enterprise propose plusieurs options de r cup ration adapt es diff rents sc narios R cup ration de connexion avec Local Self Help Local Self Help permet aux utilisateurs ayant oubli leur mot de passe de se connecter leur ordinateur sans l aide du support Les utilisateurs peuvent acc der de nouveau leur ordinateur m me si aucune connexion t l phonique ou r seau n est disponible bord d un avion par exemple Pour se connecter ils doivent r pondre un certain nombre de questions pr d finies dans l authentification au d marrage SafeGuard Local Self Help r duit le nombre d appels de r cup ration de connexion et ainsi les t ches de routine des membres du support en leur permettant de se concentrer sur des demandes plus complexes Retrouvez plus d informations la section R cup ration avec Local Self Help la page 236 R cup ration avec Challenge R ponse Le m canisme Challenge R ponse est un syst me de r cup ration de connexion s curis et efficace qui vient en aide aux utilisateurs qui ne peuvent pas se connecter leur ordinateur ou acc der aux donn es chiffr es Lors de la proc dure Challenge R ponse l utilisateur commu
235. de chiffrement sur l ordinateur d extr mit Retrouvez plus d informations la section valuation des r gles de Chiffrement de fichiers sur les ordinateurs d extr mit la page 193 La colonne Nom de la strat gie indique d o les r gles individuelles proviennent 23 4 23 5 23 6 Manuel d administration Pour les r gles en double la seconde et la troisi me etc r gle est marqu e d une ic ne Cette ic ne fournit aussi une infobulle vous informant que la r gle sera ignor e sur l ordinateur d extr mit car il s agit du double d une r gle avec une priorit sup rieure valuation des r gles de Chiffrement de fichiers sur les ordinateurs d extr mit Sur les ordinateurs d extr mit les r gles de Chiffrement de fichiers sont tri es d une telle fa on que les emplacements plus sp cifiquement d finis sont valu s en premier Si deux r gles avec les m mes param tres Chemin et tendue proviennent de strat gies attribu es des n uds diff rents la r gle de la strat gie la plus proche de l objet utilisateur dans Utilisateurs et ordinateurs est appliqu e Si deux r gles avec les m mes param tres Chemin et tendue proviennent de strat gies attribu es au m me n ud la r gle de la strat gie ayant la priorit la plus lev e est appliqu e a Les r gle absolues sont valu es avant les r gles relatives par exemple c encrypt avant encrypt Retrouvez plus d informations la secti
236. de type Param tres g n raux dans SafeGuard Management Center en utilisant le param tre Personnalisation gt Langue utilis e sur le client Sila langue du syst me d exploitation est s lectionn e SafeGuard Enterprise utilise le param tre de langue du syst me d exploitation Si la langue du syst me d exploitation n est pas disponible dans SafeGuard Enterprise la langue de SafeGuard Enterprise est d finie par d faut sur l anglais a Si l une des langues disponibles est s lectionn e les fonctions de SafeGuard Enterprise apparaissent dans la langue s lectionn e sur l ordinateur d extr mit 5D sM 9 2 Manuel d administration Configuration de SafeGuard Management Center Apr s l installation vous devez configurer SafeGuard Management Center L assistant de configuration de SafeGuard Management Center propose une assistance conviviale qui vous aide sp cifier les param tres de base du SafeGuard Management Center et la connexion la base de donn es Il s ouvre automatiquement lorsque vous d marrez SafeGuard Management Center pour la premi re fois apr s l installation Vous pouvez configurer SafeGuard Management Center pour l utiliser avec une base de donn es ou avec plusieurs Architecture mutualis e Remarque vous devez ex cuter la configuration initiale l aide de l assistant de configuration pour les configurations ind pendantes et mutualis es Conditions pr alables Les conditions pr a
237. dentiel Remarque ce param tre n est disponible que si vous s lectionnez Carte puce comme Mode de connexion possible 225 SafeGuard Enterprise 27 7 27 1 1 226 5 Dans Connexion automatique vers Windows d finissez D sactiver la connexion automatique vers Windows Si vous ne s lectionnez pas cette option lorsqu un code confidentiel par d faut est sp cifi vous ne pourrez pas enregistrer la strat gie Si vous souhaitez activer l option Connexion automatique vers Windows vous pouvez cr er ult rieurement une autre strat gie du type Authentification dans laquelle cette option est activ e et l attribuer au m me groupe d ordinateurs afin que les deux strat gies soient actives dans le RSOP 6 Vous pouvez galement sp cifier d autres param tres de token 7 Enregistrez vos param tres et attribuez la strat gie aux ordinateurs ou groupes d ordinateurs concern s Windows d marre si la connexion automatique sur l ordinateur d extr mit r ussit En cas d chec de la connexion automatique sur l ordinateur d extr mit l utilisateur est invit saisir le code confidentiel de token lors de l authentification au d marrage SafeGuard Attribution de certificats Les informations de connexion mais galement les certificats peuvent tre crits sur un token Seule la partie priv e du certificat fichier p12 peut tre enregistr e sur le token En revanche les utilisateurs peuvent alors seulement se
238. des r les 65 SafeGuard Enterprise VE 66 Les responsables de la s curit ainsi cr s peuvent se connecter SafeGuard Management Center avec leurs codes d acc s Windows ou leur code confidentiel de token carte puce lls peuvent travailler et tre g r s comme tout autre responsable de la s curit Les conditions pr alables suivantes doivent tre remplies Les utilisateurs promouvoir doivent avoir t import s depuis un Active Directory et tre visibles dans la zone Utilisateurs et ordinateurs de SafeGuard Management Center a Pour permettre un utilisateur promu de se connecter SafeGuard Management Center en tant que responsable de la s curit un certificat d utilisateur est n cessaire Vous pouvez cr er ce certificat lors de la promotion d un utilisateur Retrouvez plus d informations la section Promotion d un utilisateur au rang de responsable de la s curit la page 66 Pour rendre possible la connexion avec les codes d acc s Windows le fichier p12 contenant la cl priv e doit se trouver dans la base de donn es SafeGuard Enterprise Pour se connecter avec un code confidentiel de token ou de carte puce le fichier p12 contenant la cl priv e doit se trouver sur le token ou la carte puce Remarque si vous cr ez le certificat lors de la promotion d un utilisateur ce dernier va devoir utiliser le mot de passe du certificat pour se connecter SafeGuard Management Center Il va
239. devoir saisir le mot de passe du certificat m me s il est invit saisir le mot de passe Windows Ceci s applique galement lors de la connexion SafeGuard Enterprise Web Help Desk Promotion d un utilisateur au rang de responsable de la s curit Condition pr alable pour promouvoir un utilisateur vous devez tre responsable principal de la s curit ou responsable de la s curit avec les droits n cessaires 1 Dans SafeGuard Management Center s lectionnez Utilisateurs et ordinateurs 2 Cliquez avec le bouton droit sur l utilisateur que vous souhaitez promouvoir au rang de responsable de la s curit et s lectionnez Faire de cet utilisateur un responsable de la s curit 3 L tape suivante est diff rente selon qu un certificat utilisateur est disponible ou non pour l utilisateur s lectionn a Si un certificat utilisateur a d j t attribu cet utilisateur la bo te de dialogue S lection d un ou des r les appara t Passez l tape 4 a Si aucun certificat utilisateur est disponible un message appara t vous demandant si une paire de cl s signature automatique doit tre cr e pour cet utilisateur Cliquez sur Oui et saisissez et confirmez un mot de passe dans la bo te de dialogue Mot de passe pour le nouveau certificat Maintenant la bo te de dialogue S lection du ou des r les appara t 4 Dans la bo te de dialogue S lection du ou des r les s lectionnez les r les requis et cliq
240. disposition du clavier est effectivement prise en charge mais l absence d une police de caract res par exemple pour le bulgare signifie que seuls les caract res sp ciaux sont affich s dans le champ Nom d utilisateur a Aucune disposition du clavier n est disponible par exemple pour la R publique Dominicaine Dans ces situations l authentification au d marrage SafeGuard revient la disposition du clavier d origine Pour la R publique Dominicaine il s agit de l espagnol 107 SafeGuard Enterprise 16 4 4 1 108 a Lorsque le nom d utilisateur et le mot de passe comportent des caract res non reconnus par la disposition du clavier choisie ou par celle de secours l utilisateur ne peut pas se connecter l authentification au d marrage SafeGuard Remarque toutes les dispositions du clavier non prises en charge utilisent la disposition de clavier am ricaine par d faut Cela signifie galement que les seuls caract res reconnus et pouvant tre saisis au clavier sont ceux pris en charge dans la disposition du clavier am ricain De la sorte les utilisateurs peuvent uniquement se connecter lors de l authentification au d marrage SafeGuard si leur nom d utilisateur et leur mot de passe sont compos s de caract res pris en charge dans la disposition du clavier de la langue correspondante Clavier virtuel SafeGuard Enterprise propose aux utilisateurs un clavier virtuel qu ils peuvent afficher masquer l authentif
241. dministration Pour renforcer la protection des ordinateurs d extr mit vous pouvez emp cher la d sinstallation locale de SafeGuard Enterprise dans une strat gie Param tres de machine sp cifiques D finissez l option D sinstallation autoris e sur Non et d ployez cette strat gie sur les ordinateurs d extr mit Les tentatives de d sinstallation sont annul es et les tentatives non autoris es sont journalis es Si vous utilisez une version de d monstration assurez vous que vous param trez D sinstallation autoris e sur Oui avant que la version de d monstration n expire Appliquez la protection antialt ration Sophos sur les ordinateurs d extr mit utilisant Sophos Endpoint Security and Control 13 SafeGuard Enterprise 14 3 propos de SafeGuard Management Center SafeGuard Management Center est la console permettant de g rer les ordinateurs chiffr s avec SafeGuard Enterprise Gr ce SafeGuard Management Center vous pouvez mettre en place une strat gie de s curit dans toute l entreprise et l appliquer aux ordinateurs d extr mit SafeGuard Management Center vous permet de Cr er ou importer la structure organisationnelle a Cr er des responsables de la s curit a D finir des strat gies Exporter et importer des configurations Surveiller les ordinateurs via les fonctionnalit s de journalisation tendues a R cup rer des mots de passe et l acc s aux ordinateurs chiffr s Gr
242. donn es SafeGuard Enterprise diff re de celui pr sent sur les ordinateurs d extr mit qui doivent recevoir le nouveau package de configuration s lectionnez le CCO Company Certificate Change Order ad quat Dans Utilisateurs et ordinateurs dans l onglet Inventaire du domaine appropri de l O ou de l ordinateur une coche manquante sous Certificat d entreprise actuel indique qu une modification de certificat d entreprise est n cessaire Les informations sont disponibles sur le CCO requis dans l onglet CCO de l Outil du package de configuration dans le menu Outils Remarque si les certificats d entreprise actuellement actifs dans la base de donn es SafeGuard Enterprise et sur l ordinateur d extr mit ne correspondent pas et si aucun CCO appropri n est inclus le d ploiement du nouveau package de configuration sur l ordinateur d extr mit chouera S lectionnez le mode Chiffrement du transport d finissant comment chiffrer la connexion entre le client SafeGuard Enterprise et le serveur SafeGuard Enterprise chiffrement Sophos ou SSL Le protocole SSL pr sente l avantage d tre standard et de permettre d tablir une connexion plus rapidement qu en utilisant le chiffrement de transport SafeGuard Le chiffrement SSL est s lectionn par d faut Retrouvez plus d informations sur la s curisation des connexions de transport avec SSL dans le Guide d installation de SafeGuard Enterprise Indiquez un chemin de sortie pour le p
243. dt new Favorites Go view Tools e 0e peje jx ialgx ES IE a e ea aaa IER C aD E aX EE 8 8 HE 90 bi Normal Overwrite Zip Password M Relative Path I Update M Hidden System 0 object s 0 object s selected D 0 00 KB free 0 00 KB total Bei Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer HERRA Le contenu du lecteur chiffr ne s affiche pas dans le gestionnaire de fichiers Ni le syst me de fichiers ni la capacit et l espace utilis libre ne figurent dans les propri t s du lecteur chiffr Au bas du gestionnaire de fichiers dans la section Lancement rapide cliquez sur l ic ne KeyRecovery pour ouvrir l outil de r cup ration de cl KeyRecovery L outil de r cup ration de cl KeyRecovery affiche l identifiant de cl des lecteurs chiffr s R cup rer les cl s xj SafeGuard k S lection de la langue Volume chiffr s avec CA 4 Recherchez l identifiant de cl des lecteurs auxquels vous souhaitez acc der Vous devrez fournir cet identifiant de cl ult rieurement 247 SafeGuard Enterprise 29 26 39 248 Importez ensuite le client virtuel dans l outil de r cup ration de cl Importation du client virtuel dans l outil de r cup ration de cl KeyRecovery Condition pr alable L ordinateur a t d marr depuis le disque de r cup ration V rifiez que
244. du planificateur T che du planificateur cr e ou modifi e T che du planificateur supprim e Sauvegarde du noyau r ussie Premi re tentative de restauration du noyau r ussie Deuxi me tentative de restauration du noyau r ussie chec de la sauvegarde du noyau chec de la restauration du noyau Suivi de fichiers pour les supports amovibles un fichier a t cr 305 SafeGuard Enterprise Cat gorie Identifiant Description d v nement Suivi de fichiers pour les supports amovibles un fichier a t renomm Suivi de fichiers pour les supports amovibles un fichier a t supprim Suivi de fichiers pour le stockage Cloud un fichier a t cr Suivi de fichiers pour le stockage Cloud un fichier a t renomm Suivi de fichiers pour le stockage Cloud un fichier a t supprim L utilisateur a modifi ses secrets LSH apr s la connexion Activation de LSH D sactivation de LSH LSH est disponible client Enterprise LSH est disponible client autonome D sactivation de LSH client Enterprise LSH n est pas disponible client autonome La liste QST questions LSH a t modifi e La d sinstallation du client de protection de configuration a chou La sauvegarde de cl a t enregistr e dans le partage r seau sp cifi La sauvegarde de cl n a pas pu tre enregistr e dans le partage r seau sp cifi
245. duels la section Param tres de machine sp cifiques param tres de base la page 156 tant donn que le nombre de connexions automatiques est d fini sur 5 l ordinateur d extr mit d marre 5 fois sans identification l authentification au d marrage SafeGuard Remarque pour le mode veil par appel r seau nous vous conseillons d autoriser trois red marrages de plus que n cessaire pour faire face aux probl mes impr vus 233 SafeGuard Enterprise 234 Le responsable de la s curit d finit l intervalle sur 12 heures ou midi le jour pr c dant le d ploiement de logiciels Ainsi le script de planification SGMCMDIntn exe d marre l heure et l veil par appel r seau ne se lance qu partir du 25 septembre 3 heures du matin L quipe de d ploiement des logiciels cr e deux commandes pour le script de programmation D marrage 24 sept 2014 12 15 SGMCMDIntn exe WOLstart D marrage 26 sept 2014 09 00 SGMCMDIntn exe WOLstop Le script de d ploiement des logiciels est dat du 25 09 2014 03 00 L veil par appel r seau peut tre nouveau explicitement d sactiv la fin du script en utilisant SGMCMDIntn exe WOLstop Tous les ordinateurs d extr mit ouvrant une session avant le 24 septembre 2014 et se connectant aux serveurs de d ploiement recevront la nouvelle strat gie et les commandes de programmation Tout ordinateur d extr mit sur lequel la programmation d clenche la comman
246. duite l aide des boutons en forme de fl che Longueur maximale du mot de passe Sp cifie le nombre maximum de caract res que peut contenir un mot de passe lorsque l utilisateur en change La valeur requise peut tre saisie directement ou augment e r duite l aide des boutons en forme de fl che Nombre minimum de lettres Ces param tres sp cifient qu un mot de passe ne doit pas contenir seulement des lettres des nombres ou des caract res Nombre minimum de chiffres Rs x ia sp ciaux mais une combinaison de ces 2 au moins par exemple Nombre minimum de caract res sp ciaux 15fleur Ce param tre n est pratique que si la longueur minimale d finie pour le mot de passe est sup rieure 2 Respecter la casse Ce param tre ne s applique qu avec Utiliser la liste des mots de passe interdits et Interdire l utilisation du nom d utilisateur en tant que mot de passe Exemple 1 vous avez saisi tableau dans la liste des mots de passe interdits Si l option Respecter la casse est d finie sur Oui les variantes suppl mentaires du mot de passe telles que TABLEAU TablEAU ne seront pas accept es et la connexion sera refus e Exemple 2 le nom d utilisateur ROussos est saisi Si l option Respecter la casse est d finie sur Oui et si l option Interdire 143 SafeGuard Enterprise 144 Param tre de strat gie Explication l utilisation du nom d utilisateur en tant que mot de passe est
247. e Bienvenue cliquez sur Suivant Dans la bo te de dialogue Connexion au serveur de base de donn es sous Serveur de base de donn es s lectionnez dans la liste l instance de base de donn es SQL souhait e Tous les serveurs de base de donn es disponibles sur votre ordinateur ou sur votre r seau s affichent Sous Authentification activez le type d authentification utiliser pour acc der cette instance du serveur de base de donn es Si vous s lectionnez Utiliser l authentification SQL Server saisissez les codes d acc s du compte utilisateur SQL que votre administrateur SQL a cr Cliquez sur Suivant Sur la page Param tres de base de donn es cliquez sur S lectionner une base de donn es disponible et s lectionnez dans la liste la base de donn es correspondante Cliquez sur Suivant Dans Authentification SafeGuard Management Center s lectionnez une personne autoris e dans la liste Si le mode mutualis est activ la bo te de dialogue s affiche pour la configuration laquelle l utilisateur est sur le point de se connecter Saisissez et confirmez le mot de passe du magasin de certificats Un magasin de certificats est cr pour le compte utilisateur actuel et il est prot g par ce mot de passe Pour toute connexion future vous n avez besoin que de ce mot de passe Cliquez sur OK Un message s affiche indiquant que le certificat et la cl priv e n ont pas t trouv s ou sont inaccessibles
248. e EE tr ess r def ta re re Par net matt AT EN 193 23 5 Conflit entre les r gles File Encryption 193 23 6 Utilisation de File Encryption et de SafeGuard Data Exchange 193 24 SafeGuard Data Exchange sis 195 24 1 Cl s de groupe iisiiiiieeeesiiaseeennere 195 24 2 Cl s locale A At nn AR a a nn EN sine 195 24 3 Phrase secr te des supports 196 MAA BONUSAUE street rat e er ft memes ete EEE ee RENEA REEERE 197 24 5 Configuration des applications fiables et ignor es pour SafeGuard Data Exchange han isa hentai AASS TAA 201 24 6 Configuration des p riph riques ignor s pour SafeGuard Data Exchange 202 24 7 Configuration du chiffrement permanent pour SafeGuard Data Exchange 203 24 8 Suivi de fichiers sur supports amovibles 203 24 9 SafeGuard Data Exchange et File Encryption nees 203 25 Cloud Storages eiia e net BA Hate mn le mr ad der te anse 2 iS 205 25 1 Conditions requises pour le logiciel de Cloud Storage 205 25 2 Cr ation de d finitions Cloud Storage CSD 205 25 3 Cr ation d une strat gie de protection des p riph riques avec une d finition Cloud Storage sis nn re a aE A E 210 25 4 Suivi de fichiers dans le stockage Cloud 211 26 Attribution utilisateur machine era ee Ea 212 26 1 Attribution utilisateur machine dans SafeGuard Management Center 212 26 2 Attribution de groupes d utilisateurs et d ordinat
249. e cette configuration et saisir son mot de passe de magasin de certificats Cliquez sur OK SafeGuard Management Center est ouvert et reli la configuration de base de donn es import e Importation d une configuration en cliquant deux fois sur le fichier de configuration Ind pendant et Mutualis Remarque cette t che est disponible en mode Ind pendant et Mutualis Vous pouvez galement exporter une configuration et la distribuer vers plusieurs responsables de la s curit Les responsables de la s curit cliquent deux fois alors sur le fichier de configuration pour ouvrir une instance de SafeGuard Management Center totalement configur e Ceci est utile lorsque vous utilisez l authentification SQL pour la base de donn es et souhaitez viter que chaque administrateur connaisse le mot de passe SQL Dans ce cas vous ne le saisissez ensuite qu une seule fois vous cr ez un fichier de configuration et vous le distribuez vers les ordinateurs des responsables de la s curit concern s Condition pr alable la configuration initiale de SafeGuard Management Center doit avoir t effectu e Retrouvez plus d informations dans le Guide d installation de SafeGuard Enterprise 1 D marrez SafeGuard Management Center 2 S lectionnez Options dans le menu Outils et s lectionnez l onglet Base de donn es 3 Saisissez et confirmez les codes d acc s de la connexion au serveur de base de donn es SQL 4 Cliquez sur E
250. e comptes de service sont d finies dans la zone Strat gies de SafeGuard Management Center et attribu es aux ordinateurs d extr mit via des strat gies Les utilisateurs figurant sur une liste de comptes de service sont consid r s comme des utilisateurs invit s lorsqu ils se connectent l ordinateur d extr mit Remarque les listes de comptes de service sont attribu es aux ordinateurs d extr mit dans les strat gies Elles doivent tre attribu es dans le premier package de configuration SafeGuard Enterprise cr pour la configuration des ordinateurs d extr mit Retrouvez plus d informations la section Listes de comptes de service pour la connexion Windows la page 113 Utilisateurs de l authentification au d marrage pour connexion l authentification au d marrage SafeGuard Les utilisateurs de l authentification au d marrage sont des comptes locaux pr d finis qui permettent aux utilisateurs de se connecter connexion l authentification au d marrage SafeGuard aux ordinateurs d extr mit une fois l authentification au d marrage SafeGuard activ e pour effectuer des t ches administratives Les comptes sont d finis dans la zone Utilisateurs et ordinateurs de SafeGuard Management Center identifiant utilisateur et mot de passe et attribu s aux ordinateurs d extr mit au moyen de groupes d authentification au d marrage inclus dans les packages de configuration Retrouvez plus d informations la se
251. e de donn es Au prochain lancement de SafeGuard Management Center la nouvelle configuration de base de donn es peut tre s lectionn e dans la liste Connexion une configuration de base de donn es existante Pour travailler avec une configuration de base de donn es SafeGuard Enterprise 1 D marrez SafeGuard Management Center La bo te de dialogue S lection d une configuration s affiche 2 S lectionnez la configuration de base de donn es souhait e dans la liste d roulante et cliquez sur OK La configuration de base de donn es s lectionn e est reli e SafeGuard Management Center et devient active 8 Pour vous authentifier dans SafeGuard Management Center vous tes invit s lectionner le nom du responsable de la s curit de cette configuration et saisir son mot de passe de magasin de certificats Cliquez sur OK SafeGuard Management Center d marre et se connecte la configuration de base de donn es s lectionn e Exportation d une configuration dans un fichier Pour enregistrer ou r utiliser une configuration de base de donn es vous pouvez l exporter dans un fichier 1 D marrez SafeGuard Management Center La bo te de dialogue S lection d une configuration s affiche 2 S lectionnez la configuration de base de donn es respective dans la liste et cliquez sur Exporter 3 Pour s curiser le fichier de configuration vous tes invit saisir et confirmer un mot de passe qui
252. e de destination et un nom de fichier pour le fichier cco Confirmez que vous voulez passer un Ordre de changement du certificat d entreprise Sachez qu un CCO n est pas reli des ordinateurs d extr mit sp cifiques l aide d un CCO tout client de l environnement source peut tre d plac 3 Dans l outil d administration cible veuillez importer le CCO cr dans l outil d administration source Dans le menu Outils cliquez sur Outil de package de configuration et s lectionnez l onglet CCO Cliquez sur Importer 4 Dans la bo te de dialogue Importer un CCO s lectionnez le CCO que vous avez cr dans l outil d administration source et saisissez un nom de CCO et si vous le souhaitez une description Cliquez sur OK 5 Dans l outil d administration cible cr ez un nouveau package de configuration Dans le menu Outils cliquez sur Outil de package de configuration gt Packages du client autonome et ajoutez un nouveau package de configuration S lectionnez le CCO import dans le menu d roulant dans la colonne CCO Sp cifiez un emplacement sous Chemin de sortie du package de configuration Cliquez sur Cr er un package de configuration Le package de configuration est cr dans l emplacement sp cifi 6 Installez ce package de configuration sur tous les ordinateurs d extr mit que vous voulez d placer de l environnement source vers l environnement cible Gestion des ordres de changement du certificat d entreprise
253. e de s curit du type Protection des p riph riques Retrouvez plus d informations aux sections Utilisation de strat gies la page 86 et Protection des p riph riques la page 150 Remarque la fonctionnalit de chiffrement int gral du disque d crite aux sections suivantes peut uniquement tre utilis e avec les syst mes BIOS Windows 7 Si vous utilisez d autres syst mes tel que UEFI ou Windows 8 veuillez utiliser la fonctionnalit int gr e de Chiffrement de lecteur BitLocker de Windows Retrouvez plus d informations la section Chiffrement de lecteur BitLocker la page 170 Chiffrement int gral du disque bas sur volume Avec le chiffrement int gral du disque bas sur volume toutes les donn es pr sentes sur un volume y compris les fichiers de d marrage les fichiers de pages les fichiers de mise en veille prolong e les fichiers temporaires les informations de r pertoire etc sont chiffr es Les utilisateurs n ont pas changer les proc dures de fonctionnement normales ou penser la s curit Pour appliquer le chiffrement bas sur volume aux ordinateurs d extr mit cr ez une strat gie du type Protection des p riph riques et d finissez le Mode de chiffrement du support sur Bas sur volume Retrouvez plus d informations la section Protection des p riph riques la page 150 Remarque a Le chiffrement d chiffrement bas sur volume n est pas pris en charge pour les lecteurs sans le
254. e domaine Il existe plusieurs m thodes servant sp cifier des utilisateurs dans les listes de comptes de service Deux champs sont alors utilis s Nom d utilisateur et Nom du domaine Les restrictions s appliquent aussi pour les entr es valides dans ces champs Pr sentation des diff rentes combinaisons de connexion Les deux champs distincts Nom d utilisateur et Nom du domaine par entr e de liste vous permettent de couvrir toutes les combinaisons disponibles de connexion par exemple utilisateur domaine ou domaine utilisateur Pour g rer plusieurs combinaisons nom d utilisateur nom de domaine vous pouvez utiliser des ast risques comme caract res g n riques Une ast risque peut remplacer le premier signe le dernier signe ou tre le seul signe autoris Par exemple u Nom d utilisateur Administrateur u Nom du domaine Cette combinaison indique tous les utilisateurs ayant pour nom d utilisateur Administrateur et se connectant un poste en local ou en r seau quel qu il soit Le nom du domaine pr d fini LOCALHOST disponible dans la liste d roulante du champ Nom du domaine indique une connexion n importe quel ordinateur en local Manuel d administration Par exemple Nom d utilisateur admin Nom du domaine LOCALHOST Cette combinaison indique tous les utilisateurs dont le nom d utilisateur se termine par admin et se connectant un poste en local quel qu il soit Les utilisa
255. e fichier de cl dans l environnement respectif des ordinateurs d extr mit Il doit tre disponible avant que le code de r ponse ne soit saisi sur l ordinateur d extr mit 12 5 4 1255 12 5 6 125 7 Manuel d administration Affichage et filtrage des vues Client virtuel Pour trouver plus facilement le client virtuel ou les cl s demand s lors d un Challenge R ponse il existe plusieurs possibilit s de filtrage et de recherche dans SafeGuard Management Center sous Cl s et certificats Vues des clients virtuels 1 Cliquez sur Clients virtuels dans la fen tre de navigation de gauche 2 Cliquez sur la loupe pour g n rer la liste compl te de tous les clients virtuels 3 Filtrez les clients virtuels par Nom symbolique ou par GUID de cl Vues des fichiers de cl s export s 1 Dans SafeGuard Management Center cliquez sur Clients virtuels puis sur Fichiers de cl s export s 2 Cliquez sur la loupe pour g n rer la liste compl te de tous les fichiers de cl s export s 8 Cliquez sur l ic ne situ e en regard du fichier de cl requis pour afficher les cl s contenues dans ce fichier Suppression de clients virtuels 1 Ouvrez SafeGuard Management Center et cliquez sur Cl s et certificats 2 Cliquez sur Clients virtuels dans la fen tre de navigation de gauche 8 Dans la zone d action recherchez le client virtuel concern en cliquant sur la loupe Les clients virtuels disponibles apparaissent 4
256. e fichier de licence inclut entre autres informations Le nombre de licences achet es par module Le nom du d tenteur de la licence Une limite de tol rance sp cifi e pour le d passement du nombre de licences Si le nombre de licences disponibles ou la limite de tol rance est d pass des messages d avertissement erreur correspondants s affichent au d marrage de SafeGuard Management Center Dans la zone Utilisateurs et ordinateurs SafeGuard Management Center propose un aper u de l tat de la licence du syst me SafeGuard Enterprise install L affichage de l tat de la licence est disponible dans l onglet Licences du n ud racine des domaines des OU des objets conteneurs et des groupes de travail C est l que les responsables de la s curit peuvent trouver des informations d taill es sur l tat de la licence S ils ont les droits suffisants ils peuvent importer des licences dans la base de donn es SafeGuard Enterprise Fichier de licence Le fichier de licence importer dans la base de donn es SafeGuard Enterprise que vous recevez est un fichier XML avec une signature Le fichier de licence inclut les informations suivantes Nom de la soci t Informations suppl mentaires d partement filiale par exemple Date de g n ration Nombre de licences par module Informations sur la licence du token Date d expiration de la licence Type de licence d monstration ou compl te S
257. e fonction offerte par SafeGuard Enterprise Cl s de chiffrement pour BitLocker Lors d un chiffrement du volume de d marrage ou d autres volumes avec BitLocker via SafeGuard Enterprise les cl s de chiffrement sont toujours g n r es par BitLocker Une cl est g n r e par BitLocker pour chaque volume et ne peut pas tre r utilis e Lors de l utilisation de BitLocker avec SafeGuard Enterprise une cl de sauvegarde est stock e dans la base de donn es SafeGuard Enterprise Ceci permet de d finir un m canisme d assistance et de r cup ration similaire au m canisme de Challenge R ponse de SafeGuard Enterprise Il n est cependant pas possible de s lectionner globalement des cl s et de les r utiliser avec des clients SafeGuard Enterprise natifs Les cl s n apparaissent pas dans SafeGuard Management Center 175 SafeGuard Enterprise 21 25 2 21 2 5 3 176 Remarque BitLocker vous permet galement de sauvegarder les cl s de r cup ration dans Active Directory Si cette option est activ e dans les objets de strat gie de groupe GPO l op ration est effectu e automatiquement lorsqu un volume est chiffr avec BitLocker Si un volume est d j chiffr l administrateur peut sauvegarder les cl s de r cup ration manuellement l aide de l outil Manage BDE de Windows voir manage bde protectors adbackup Algorithmes BitLocker dans SafeGuard Enterprise BitLocker prend en charge les algorithmes AES
258. e param tre pour un v nement la valeur par d faut correspondante s applique 4 Pour tous les v nements s lectionn s une coche verte s affiche dans la colonne correspondante Enregistrez vos param tres Apr s avoir attribu la strat gie les v nements s lectionn s sont journalis s dans la destination en sortie correspondante Remarque retrouvez une liste de tous les v nements pouvant tre journalis s la section Ev nements disponibles pour les rapports la page 297 Affichage des v nements journalis s En tant que responsable de la s curit disposant des droits n cessaires vous pouvez consulter les v nements journalis s dans la base de donn es centrale de l Observateur d v nements de SafeGuard Management Center Pour r cup rer les entr es journalis es dans la base de donn es centrale 1 Dans la zone de navigation de SafeGuard Management Center cliquez sur Rapports 2 Dans la zone de navigation Rapports s lectionnez Observateur d v nements 3 Dans la zone d action Observateur d v nements droite cliquez sur l ic ne de la loupe Tous les v nements journalis s dans la base de donn es centrale apparaissent dans l Observateur d v nements 273 SafeGuard Enterprise Les colonnes indiquent les informations suivantes relatives aux v nements journalis s Colonne Description Identifiant Affiche un num ro identifiant l v nement v nement Affiche
259. e perte d un token le responsable de la s curit peut l identifier et le bloquer Ces mesures vitent toute utilisation frauduleuse de donn es Toutefois le responsable de la s curit peut utiliser la proc dure Challenge R ponse pour autoriser temporairement la connexion sans token par exemple si un utilisateur a oubli son code confidentiel Remarque avec le chiffrement de volumes SafeGuard cette option de r cup ration n est pas prise en charge par la connexion par token cryptographique Kerberos 217 SafeGuard Enterprise 27 1 Types de token 27 1 1 Pr 218 Le terme token se rapporte toutes les technologies utilis es et ne d pend pas d une forme particuli re de p riph rique Il englobe tous les p riph riques pouvant stocker et transf rer des donn es des fins d identification et d authentification cartes puce ou tokens USB SafeGuard Enterprise prend en charge les types suivants de tokens cartes puce pour l authentification Non cryptographique L authentification au d marrage SafeGuard et Windows est bas e sur les codes d acc s de l utilisateur Identifiant utilisateur Mot de passe stock s sur le token Cryptographique Kerberos L authentification au d marrage SafeGuard et Windows est bas e sur les certificats stock s sur le token Remarque les tokens cryptographiques ne peuvent pas tre utilis s pour les ordinateurs d extr mit non administr s Tokens c
260. e proc dure Challenge R ponse Pour viter que les op rations d administration sur un ordinateur prot g par SafeGuard Enterprise n activent l authentification au d marrage SafeGuard et n entra nent l ajout d op rateurs en charge du d ploiement comme autant d utilisateurs et de propri taires de la machine SafeGuard Enterprise vous permet de cr er des listes de comptes de service pour les ordinateurs prot g s par SafeGuard Enterprise Les utilisateurs inclus dans ces listes sont trait s comme des utilisateurs invit s SafeGuard Enterprise Avec les comptes de service le sc nario est le suivant 1 SafeGuard Enterprise est install sur un ordinateur d extr mit 2 Apr s le red marrage de l ordinateur un op rateur en charge du d ploiement et figurant sur une liste de comptes de service se connecte connexion Windows 3 D apr s la liste de comptes de service appliqu e l ordinateur l utilisateur est identifi comme un compte de service et trait comme utilisateur invit L op rateur en charge du d ploiement n est pas ajout l authentification au d marrage SafeGuard et l authentification au d marrage n est pas activ e L op rateur en charge du d ploiement ne devient pas le propri taire de l ordinateur d extr mit L utilisateur final peut se connecter et activer l authentification au d marrage SafeGuard Remarque les listes de comptes de service sont attribu es aux ordinateurs d extr mit dans
261. e travail Les responsables de la s curit disposant des droits requis peuvent cr er un conteneur sous le r pertoire racine qui repr sente un groupe de travail Windows Les groupes de travail n ont pas de cl Ils ne peuvent pas tre renomm s 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit de la souris sur Racine Filtre actif et s lectionnez Nouveau gt Cr er un nouveau groupe de travail enregistrement auto 47 SafeGuard Enterprise 10 2 6 10 2 7 48 3 Sous Informations communes indiquez les l ments suivants a Saisissez un Nom complet pour le groupe de travail b Vous pouvez ventuellement ajouter une description c Le type d objet est affich dans le champ tat de connexion dans ce cas Groupe de travail d Pour emp cher l h ritage de strat gie vous pouvez s lectionner Bloquer l h ritage de strat gie e Cliquez sur OK Le groupe de travail est cr Le r pertoire Enregistr automatiquement par d faut est cr automatiquement sous le conteneur du groupe de travail Il ne peut tre ni renomm ni supprim Suppression de groupes de travail Pour supprimer des groupes de travail vous avez besoin des droits d Acc s complet pour le groupe de travail concern Les membres appartenant au groupe de travail sont galement supprim s lls sont r enregistr s automatiquement lors
262. e vous red marriez l ordinateur d extr mit deux fois Si la disposition du clavier m moris e est d sactiv e dans les Options r gionales et linguistiques elle est tout de m me utilis e jusqu ce que l utilisateur en s lectionne une autre Remarque vous devez modifier la langue de la disposition du clavier pour les programmes autres que Unicode Si la langue souhait e n est pas disponible sur l ordinateur Windows peut vous inviter l installer Apr s avoir effectu cette op ration vous devez red marrer l ordinateur deux fois pour que l authentification au d marrage SafeGuard puisse lire la nouvelle disposition du clavier et la d finir Vous pouvez changer la disposition du clavier requise pour l authentification au d marrage SafeGuard l aide de la souris ou du clavier Alt Maj 16 5 Manuel d administration Pour voir les langues install es et disponibles sur le syst me s lectionnez D marrer gt Ex cuter gt regedit gt HKEY_USERS DEFAULT Keyboard Layout Preload Raccourcis clavier pris en charge dans l authentification au d marrage SafeGuard Certains param tres et fonctionnalit s du mat riel peuvent g n rer des probl mes lors du d marrage des ordinateurs et provoquer le blocage du syst me L authentification au d marrage SafeGuard prend en charge plusieurs raccourcis clavier pour modifier les param tres mat riels et d sactiver les fonctionnalit s De plus des listes grises et
263. eGuard et tre ajout s l ordinateur d extr mit Pour annuler l attribution d une liste de comptes de service s lectionnez l option Aucune liste 3 Enregistrez vos modifications en cliquant sur l ic ne Enregistrer de la barre d outils Vous pouvez pr sent transf rer la strat gie sur les ordinateurs d extr mit concern s et y mettre disposition les comptes de service disponibles Remarque si vous s lectionnez des listes de comptes de service diff rentes dans des strat gies qui le sont tout autant et qui correspondent toutes au RSOP Resulting Set of Policies param tre valide pour un ordinateur groupe sp cifique la liste de comptes de service affect e la derni re strat gie appliqu e prend le dessus sur toutes les listes de comptes de service pr c demment attribu es Les listes de comptes de service ne sont pas fusionn es Pour voir la RSOP dans Utilisateurs et ordinateurs vous avez besoin au moins des droits d acc s en Lecture seule pour les objets concern s Transfert de la strat gie l ordinateur d extr mit La fonctionnalit de liste de comptes de service se r v le tout particuli rement utile et importante durant l installation initiale au cours de la phase de d ploiement d une mise en uvre C est pourquoi nous conseillons le transfert des param tres de liste de comptes de service sur l ordinateur d extr mit sit t l installation effectu e Pour rendre disponible la liste des comp
264. eau fichier dans un emplacement qui n est pas couvert par une r gle de chiffrement le fichier obtenu ne sera pas chiffr Avec le chiffrement permanent les copies des fichiers chiffr s seront chiffr es m me lorsqu elles sont enregistr es dans un emplacement non couvert par une r gle de chiffrement Vous pouvez configurer le chiffrement permanent dans des strat gies du type Param tres g n raux Le param tre de strat gie Activer le chiffrement permanent est activ par d faut Remarque a Si des fichiers sont copi s ou d plac s sur un p riph rique ignor ou dans un dossier auquel s applique une strat gie avec un Mode de chiffrement Ignorer le param tre Activer le chiffrement permanent n a aucun effet Les op rations de copie sont d tect es d apr s les noms de fichiers Lorsqu un utilisateur enregistre un fichier chiffr avec Enregistrer sous sous un nom de fichier diff rent dans un emplacement non couvert par une r gle de chiffrement le fichier sera en texte brut Suivi de fichiers sur supports amovibles Vous pouvez r aliser un suivi des fichiers accessibles sur les supports amovibles l aide de la fonction Rapports de SafeGuard Management Center Les fichiers acc d s peuvent faire l objet d un suivi quelle que soit la strat gie de chiffrement appliqu e aux fichiers sur les supports amovibles Dans une strat gie de type Journalisation vous pouvez d finir ce qui suit Un v nement consign
265. ectionn est bloqu et ne peut pas tre utilis Ceci se produit lorsqu un certain nombre de tentatives ont t faites pour authentifier un utilisateur et lorsque le token refuse toute tentative suppl mentaire 536870955 Identifiant de connecteur non valide 536870956 Le token n tait pas dans le connecteur lors de la requ te 536870957 L archive CBI et ou le connecteur n ont pas reconnu le token qui s y trouve 536870958 L op ration demand e n a pas pu tre effectu e car le token est prot g en criture 536870959 L utilisateur saisi ne peut pas tre connect car il a d j ouvert une session 536870960 L utilisateur saisi ne peut pas se connecter car un autre utilisateur est d j connect cette session 536870961 L op ration demand e n a pas pu tre effectu e car aucun utilisateur correspondant n est connect Par exemple il n est pas possible de quitter une session lorsqu un utilisateur est encore connect 536870962 Le code confidentiel de l utilisateur normal n a pas t initialis avec CBIInitPin 536870963 Une tentative de connexion effectu e par plusieurs utilisateurs simultan ment sur le m me token a t autoris e 536870964 Une valeur incorrecte a t sp cifi e en tant que CBIUser Les types valides sont d finis dans les types d utilisateurs 536870965 Un objet ayant l identifiant sp cifi est introuvable sur le to
266. ectionnez Cl machine d finie Enregistrez vos changements dans la base de donn es D ployez la strat gie sur l ordinateur d extr mit correspondant amp D Le disque dur compatible Opal est verrouill et est seulement accessible en se connectant sur l ordinateur l authentification au d marrage SafeGuard 295 SafeGuard Enterprise 36 6 36 7 296 Autorisation de d verrouillage des disques durs compatibles Opal aux utilisateurs En tant que responsable de la s curit vous pouvez permettre aux utilisateurs de d verrouiller les disques durs compatibles Opal sur les ordinateurs d extr mit l aide de la commande D chiffrer du menu contextuel Windows Explorer Condition pr alable dans la strat gie Protection des p riph riques ceci s applique au disque dur Opal L option L utilisateur peut d chiffrer le volume doit tre d finie sur Oui 1 Dans SafeGuard Management Center cr ez une strat gie du type Protection des p riph riques et incluez tous les volumes pr sents sur le disque dur compatible Opal 2 Dans le champ Mode de chiffrement du support s lectionnez Aucune chiffrement 3 Enregistrez vos changements dans la base de donn es 4 D ployez la strat gie sur l ordinateur d extr mit correspondant L utilisateur peut d verrouiller le disque dur compatible Opal sur l ordinateur d extr mit Le disque dur demeure verrouill Journalisation des v nements pour les ordinateurs d
267. ectionnez Outils gt Options 2 Cliquez sur l onglet Certificats puis sur Exporter dans la section Certificat d entreprise 3 Vous tes invit saisir un mot de passe pour s curiser le fichier export Saisissez un mot de passe confirmez le puis cliquez sur OK 4 Saisissez un nom et un emplacement de stockage pour le fichier puis cliquez sur OK Le certificat d entreprise est export sous la forme d un fichier p12 l emplacement d sign et peut tre utilis des fins de r cup ration Exportation du certificat du responsable principal de la s curit Pour sauvegarder le certificat du responsable principal de la s curit connect SafeGuard Management Center 1 Dans la barre de menus de SafeGuard Management Center s lectionnez Outils gt Options 2 S lectionnez l onglet Certificats et cliquez sur Exporter dans la section Certificat de lt administrateur gt 3 Vous tes invit saisir un mot de passe pour s curiser le fichier export Saisissez un mot de passe confirmez le puis cliquez sur OK 4 Saisissez un nom et un emplacement de stockage pour le fichier exporter et cliquez sur OK Le certificat du responsable principal de la s curit actuellement connect est export sous la forme d un fichier p12 l emplacement d fini et peut tre utilis des fins de r cup ration 125 125 1 125 2 Manuel d administration Clients virtuels Remarque les clients virtuels peu
268. egistrement d utilisateurs SafeGuard Enterprise suppl mentaires la page 103 Si des utilisateurs sont attribu s cet ordinateur dans SafeGuard Management Center une date ult rieure ils peuvent ensuite se connecter lors de l authentification au d marrage SafeGuard N anmoins ces utilisateurs doivent tre des utilisateurs complets avec un certificat et une cl existants Le propri taire de l ordinateur n a pas besoin d attribuer des droits d acc s dans ce cas Les param tres suivants permettent de sp cifier qui est autoris ajouter des utilisateurs l AUM Peut devenir propri taire si ce param tre est s lectionn l utilisateur peut tre enregistr comme le propri taire d un ordinateur Utilisateur propri taire ce param tre signifie que l utilisateur est saisi dans l AUM en tant que propri taire Un seul utilisateur par ordinateur peut tre saisi dans l AUM en tant que propri taire Le param tre de strat gie Autoriser l enregistrement de nouveaux utilisateurs SGN pour des Param tres machine sp cifiques d termine qui est autoris ajouter d autres utilisateurs l AUM Le param tre Activer l enregistrement des utilisateurs Windows de SGN dans les strat gies Param tres machine sp cifiques d termine quels utilisateurs Windows de SGN peuvent tre enregistr s sur l ordinateur d extr mit et ajout s l AUM Autoriser l enregistrement de nouveaux utilisateurs SGN pour Personne M me l u
269. el d un responsable de la s curit Condition pr alable le code confidentiel du responsable de la s curit pr c dent doit tre connu 1 Dans la barre d outils de SafeGuard Management Center cliquez sur l ic ne Changer le code confidentiel RS 229 SafeGuard Enterprise 2 Saisissez l ancien code confidentiel du responsable de la s curit 3 Saisissez le nouveau code confidentiel du responsable de la s curit r p tez la saisie et cliquez sur OK Le code confidentiel du responsable de la s curit a t modifi 27 8 3 Changement d un code confidentiel de l utilisateur Condition pr alable a Le code confidentiel de l utilisateur doit tre connu Vous avez besoin des droits d Acc s complet pour l utilisateur correspondant 1 Dans la barre d outils de SafeGuard Management Center cliquez sur l ic ne Changer le code confidentiel de l utilisateur 2 Saisissez l ancien et le nouveau code confidentiels de l utilisateur r p tez la saisie du nouveau et confirmez en cliquant sur OK Le code confidentiel de l utilisateur est chang Si vous avez chang le code confidentiel d un autre utilisateur informez le de cette modification 27 8 4 Changement forc du code confidentiel Pour forcer le changement d un code confidentiel vous avez besoin des droits d Acc s complet pour l utilisateur concern 1 Dans la barre d outils de SafeGuard Management Center cliquez sur Forcer le changement du code co
270. emplacer pour une strat gie ses param tres ne sont pas remplac s par ceux d autres strat gies Remarque si vous s lectionnez Ne pas remplacer pour une strat gie de priorit inf rieure celle ci acquiert une priorit plus lev e que celle d une strat gie de niveau sup rieur Pour changer la Priorit ou le param tre Ne pas remplacer pour des strat gies dans Utilisateurs et ordinateurs vous avez besoin des droits d Acc s complet pour tous les objets auxquels les strat gies sont attribu es Si vous n avez pas les droits d Acc s complet pour tous les objets les param tres ne sont pas modifiables Si vous essayez de modifier ces champs une message d information appara t 6 Les utilisateurs authentifi s et les ordinateurs authentifi s sont affich s dans la zone d activation La strat gie s applique tous les groupes au sein de l OU et ou du domaine Activation des strat gies pour des groupes individuels Les strat gies sont toujours attribu es une OU un domaine ou un groupe de travail Elles s appliquent par d faut tous les groupes de ces objets conteneurs les utilisateurs authentifi s et les ordinateurs authentifi s sont affich s dans la zone d activation Toutefois vous pouvez galement d finir des strat gies et les activer pour un ou plusieurs groupes Ces strat gies s appliquent ensuite exclusivement ces groupes 14 7 14 8 Manuel d administration Remarque pour activer le
271. en tre de navigation Utilisateurs et ordinateurs s lectionnez le conteneur requis 3 Dans la zone d action de SafeGuard Management Center s lectionnez l onglet Attribution de groupe d authentification au d marrage Sous Groupes POA droite tous les groupes d authentification au d marrage disponibles apparaissent 4 Faites glisser le groupe d authentification au d marrage requis des Groupes POA dans la zone d action Attribution de groupe d authentification au d marrage Le Nom du groupe et le Groupe DSN du groupe d authentification au d marrage apparaissent dans la zone de travail 121 SafeGuard Enterprise 19 72 122 5 Enregistrez vos changements dans la base de donn es Tous les membres du groupe d authentification au d marrage attribu sont d ploy s sur tous les ordinateurs d extr mit dans le conteneur s lectionn Vous pouvez annuler l attribution d un groupe d authentification au d marrage ou changer le groupe d authentification au d marrage attribu en continuant comme indiqu et en d pla ant les groupes de l onglet Attribution de groupe d authentification au d marrage et de la zone Groupes POA depuis la zone d action et vers celle ci Apr s avoir enregistr vos changements dans la base de donn es la nouvelle attribution s applique Attribution d utilisateurs de l authentification au d marrage aux ordinateurs d extr mit non administr s Pour attribuer les utilisateurs de l authenti
272. en charge d une proc dure Challenge R ponse 1 Dans SafeGuard Management Center cliquez sur Cl s et certificats 2 Dans la fen tre de navigation de gauche cliquez sur Clients virtuels 3 Dans la zone d action recherchez le client virtuel concern en cliquant sur la loupe Les clients virtuels disponibles apparaissent 4 S lectionnez l entr e requise dans la zone d action et cliquez sur Exporter le client virtuel dans la barre d outils 5 S lectionnez l emplacement de stockage du fichier recoverytoken tok et cliquez sur OK Un message indiquant que l op ration a r ussi appara t 6 Distribuez ce fichier de client virtuel recoverytoken tok aux utilisateurs de SafeGuard Enterprise concern s Conservez ce fichier en lieu s r sur une carte m moire par exemple Dans le cadre d une proc dure Challenge R ponse ce fichier doit se trouver dans le m me dossier que l outil de r cup ration Cr ation et exportation de fichiers de cl s pour la r cup ration des clients virtuels Lorsque plusieurs cl s sont requises pour pouvoir de nouveau acc der des volumes chiffr s lors de la r cup ration d un client virtuel le responsable de la s curit peut les combiner dans un fichier export Ce fichier de cl est chiffr l aide d un mot de passe al atoire qui est stock dans la base de donn es Ce mot de passe est propre chaque fichier de cl cr Le fichier de cl chiffr doit tre transmis l uti
273. en m me temps et si l un d entre eux change ses droits d acc s un message appara t pour informer l autre responsable de la s curit et tous les changements non enregistr s sont perdus Si un responsable de la s curit perd compl tement les droits d acc s pour un n ud l acc s n est plus accord et un message appropri appara t La fen tre de navigation est actualis e en cons quence 11 10 1 11 11 LL Manuel d administration Affichage des droits du responsable de La s curit pour Les objets du r pertoire Les droits d acc s attribu s aux responsables de la s curit pour les objets du r pertoire sont affich s sur l onglet Acc s des objets correspondants dans Utilisateurs et ordinateurs Remarque l onglet Acc s n affiche que les droits d acc s pour les conteneurs auxquels vous avez les droits d acc s De la m me fa on il n affiche que les responsables de la s curit dont vous tes responsable L onglet Acc s affiche les informations suivantes a La colonne Responsables affiche les types et les noms des responsables de la s curit qui ont t attribu s aux objets du r pertoire a La colonne Attribu par affiche la mani re dont le responsable de la s curit a re u les droits d acc s La Date d attribution a La colonne Droits d acc s affiche les droits accord s Acc s complet Refus ou en Lecture seule La colonne Origine indique le nom complet du n ud o le droit d a
274. ent bas sur fichier Dans SafeGuard Management Center vous pouvez s lectionner des listes blanches comme cibles pour les strat gies du type Protection des p riph riques pour le chiffrement bas sur fichier Ceci vous permet de cr er des strat gies de chiffrement pour des mod les de p riph riques sp cifiques ou m me pour des p riph riques distincts Avant de s lectionner une liste blanche comme cible pour une strat gie Protection des p riph riques vous devez la cr er et l enregistrer dans SafeGuard Management Center Vous pouvez d finir des listes blanches pour des mod les de p riph riques de stockage sp cifiques par exemple un iPod des p riph riques USB provenant d un fournisseur particulier etc ou pour des p riph riques de stockage distincts en fonction du num ro de s rie Vous pouvez ajouter manuellement les p riph riques aux listes blanches ou utiliser les r sultats d un contr le SafeGuard PortAuditor Retrouvez plus d informations dans le Guide d utilisation de SafeGuard PortAuditor Ensuite vous pouvez s lectionner la liste blanche en tant que cible lorsque vous cr ez la strat gie de Protection des p riph riques Remarque si vous s lectionnez une liste blanche comme cible pour une strat gie du type Protection des p riph riques vous pouvez seulement s lectionner Bas sur fichier ou Aucun chiffrement comme Mode de chiffrement du support Si vous s lectionnez Aucun chiffrement pour une stra
275. ent plus Enregistrement de textes de bienvenue Vous pouvez enregistrer un texte de bienvenue afficher dans la premi re bo te de dialogue de l Assistant Local Self Help Les fichiers texte contenant les informations requises doivent tre cr s avant d tre enregistr s dans SafeGuard Management Center La taille maximale des fichiers de textes d informations est de 50 Ko SafeGuard Enterprise utilise les textes cod s en Unicode UTF 16 uniquement Si vous ne cr ez pas les fichiers texte dans ce format ils seront automatiquement convertis lorsqu ils seront enregistr s 1 Dans la zone de navigation Strat gies cliquez avec le bouton droit de la souris sur Textes et s lectionnez Nouveau gt Texte 2 Saisissez le nom du texte afficher dans le champ Nom de l l ment de texte 8 Cliquez sur pour s lectionner le fichier texte cr auparavant Un message s affiche si le fichier doit tre converti 4 Cliquez sur OK Le nouvel l ment de texte s affiche en tant que n ud secondaire sous Textes dans la zone de navigation Strat gies Si vous s lectionnez un l ment de texte son contenu s affiche dans la fen tre de droite L l ment de texte peut d sormais tre s lectionn lors de la cr ation de strat gies R p tez la proc dure pour enregistrer d autres l ments de texte Tous les l ments de texte enregistr s s affichent en tant que n uds secondaires R cup ration avec Challenge R ponse
276. entiel est de 30 M Bertrand se connecte actuellement en utilisant le code confidentiel Informatique Lorsque la p riode de 30 jours expire il est invit changer son code confidentiel M Bertrand saisit Informatique comme nouveau code confidentiel et re oit un message d erreur indiquant que ce code confidentiel a d j t utilis et qu il doit en s lectionner un nouveau M Bertrand ne peut pas utiliser le code confidentiel Informatique avant la quatri me invitation de changement du code confidentiel en d autres termes longueur d historique du code confidentiel 4 20 5 Cr ation d une liste de mots de passe interdits 142 utiliser dans les strat gies Pour les strat gies de type Mot de passe une liste de mots de passe peut tre cr e afin de d finir les s quences de caract res qui ne doivent pas tre utilis es dans les mots de passe Remarque dans les listes les mots de passe non autoris s sont s par s par un saut de ligne Les fichiers texte contenant les informations requises doivent tre cr s avant de pouvoir les enregistrer dans SafeGuard Management Center La taille maximale de ces fichiers texte est de 50 Ko SafeGuard Enterprise utilise les textes cod s en Unicode UTF 16 uniquement Si vous cr ez les fichiers texte dans un autre format ils seront automatiquement convertis lorsqu ils seront enregistr s Si un fichier est converti un message appara t Pour e
277. enu contextuel de cet utilisateur de l authentification au d marrage s lectionnez Propri t s La bo te de dialogue Propri t s de l utilisateur de l authentification au d marrage s affiche 4 Dans l onglet G n ral sous Mot de passe utilisateur saisissez le nouveau mot de passe et confirmez le 5 Cliquez sur OK Le nouveau mot de passe est appliqu l utilisateur de l authentification au d marrage correspondant Suppression des utilisateurs de l authentification au d marrage Pour supprimer les utilisateurs de l a vous avez besoin des droits d Acc s complet pour le n ud POA sous Utilisateurs et ordinateurs 1 Dans la zone de navigation de SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA Utilisateurs POA s lectionnez l utilisateur de l authentification au d marrage appropri 3 Cliquez avec le bouton droit de la souris sur l utilisateur de l authentification au d marrage et s lectionnez Supprimer dans le menu contextuel L utilisateur de l authentification au d marrage est supprim Il n appara t plus dans la fen tre de navigation Utilisateurs et ordinateurs Remarque si l utilisateur appartient un ou plusieurs groupes d authentification au d marrage l utilisateur de l authentification au d marrage est galement supprim de tous les groupes L utilisateur de l authentification au d marrage reste cepen
278. er Ouvrez SafeGuard Management Center L assistant de configuration d marre automatiquement Dans Connexion la base de donn es s lectionnez le serveur de base de donn es correspondant et configurez la connexion la base de donn es le cas ch ant Cliquez sur Suivant Dans Param tres de base de donn es cliquez sur S lectionner une base de donn es disponible et s lectionnez authentification pr alable au d marrage dans la liste la base de donn es correspondante Dans Responsable de la s curit ex cutez l une des actions suivantes a Sile fichier de certificat sauvegard se trouve sur l ordinateur il s affiche Saisissez le mot de passe que vous utilisez pour vous authentifier dans SafeGuard Management Center Si le fichier de certificat sauvegard est introuvable sur l ordinateur cliquez sur Importer Recherchez le fichier de certificat sauvegard et cliquez sur Ouvrir Saisissez le mot de passe du fichier de certificat s lectionn Cliquez sur Oui Saisissez et confirmez le mot de passe d authentification dans SafeGuard Management Center 5 Cliquez sur Suivant puis sur Terminer pour achever la configuration de SafeGuard Management Center L installation corrompue de SafeGuard Management Center est restaur e 261 SafeGuard Enterprise 31 Restauration d une configuration de base 262 de donn es corrompue La configuration corrompue d une base de donn es peut tre restaur e en r
279. er dans le journal lorsqu un fichier ou un r pertoire est cr sur un support amovible Un v nement consigner dans le journal lorsqu un fichier ou un r pertoire est renomm sur un support amovible a Un v nement consigner dans le journal lorsqu un fichier ou un r pertoire est supprim d un support amovible Retrouvez plus d informations la section Rapport d acc s aux fichiers sur les supports amovibles et dans le stockage Cloud la page 275 SafeGuard Data Exchange et File Encryption Le module File Encryption de SafeGuard Enterprise permet un chiffrement bas sur fichier sur les emplacements r seau surtout pour les groupes de travail et les partages r seau Si SafeGuard Data Exchange et File Encryption sont install s sur un ordinateur d extr mit il peut arriver qu une strat gie de chiffrement SafeGuard Data Exchange soit d finie pour un lecteur pr sent sur l ordinateur et que les strat gies File Encryption soient d finies pour des dossiers pr sents sur le m me lecteur Dans ce cas la strat gie de chiffrement SafeGuard Data Exchange remplace les strat gies File Encryption Les nouveaux fichiers sont chiffr s en fonction de la strat gie de chiffrement de SafeGuard Data Exchange 203 SafeGuard Enterprise Retrouvez plus d informations la section Chiffrement de fichiers la page 183 204 29 25 1 202 Manuel d administration Cloud Storage Le module Cloud Storage de SafeG
280. er les scripts dans le Planificateur de t ches vous avez besoin des droits du responsable de la s curit Utiliser le planificateur de t ches et G rer les t ches Importation de scripts Pour sp cifier un script ex cuter par une t che le script doit tre import Vous pouvez importer le script lorsque vous cr ez la t che pour la premi re fois Vous pouvez aussi importer des scripts pour les t ches existantes 1 Dans la barre de menus de SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montrant un aper u des t ches planifi es 2 S lectionnez la t che requise et cliquez sur le bouton Propri t s La bo te de dialogue Propri t s de lt nom t che gt appara t avec les propri t s de la t che 3 Cliquez sur le bouton Importer pr s du champ Script La bo te de dialogue S lectionner le fichier script importer appara t Remarque deux scripts pr d finis sont disponibles dans le r pertoire Script Templates de l installation de votre installation de SafeGuard Management Center La bo te de dialogue S lectionner le fichier de script importer appara t Retrouvez plus d informations la section Scripts pr d finis pour les t ches quotidiennes la page 289 4 S lectionnez le script que vous voulez importer et cliquez sur OK Le nom du script appara t dans le champ Script 287 SafeGuard Enterprise
281. era synchronis Les groupes avec un acc s en Lecture seule ou Refus ne le seront pas 10 2 Cr ation des groupes de travail et des domaines 44 Les responsables de la s curit avec les droits n cessaires peuvent cr er manuellement des groupes de travail ou des domaines avec une structure de gestion des l ments de la strat gie Il est galement possible d attribuer des strat gies et ou des strat gies de chiffrement aux utilisateurs locaux 10 2 1 10 2 2 Manuel d administration Veuillez cr er un nouveau domaine uniquement si vous ne voulez pas ou ne pouvez pas importer un domaine partir d Active Directory AD par exemple parce qu aucun AD n est disponible Enregistrement d un nouvel utilisateur Retrouvez plus d informations sur la premi re connexion des utilisateurs SafeGuard Enterprise la section Authentification au d marrage de SafeGuard la page 101 Lorsqu un nouvel utilisateur se connecte SafeGuard Enterprise d s que son ordinateur a contact le serveur SafeGuard Enterprise il est enregistr et appara t automatiquement dans la zone Utilisateurs et ordinateurs de SafeGuard Management Center sous son domaine ou groupe de travail respectif Le r pertoire de ces utilisateurs ordinateurs Enregistr automatiquement est cr automatiquement sous le r pertoire racine et sous chaque domaine groupe de travail Il ne peut tre ni renomm ni d plac Les objets de ce r pertoire ne pe
282. erdits peut tre cr e afin de d finir les s quences de caract res ne pas utiliser dans les codes confidentiels Les codes confidentiels sont utilis s pour la connexion avec le token Retrouvez plus d informations la section Tokens et cartes puce la page 217 Les fichiers texte contenant les informations requises doivent tre cr s avant de pouvoir les enregistrer dans SafeGuard Management Center La taille maximale de ces fichiers texte est de 50 Ko SafeGuard Enterprise utilise les textes cod s en Unicode UTF 16 uniquement Si vous cr ez les fichiers texte dans un autre format ils seront automatiquement convertis lorsqu ils seront enregistr s Remarque dans les listes les codes confidentiels interdits sont s par s par un saut de ligne Pour enregistrer les fichiers texte 1 Dans la zone de navigation des strat gies cliquez avec le bouton droit de la souris sur Textes et s lectionnez Nouveau gt Texte 2 Saisissez le nom du texte afficher dans le champ Nom de l l ment de texte 3 Cliquez sur pour s lectionner le fichier texte cr auparavant Un message s affiche si le fichier doit tre converti 4 Cliquez sur OK Le nouvel l ment de texte s affiche en tant que n ud secondaire sous Textes dans la zone de navigation des strat gies Si vous s lectionnez un l ment de texte son contenu s affiche dans la fen tre de droite L l ment de texte peut d sormais tre s lectionn l
283. ermer Vous avez termin l enregistrement et la configuration du serveur SafeGuard Enterprise Installez le package de configuration du serveur MSI sur l ordinateur ex cutant le serveur SafeGuard Enterprise tout moment vous pouvez changer la configuration du serveur dans l onglet Serveurs Remarque si vous voulez installer un nouveau package de configuration du serveur MSI sur le serveur SafeGuard Enterprise veillez d sinstaller d abord l ancien package de configuration du serveur Par ailleurs supprimez manuellement la m moire cache locale de mani re ce qu il puisse tre mis jour correctement avec les nouvelles donn es de configuration telles que les param tres SSL Puis installez le nouveau package de configuration sur le serveur 37 SafeGuard Enterprise 8 3 Modification des propri t s du serveur SafeGuard Enterprise tout moment vous pouvez modifier les propri t s et param tres de tout serveur enregistr et de sa connexion la base de donn es 1 Dans SafeGuard Management Center Outil de package de configuration s lectionnez le serveur requis dans l onglet Serveurs 2 Effectuez l une des op rations suivantes l ment Scripts autoris s Description Cliquez pour activer l utilisation de l API de SafeGuard Enterprise Management Ceci autorise les t ches administratives de cr ation de scripts R les du serveur Cliquez pour s lectionner dess lectionner un r le de
284. erprise natif L installation du client SafeGuard Enterprise ne contient pas le composant de gestion de FileVault 2 I doit tre install s par ment Retrouvez plus de renseignements dans votre documentation de Sophos SafeGuard Native Device Encryption pour Mac La gestion centralis e et totalement transparente de FileVault 2 par SafeGuard Enterprise permet ainsi de l utiliser dans des environnements informatiques h t rog nes Les strat gies de s curit de diff rentes plates formes peuvent tre d ploy es de mani re centralis e Gestion des ordinateurs d extr mit FileVault 2 avec SafeGuard Management Center Dans SafeGuard Management Center les ordinateurs d extr mit FileVault 2 peuvent tre g r s exactement comme tout ordinateur d extr mit natif de SafeGuard Enterprise En tant que responsable de la s curit vous pouvez d finir des strat gies de chiffrement pour les ordinateurs d extr mit FileVault 2 et les distribuer Lorsque l ordinateur d extr mit FileVault 2 est enregistr dans SafeGuard Enterprise les informations concernant l utilisateur l ordinateur le mode de connexion et l tat du chiffrement apparaissent Les v nements sont galement consign s dans le journal pour les clients FileVault 2 La gestion des clients FileVault 2 dans SafeGuard Enterprise est transparente ce qui signifie que les fonctions de gestion fonctionnent en g n ral de fa on identique pour les clients FileVault 2 e
285. es cons cutives ne concernent que la zone du clavier alphanum rique Interdire l utilisation cons cutive de touches verticales Concerne les touches dispos es successivement sur les colonnes du clavier Par exemple wqal xsz2 ou 3edc mais pas wse4 xdr5 ou cft6 gt Un maximum de deux caract res adjacents d une m me colonne clavier est autoris Si vous n autorisez pas les colonnes du clavier ces combinaisons sont rejet es comme mots de passe Les s quences de touches cons cutives ne concernent que la zone du clavier alphanum rique 147 SafeGuard Enterprise 20 8 148 Param tre de strat gie Explication Interdire l utilisation de 3 L activation de cette option interdit les s quences de touches caract res cons cutifs ou plus f NA qui sont des s ries cons cutives de symboles de code ASCII que ce soit par ordre croissant ou d croissant abc ou cba constitu es de trois symboles identiques ou plus aaa ou 111 Interdire l utilisation du nom D termine si le nom d utilisateur et la phrase secr te peuvent tre d utilisateur en tant que phrase identiques secr te Oui le nom d utilisateur Windows et la phrase secr te doivent tre diff rents Non l utilisateur peut utiliser son nom d utilisateur Windows comme phrase secr te Listes blanches pour les strat gies de protection des p riph riques pour le chiffrem
286. es objets locaux Utilisateurs et ordinateurs Dans Utilisateurs et ordinateurs vous pouvez filtrer la vue dans la zone de navigation gauche en fonction des utilisateurs locaux ou rechercher des utilisateurs locaux donn s 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la partie inf rieure gauche de la fen tre de navigation cliquez sur Filtrer 3 S lectionnez Utilisateur local en tant que Type Si vous recherchez un utilisateur particulier saisissez son nom 4 Cliquez sur l ic ne de la loupe La vue Utilisateurs et ordinateurs est filtr e en fonction des crit res Remarque les comptes Microsoft sont toujours consid r s comme des utilisateurs invit s de SafeGuard Enterprise Journalisation Les inscriptions r ussies ou non des utilisateurs des ordinateurs ou des groupes de travail sont consign es dans le journal Vous pouvez consulter la liste de ces informations dans SafeGuard Management Center sous Rapports dans l observateur d v nements Recherche d utilisateurs d ordinateurs et de groupes dans la base de donn es SafeGuard Enterprise Pour afficher des objets dans la bo te de dialogue Rechercher des utilisateurs ordinateurs et groupes vous avez besoin des droits en Lecture seule ou d Acc s complet pour les objets concern s Remarque lorsque vous recherchez des objets vous obtenez uniquement les r sultats de la recherche sur les zones domaines sur lesquelles
287. es ordinateurs d extr mit non administr s prot g s par SafeGuard Enterprise autonome Si la fonction de phrase secr te des supports est activ e pour des ordinateurs d extr mit non administr s la cl de chiffrement de support est utilis e automatiquement comme Cl d finie pour le chiffrement en effet aucune cl de groupe n est disponible sur les ordinateurs d extr mit non administr s L utilisateur est autoris cr er une cl locale Ce param tre d termine si les utilisateurs peuvent g n rer ou non une cl locale sur leurs ordinateurs Les cl s locales sont g n r es sur l ordinateur d extr mit selon une phrase secr te saisie par l utilisateur La configuration minimale de la phrase secr te est d finie dans des strat gies du type Phrase secr te Ces cl s sont galement enregistr es dans la base de donn es L utilisateur peut les utiliser sur n importe quel ordinateur auquel il est connect Des cl s locales peuvent tre utilis es pour l change de donn es s curis avec SafeGuard Data Exchange SG DX PARAM TRES BAS S SUR VOLUME 153 SafeGuard Enterprise 154 Param tre de strat gie L utilisateur peut ajouter ou supprimer des cl s d un volume chiffr Explication Oui les utilisateurs de l ordinateur d extr mit peuvent ajouter ou supprimer des cl s d un jeu de cl s La bo te de dialogue s affiche dans l onglet Propri t s Chiffrement de l
288. es versions UEFI prises en charge et sur les limites de la prise en charge du Challenge R ponse SafeGuard BitLocker dans les Notes de publication disponibles sur http downloads sophos com readmes readsgn_7_fra htmil Remarque la mention UEFI appara t de mani re explicite chaque fois qu elle doit tre utilis e Le tableau ci dessous indique quels composants sont disponibles Chiffrement du Authentification au BitLocker avec R cup ration C R disque SafeGuard d marrage authentification SafeGuard pour avec authentification SafeGuard avec pr alable au l authentification au d marrage r cup ration par d marrage par pr alable au SafeGuard Challenge R ponse SafeGuard d marrage BitLocker Windows 7 OUI BIOS Windows 8 UEFI OUI OUI Windows 7 OUI OUI UEFI Windows 8 OUI BIOS OUI OUI 21 1 Chiffrement int gral du disque SafeGuard La fonction principale de SafeGuard Enterprise est le chiffrement des donn es sur diff rents p riph riques de stockage de donn es Le chiffrement int gral du disque peut tre bas sur volume ou sur fichier avec des cl s et des algorithmes diff rents 166 21 1 1 Manuel d administration Les fichiers sont chiffr s de mani re transparente Lorsque les utilisateurs ouvrent modifient et enregistrent des fichiers ils ne sont pas invit s chiffrer ou d chiffrer En tant que responsable de la s curit d finissez des param tres de chiffrement dans une strat gi
289. et l Utilisateur_b souhaite se connecter Comme l authentification au d marrage SafeGuard est activ e il n y a plus de connexion automatique L Utilisateur_b et l Utilisateur_c ont deux possibilit s pour acc der cet ordinateur L Utilisateur_a d sactive l option Connexion automatique vers Windows dans la bo te de dialogue de connexion l authentification au d marrage SafeGuard et se connecte a L Utilisateur b utilise la proc dure Challenge R ponse pour se connecter l authentification au d marrage SafeGuard Dans les deux cas la bo te de dialogue de connexion de Windows s affiche L Utilisateur_b peut saisir ses codes d acc s Windows Les strat gies de l utilisateur les certificats et les cl s sont envoy s l ordinateur d extr mit L utilisateur est activ dans l authentification au d marrage SafeGuard L Utilisateur_b est pr sent un utilisateur complet selon les termes de SafeGuard Enterprise et apr s la premi re connexion il peut s authentifier lors de l authentification au d marrage SafeGuard et sera connect automatiquement 20 11 26 1 2 26 2 Manuel d administration Alors que la strat gie de l ordinateur indique que personne ne peut importer d utilisateurs sur cet ordinateur car ces utilisateurs sont d j dans l AUM l Utilisateur_b et l Utilisateur_c obtiennent n anmoins l tat utilisateur complet la connexion Windows et sont activ s dans l authentification au d marrage S
290. et le dimanche ou Chaque jour de la semaine du lundi au vendredi a Pour ex cuter la t che de fa on hebdomadaire s lectionnez Hebdomadaire et sp cifiez le jour requis de la semaine Pour ex cuter la t che de fa on mensuelle s lectionnez Mensuel et sp cifiez le jour requis du mois dans une plage de 1 31 Pour ex cuter la t che la fin de chaque mois s lectionnez Dernier dans la liste d roulante Apr s avoir rempli tous les champs obligatoires le bouton OK devient disponible Cliquez sur OK La t che est enregistr e dans la base de donn es et appara t dans l aper u du Planificateur de t ches Elle est ex cut e sur le serveur s lectionn en fonction de la planification sp cifi e Affichage de l aper u du Planificateur de t ches Apr s avoir cr des t ches ex cuter sur un serveur SafeGuard Enterprise elles apparaissent dans la bo te de dialogue Planificateur de t ches que vous ouvrez en s lectionnant Outils gt Planificateur de t ches Cette bo te de dialogue affiche pour chaque t che les colonnes suivantes Colonne Nom de la t che Manuel d administration Description Affiche le nom unique de la t che Serveur SGN Planification Indique sur quel serveur la t che est ex cut e Afficher le programme sp cifi pour la t che avec la r currence et l heure Heure de la prochaine ex cution Heure de la derni re ex cution Affiche quand la prochaine
291. etrouvez plus d informations la section Les nouveaux utilisateurs de SafeGuard Enterprise Data Exchange ne re oivent pas de certificat suite la connexion aux clients SafeGuard Enterprise Data Exchange Param tres de strat gie Activer l enregistrement des utilisateurs Windows de SGN Manuel d administration Explication D finit si les utilisateurs Windows de SGN peuvent tre enregistr s sur l ordinateur d extr mit Un utilisateur Windows de SGN n est pas ajout l authentification au d marrage SafeGuard En revanche il dispose d un jeu de cl s pour acc der aux fichiers chiffr s comme le ferait un utilisateur SGN Si vous s lectionnez ce param tre tous les utilisateurs qui seraient autrement devenus des utilisateurs invit s deviennent des utilisateurs Windows de SGN Les utilisateurs sont ajout s l Attribution utilisateur machine d s qu ils se connectent Windows Activer le nettoyage manuel de l attribution utilisateur machine pour les ordinateurs d extr mit autonomes Remarque ce param tre s applique uniquement aux ordinateurs d extr mit non administr s D finit si les utilisateurs peuvent supprimer les utilisateurs SGN et les utilisateurs Windows de SGN de l attribution utilisateur machine Si vous s lectionnez Oui la commande Atiributions utilisateur machine est disponible dans le menu de l ic ne de la barre d tat syst me sur l ordinateur d extr mit Cette commande af
292. eur SafeGuard Enterprise Son nom de fichier est lt Nomordinateur gt cer Si le serveur SafeGuard Enterprise est install sur un autre ordinateur que SafeGuard Management Center ce fichier cer doit tre accessible sous la forme d une copie ou d une autorisation r seau Ne s lectionnez pas le certificat MSO Le nom complet FQDN par exemple serveur monentreprise cometles informations de certificat apparaissent Remarque Si vous connectez un ordinateur d extr mit Mac un serveur SGN veuillez s lectionner SSL dans la colonne Chiffrement du transport afin de s curiser la connexion Si vous utilisez le chiffrement de transport SSL entre l ordinateur d extr mit et le serveur le nom du serveur sp cifi ici doit tre identique celui qui est sp cifi dans le certificat SSL Sinon ils ne peuvent pas communiquer Lors de la configuration de la connexion veillez ouvrir le port https 443 5 Cliquez sur OK Les informations du serveur sont affich es dans l onglet Serveurs 6 Cliquez sur l onglet Packages du serveur Les serveurs disponibles sont affich s S lectionnez le serveur requis Indiquez le chemin de sortie pour le package de configuration du serveur Cliquez sur Cr er un package de configuration Un package de configuration MSI appel lt Serveur gt msi est cr l emplacement sp cifi 7 Confirmez le message de r ussite en cliquant sur OK 8 Dans l onglet Serveurs cliquez sur F
293. eur il ne sera pas affect par les param tres d une strat gie d un niveau sup rieur exception Ne pas remplacer activ lorsqu une strat gie a t attribu e Ne pas remplacer D finie au cours de l attribution cette strat gie ne peut pas tre remplac e par une autre Plus l attribution de la strat gie Ne pas remplacer est loign e de l objet cible plus cette strat gie a d effet sur tous les objets conteneurs de niveau inf rieur Cela signifie qu un conteneur de niveau sup rieur soumis Ne pas remplacer remplace les param tres de 14 9 12 14 9 12 1 14 9 12 2 14 9 12 3 14 9 12 4 Manuel d administration strat gie d un conteneur de niveau inf rieur II est donc par exemple possible de d finir une strat gie de domaine dont les param tres ne peuvent pas tre remplac s m me si Bloquer l h ritage de strat gie a t d fini pour une UO Remarque si une strat gie ayant une priorit inf rieure mais ayant t d sign e Ne pas remplacer est attribu e au m me niveau qu une strat gie d un niveau sup rieur cette strat gie sera prioritaire en d pit de son niveau inf rieur Param tres dans les strat gies R p ter les param tres machine Vous pouvez trouver ce param tre sous l ments de strat gie gt strat gie du type Param tres g n raux gt Chargement de param tres gt Mode de r cursivit des strat gies Si vous s lectionnez R p ter les param tres machine dan
294. eurs 215 27 Tokens t Cartes APUCE inei ii ieena nr An MAR nn te At ee 217 21 11 Types de Token areon min dan en MAemtne Msn is rt er 218 21221 COMPOSANTS RAR ar a nn ns 218 27 3 Configuration de l utilisation d un token 221 27 4 Pr paration l utilisation d un token 222 27 5 G n ration d un token si 223 27 6 Configuration du mode de connexion nsns 225 27 7 Attribution de certificats neia a a e a a 226 27 8 Gestion des codes confidentiels 229 27 9 Gestion des tokens et des cartes puce nsns 230 28 veil par appel r seau NOL YS CuriS 222e nana nr 233 28 1 Exemple d veil par appel r seau s curis 233 29 Options de r cup ration sise 235 29 1 R cup ration avec Local Self Help 236 29 2 R cup ration avec Challenge R ponse nsen 240 29 3 R cup ration pour BitLocker nenn 255 29 4 Cl de r cup ration pour les ordinateurs d extr mit Mac 256 29 5 R cup ration du syst me pour le chiffrement int gral du disque Sale CUA 28h ie a E en de fente E E A A E O EA 257 30 Restauration d une installation SafeGuard Management Center en cas de COrTUPHON reie iaee a e R a AE Ne EE 261 31 Restauration d une configuration de base de donn es corrompue 262 32 Donn es d inventaire et d tat 263 32
295. eurs peuvent d marrer l ordinateur partir du disque dur et ou d un autre support OUI les utilisateurs peuvent d marrer partir du disque dur uniquement L authentification au d marrage SafeGuard n offre pas la possibilit de d marrer l ordinateur avec une disquette ou d autres supports externes NON les utilisateurs peuvent d marrer l ordinateur partir du disque dur d une disquette ou d un support externe USB CD etc OPTIONS DE CONNEXION 131 SafeGuard Enterprise 132 Param tre de strat gie Mode de connexion Explication D termine comment les utilisateurs doivent s authentifier l authentification au d marrage SafeGuard Identifiant utilisateur Mot de passe les utilisateurs doivent se connecter avec leurs noms d utilisateur et leurs mots de passe Token L utilisateur peut uniquement se connecter l authentification au d marrage SafeGuard l aide d un token ou d une carte puce Ce processus offre un niveau de s curit plus lev L utilisateur doit ins rer sa cl lors de la connexion L identit de l utilisateur est v rifi e par la possession de la cl et la pr sentation du code confidentiel Apr s la saisie d un code confidentiel correct SafeGuard Enterprise lit automatiquement les donn es pour la connexion de l utilisateur Remarque lorsque ce processus de connexion a t s lectionn les utilisateurs ne peuvent se connecter qu en utilisant une cl
296. extr mit 255 SafeGuard Enterprise 29 3 2 Cl de r cup ration pour Les clients SafeGuard Enterprise chiffr s par BitLocker ordinateurs d extr mit BIOS 29 4 256 S il s agit d ordinateurs BIOS chiffr s BitLocker un volume qui n est plus accessible peut tre r cup r 1 o E 7 Sur la page Type de r cup ration s lectionnez Client SafeGuard Enterprise administr Sous Domaine s lectionnez le domaine requis dans la liste Sous Ordinateur saisissez ou s lectionnez le nom d ordinateur requis Vous pouvez proc der de plusieurs fa ons a Pour s lectionner un nom cliquez sur Cliquez ensuite sur Rechercher maintenant Une liste des ordinateurs s affiche S lectionnez l ordinateur requis puis cliquez sur OK Le nom de l ordinateur s affiche dans la fen tre Type de r cup ration sous Domaine a Entrez le nom court de l ordinateur directement dans le champ Lorsque vous cliquez sur Suivant ce nom est recherch dans la base de donn es S il est trouv le nom d ordinateur unique s affiche Saisissez directement le nom de l ordinateur au format de nom unique par exemple CN Postel OU D veloppement OU Si ge DC Utimaco DC uae Cliquez sur Suivant S lectionnez le volume auquel acc der dans la liste et cliquez sur Suivant L assistant de r cup ration affiche la cl de r cup ration 48 chiffres correspondante Fournissez cette cl l utilisateur L utilisateu
297. faut est 0 289 SafeGuard Enterprise 34 5 4 2 290 Remarque assurez vous d avoir les droits d acc s n cessaires pour la synchronisation Active Directory et que les autorisations SQL appropri es sont d finies pour le compte utilis pour ex cuter le Planificateur de t ches SafeGuard Enterprise Retrouvez plus d informations la section Droits d acc s du responsable de la s curit et importation Active Directory la page 44 Retrouvez plus d informations sur la d finition des droits d acc s Active Directory dans l article http www sophos com fr fr support knowledgebase 107979 aspx Retrouvez plus d informations sur la d finition des permissions SQL dans l article http www sophos com fr fr support knowledgebase 113582 aspx Une fois les droits d finis correctement appliquez les changements et red marre le service Passez sur le serveur h bergeant la page Web SafeGuard Enterprise Ouvrez l interface Services en cliquant sur D marrer gt Ex cuter gt Services msc Cliquez avec le bouton droit de la souris sur Service du planificateur SafeGuard et cliquez sur Toutes les t ches gt Red marrer Remarque nous vous conseillons de synchroniser l Active Directory intervalles mod r s deux fois par jour maximum afin que les performances du serveur ne soient pas trop diminu es Les nouveaux objets appara tront dans SafeGuard Management Center sous Enregistr automatiquement entre ces intervalles o ils pe
298. ffrement Ce param tre de strat gie est activ par d faut L utilisateur est autoris Pour le chiffrement bas sur fichier par Cloud Storage vous pouvez d finir les cl s par d faut d cider si l utilisateur est autoris ou non d finir une cl par d faut pour le chiffrement S il est autoris la commande D finir la cl par d faut est ajout e dans le menu contextuel Windows Explorer des dossiers de synchronisation Cloud Storage Les utilisateurs peuvent utiliser la commande pour sp cifier des cl s par d faut distinctes utiliser pour le chiffrement des diff rents dossiers de synchronisation 20 2 Authentification Param tre de strat gie Explication ACC S L utilisateur peut uniquement d marrer partir du disque dur interne Remarque ce param tre est uniquement pris en charge par les ordinateurs d extr mit sur lesquels une version ant rieure la version 6 1 de SafeGuard Enterprise est install e Il tait utilis pour permettre la r cup ration et autoriser l utilisateur d marrer l ordinateur d extr mit partir d un support externe Ce param tre n est plus appliqu sur les ordinateurs d extr mit partir de la version 6 1 Pour le sc nario de r cup ration concern vous pouvez utiliser la r cup ration avec des clients virtuels Retrouvez plus d informations la section Challenge R ponse l aide de clients virtuels la page 246 D termine si les utilisat
299. ficat Impossible de modifier les param tres de renouvellement du certificat Modification du certificat du responsable Impossible de modifier le certificat du responsable Administration Cr ation de groupes de travail 303 SafeGuard Enterprise 304 Cat gorie Administration Identifiant d v nement Description Cr ation de groupes de travail impossible Administration Administration Suppression de groupes de travail Suppression de groupes de travail impossible Administration Administration Cr ation d utilisateurs Cr ation d utilisateurs impossible Administration Administration Cr ation de machines Cr ation de machines impossible Administration Administration Violation de la licence Cr ation du fichier de cl Administration Administration Suppression de la cl du fichier de cl Le responsable de la s curit a d sactiv l authentification au d marrage dans la strat gie Administration Administration Administration Administration Administration Administration Administration Administration Administration Administration Sujet de la question LSH cr Sujet de la question LSH modifi Sujet de la question LSH supprim Question modifi e Acc s en lecture seule au conteneur 1 accord pour le responsable de la s curit 72 Acc s complet au conteneur 1 accord p
300. fication au d marrage aux ordinateurs d extr mit non administr s vous avez besoin des droits en Lecture seule ou d Acc s complet pour le groupe d authentification au d marrage concern Les utilisateurs de l authentification au d marrage sont attribu s aux ordinateurs d extr mit non administr s ordinateurs fonctionnant en mode autonome dans les packages de configuration 1 Dans SafeGuard Management Center s lectionnez Outil de package de configuration dans le menu Outils 2 S lectionnez un package de configuration existant ou cr ez en un nouveau 3 Indiquez un Groupe d authentification au d marrage cr auparavant dans la zone Utilisateurs et ordinateurs de SafeGuard Management Center qui sera appliqu aux ordinateurs d extr mit Un groupe aucune liste est disponible pour la s lection par d faut Ce groupe peut tre utilis pour supprimer une attribution de groupe d authentification au d marrage sur les ordinateurs d extr mit 4 Indiquez un chemin de sortie pour le package de configuration 5 Cliquez sur Cr er un package de configuration 6 D ployez le package de configuration sur les ordinateurs d extr mit L installation du package de configuration entra ne l ajout des utilisateurs inclus dans le groupe l authentification au d marrage SafeGuard sur les ordinateurs d extr mit Les utilisateurs de l authentification au d marrage sont disponibles pour la connexion l authentification au
301. fiche une liste des utilisateurs pouvant se connecter l authentification au d marrage SafeGuard en tant qu utilisateurs SGN et Windows en tant qu utilisateurs Windows de SGN Dans la bo te de dialogue qui s affiche il est possible de retirer des utilisateurs de la liste Une fois que les utilisateurs SGN ou que les utilisateurs Windows de SGN ont t supprim s ils ne peuvent plus se connecter l authentification au d marrage SafeGuard o Windows Nombre maximal d utilisateurs Windows de SGN avant nettoyage automatique Remarque ce param tre s applique uniquement aux ordinateurs d extr mit administr s Ce param tre vous permet d activer le nettoyage automatique des utilisateurs Windows de SafeGuard Enterprise sur les ordinateurs d extr mit administr s D s que le seuil que vous avez fix est d pass par un utilisateur Windows de SafeGuard Enterprise tous les utilisateurs Windows de SafeGuard Enterprise sont supprim s de l Attribution utilisateur machine l exception du nouveau La valeur par d faut est de 10 OPTIONS D AFFICHAGE 159 SafeGuard Enterprise 160 Param tres de strat gie Afficher l identification de la machine Explication Affiche le nom de l ordinateur ou un texte d fini dans la barre de titre de l authentification au d marrage SafeGuard Si les param tres r seau de Windows incluent le nom de l ordinateur ce dernier est automatiquement int gr aux
302. fichiers dans la copie locale du dossier qui a t rendue disponible pour une utilisation hors ligne sont chiffr s d apr s la r gle pour l emplacement r seau d origine Remarque retrouvez plus d informations sur l appellation des fichiers et des chemins sur http msdn microsoft com fr fr library aa365247 aspx Manuel d administration 23 12 Espaces r serv s des chemins dans les r gles File Encryption Les espaces r serv s suivants peuvent tre utilis s lors de la sp cification des chemins dans les r gles de chiffrement des strat gies File Encryption Vous pouvez s lectionner ces espaces r serv s en cliquant sur le bouton du menu d roulant du champ Chemin Espace r serv au chemin lt nom_variable environnement gt Syst me d exploitation Tous Windows et Mac OS X R sultats dans la valeur suivante sur l ordinateur d extr mit Valeur de la variable d environnement Exemple lt NOMUTILISATEUR gt Remarque si des variables d environnement contiennent plusieurs emplacements par exemple la variable PATH les chemins ne seront pas divis s en plusieurs r gles Ceci entra ne une erreur et la r gle de chiffrement est non valide lt Poste de travail gt lt Documents gt Windows Dossier virtuel repr sentant le bureau Microsoft Windows Il s agit du dossier virtuel repr sentant l l ment du bureau Mes documents quivalent CSIDL_ MYDOCUMENTS Chemin type C Documents
303. finit que la t che est ex cut e 1 heure du matin Remarque outre les valeurs d exemple indiqu es ci dessus vous pouvez d finir diff rentes options de planification avec sp_add jobschedule Par exemple la t che peut tre ex cut e toutes les deux minutes ou une fois par semaine seulement Retrouvez plus d informations dans la documentation de Microsoft Transact SQL Nettoyage des proc dures des t ches et des tableaux enregistr s Le script spShrinkEventTable_uninstall sql permet de supprimer la proc dure enregistr e et le tableau EVENT_BACKUP Le script ScheduledShrinkEventTable_uninstall sql permet d annuler l enregistrement de la t che planifi e Remarque lorsque vous ex cutez spShrinkEventTable_uninstall sql le tableau EVENT _ BACKUP est supprim ainsi que toutes les donn es qu il contient Mod les de messages de rapport Les v nements ne sont pas journalis s avec leurs textes d v nement complet dans la base de donn es SafeGuard Enterprise Seuls l identifiant et les valeurs de param tre correspondantes sont inscrits dans le tableau de la base de donn es Lors de la r cup ration des v nements journalis s dans la Visionneuse des v nements de SafeGuard Management Center les valeurs de param tre et les mod les de texte contenus dans le fichier dil sont convertis en un texte d v nement complet dans la langue du syst me SafeGuard Management Center courant Les mod les utilis s pour les te
304. g n ral fonctionnent de la m me fa on que pour les autres ordinateurs d extr mit prot g s par SafeGuard Enterprise Le type d un ordinateur appara t dans l inventaire d un conteneur dans Utilisateurs et ordinateurs La colonne Type de POA vous indique si l ordinateur correspondant est chiffr par SafeGuard Enterprise ou utilise un disque dur compatible Opal chiffrement automatique Chiffrement de disques durs compatibles Opal Les disques durs compatibles Opal sont chiffrement automatique Les donn es sont chiffr es automatiquement lorsqu elles sont crites sur le disque dur Les disques durs sont verrouill s par une cl AES 128 256 utilis e comme mot de passe Opal Ce mot de passe est g r par SafeGuard Enterprise via une strat gie de chiffrement Retrouvez plus d informations la section Verrouillage des disques durs compatibles Opal la page 295 Verrouillage des disques durs compatibles Opal Pour verrouiller les disques durs compatibles Opal la cl de la machine doit tre d finie pour au moins un volume sur le disque dur dans une strat gie de chiffrement Au cas o la strat gie de chiffrement inclut un volume de d marrage la cl de la machine est d finie automatiquement 1 Dans SafeGuard Management Center cr ez une strat gie du type Protection des p riph riques Dans le champ Mode de chiffrement du support s lectionnez Bas sur volume Dans le champ Cl utiliser pour le chiffrement s l
305. ge Volumes non d marrables Lettres des lecteurs A Z Mode de chiffrement des supports Bas sur le volume Aucun chiffrement Algorithme utiliser pour le chiffrement AES128 AES256 a Chiffrement initial rapide Oui Non Retrouvez plus d informations la section Protection des p riph riques la page 150 a Param tres d une strat gie de type Authentification Mode de connexion BitLocker pour les volumes de d marrage TPM TPM PIN TPM Cl de d marrage Cl de d marrage Mode de connexion de secours BitLocker pour volumes de d marrage Cl de d marrage Mot de passe Mot de passe ou cl de d marrage Erreur Mode de connexion BitLocker pour volumes non d marrables Auto d verrouiller Mot de passe Cl de d marrage 21 2 5 4 Manuel d administration Mode de connexion de secours BitLocker pour volumes non d marrables Cl de d marrage Mot de passe ou cl de d marrage Mot de passe Retrouvez plus d informations la section Authentification la page 131 Tous les autres param tres sont ignor s par l ordinateur d extr mit BitLocker Chiffrement sur un ordinateur prot g par BitLocker Avant toute op ration de chiffrement les cl s de chiffrement sont g n r es par BitLocker Le comportement est l g rement diff rent selon le syst me utilis Ordinateurs d extr mit avec TPM Si le responsable de la s curit d finit un mode de connexion pour
306. ge SafeGuard avec interface graphique utilisateur a Prise en charge multi utilisateurs a Prise en charge de la connexion par token carte puce a Prise en charge de la connexion par empreintes digitales a R cup ration Local Self Help Challenge R ponse Audit centralis 36 3 36 4 30 9 Manuel d administration a Chiffrement des supports amovibles par exemple les cl s de m moire USB avec SafeGuard Data Exchange Administration avec SafeGuard Enterprise des ordinateurs d extr mit quip s de disques durs compatibles Opal Dans SafeGuard Management Center vous pouvez administrer les ordinateurs d extr mit quip s de disques durs compatibles Opal chiffrement automatique comme tout autre poste prot g par SafeGuard Enterprise En tant que responsable de la s curit vous pouvez d finir des strat gies de s curit par exemple des strat gies d authentification et les d ployer sur les ordinateurs d extr mit Une fois qu un ordinateur d extr mit quip d un disque dur compatible Opal est enregistr dans SafeGuard Enterprise des informations concernant l utilisateur l ordinateur le mode de connexion et le statut du chiffrement sont affich es En outre les v nements sont consign s dans le journal Dans SafeGuard Enterprise l administration des ordinateurs d extr mit quip s de disques durs compatibles Opal est transparente ce qui signifie que les fonctions d administration en
307. ha ne hi rarchique la strat gie la plus proche dans le cas d un objet cible utilisateur ordinateur a le niveau le plus lev Cela signifie que si la distance entre une strat gie et l objet cible augmente elle sera remplac e par toute autre strat gie plus proche Attribution directe des strat gies L utilisateur ordinateur re oit une strat gie attribu e directement l objet conteneur dans lequel il se trouve l appartenance d un utilisateur de groupe plac dans un autre objet conteneur n est pas suffisante L objet conteneur n a pas h rit de cette strat gie Attribution indirecte des strat gies L utilisateur ordinateur re oit une strat gie que l objet conteneur dans lequel il se trouve l appartenance en tant qu utilisateur d un groupe situ dans un autre objet conteneur n est pas suffisante a h rit d un objet conteneur de niveau sup rieur Activation d sactivation de strat gies Pour qu une strat gie soit effective pour un ordinateur utilisateur elle doit tre activ e au niveau du groupe les strat gies peuvent uniquement tre activ es au niveau du groupe Que ce groupe se trouve ou non dans le m me objet conteneur n a pas d importance Le seul point important est que l utilisateur ou l ordinateur ait t attribu directement ou indirectement par h ritage la strat gie 14 9 7 Manuel d administration Si un ordinateur ou un utilisateur se trouve en dehors d une UO ou d une ligne d h rit
308. hallenge R ponse ou Local Self Help pour la r cup ration de la connexion Seule la proc dure Challenge R ponse utilisant les clients virtuels est prise en charge Elle permet aux utilisateurs de r cup rer l acc s aux volumes chiffr s sur leurs ordinateurs d extr mit Code confidentiel utilis pour la connexion automatique avec token Indiquez un code confidentiel par d faut pour autoriser la connexion automatique de l utilisateur l authentification au d marrage SafeGuard l aide d un token ou d une carte puce L utilisateur doit ins rer le token lors de la connexion et il est ensuite connect par le biais de l authentification au d marrage SafeGuard Windows d marre Il n est pas n cessaire de suivre les r gles relatives au code confidentiel Remarque Cette option n est disponible que si vous s lectionnez Token comme Mode de connexion Si cette option est s lectionn e Connexion automatique vers Windows doit tre d fini sur D sactiver la connexion automatique vers Windows Afficher les checs de connexion pour cet utilisateur Si ce param tre est d fini sur Oui suite la connexion l authentification au d marrage SafeGuard et Windows une bo te de dialogue indique les informations relatives au dernier chec de connexion nom d utilisateur date heure 133 SafeGuard Enterprise 134 Param tre de strat gie Afficher la derni re connexion utilisateur Explicatio
309. hange est utilis pour chiffrer des donn es stock es sur des supports amovibles connect s un ordinateur afin d changer ces donn es avec d autres utilisateurs Le chiffrement de fichiers est utilis pour SafeGuard Data Exchange 193 SafeGuard Enterprise 194 Si SafeGuard Data Exchange et File Encryption sont install s sur un ordinateur d extr mit il peut arriver qu une strat gie de chiffrement SafeGuard Data Exchange soit d finie pour un lecteur pr sent sur l ordinateur et que les strat gies File Encryption soient d finies pour des dossiers pr sents sur le m me lecteur Dans ce cas la strat gie de chiffrement SafeGuard Data Exchange remplace les strat gies File Encryption Les nouveaux fichiers sont chiffr s en fonction de la strat gie de chiffrement de SafeGuard Data Exchange Retrouvez plus d informations sur SafeGuard Data Exchange la section SafeGuard Data Exchange la page 195 24 24 1 24 2 Manuel d administration SafeGuard Data Exchange SafeGuard Data Exchange est utilis pour chiffrer des donn es stock es sur des supports amovibles connect s un ordinateur afin d changer ces donn es avec d autres utilisateurs Tous les processus de chiffrement et de d chiffrement sont ex cut s de mani re transparente et impliquent une intervention minimale de l utilisateur Seuls les utilisateurs disposant des cl s appropri es peuvent lire le contenu des donn es chiffr es Tout processus de
310. hentification au d marrage aux ordinateurs d extr mit les comptes doivent tre r organis s en groupes La fa on dont vous attribuez et annulez l attribution des utilisateurs de l authentification au d marrage aux ordinateurs d extr mit d pend du type d ordinateur Pour les ordinateurs d extr mit administr s les groupes d authentification au d marrage peuvent tre attribu s dans l onglet Attribution de groupe d authentification au d marrage dans Utilisateurs et ordinateurs a Pour les ordinateurs d extr mit non administr s qui fonctionnent en mode autonome et ne sont pas connect s au serveur SafeGuard Enterprise un package de configuration avec un groupe d authentification au d marrage doit tre cr et d ploy Attribution d utilisateurs de l authentification au d marrage aux ordinateurs d extr mit administr s Pour attribuer des utilisateurs de l authentification au d marrage aux ordinateurs administr s vous avez besoin des droits d Acc s complet ou en Lecture seule pour le groupe d authentification au d marrage concern et des droits d Acc s complet pour les conteneurs correspondants Remarque l attribution d utilisateurs de l authentification au d marrage est seulement valide pour les ordinateurs d extr mit SafeGuard Enterprise administr s partir de la version 5 60 1 Dans la zone de navigation de SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la f
311. hentification suppl mentaire seront pr alablement renseign s en fonction de l authentification suppl mentaire d finie pour les r les du responsable 6 Cliquez sur OK Le nouveau r le est affich sous R les personnalis s dans la fen tre de navigation Lorsque vous cliquez sur le r le les actions autoris es sont affich es dans la zone d action de droite Attribution d un r le un responsable de la s curit Condition pr alable pour attribuer un r le vous devez poss der le droit d affichage et de modification des responsables de la s curit 1 S lectionnez le responsable appropri dans la fen tre de navigation Les propri t s s affichent dans la zone d action de droite 2 Attribuez les r les n cessaires en s lectionnant les cases correspondantes en regard des r les disponibles Les r les pr d finis s affichent en gras 3 Cliquez sur le symbole double fl che d Actualiser dans la barre d outils Le r le est attribu au responsable de la s curit Remarque les r les personnalis s complexes peuvent entra ner de l gers probl mes de performances lors de l utilisation de SafeGuard Management Center Affichage des propri t s du responsable et du r le Condition pr alable pour obtenir un aper u des propri t s du responsable ou de l attribution du r le vous devez poss der le droit d affichage des responsables de la s curit et des r les de ces derniers Pour afficher les
312. hier Le chiffrement bas sur fichier garantit que toutes les donn es sont chiffr es part le support de d marrage et les informations de r pertoire Avec le chiffrement bas sur fichier m me les supports optiques tels que les CD DVD peuvent tre chiffr s Par ailleurs les donn es peuvent tre chang es avec des ordinateurs externes sur lesquels SafeGuard Enterprise n est pas install si les strat gies le permettent Retrouvez plus d informations la section SafeGuard Data Exchange la page 195 Remarque les donn es chiffr es l aide du chiffrement bas sur fichier ne peuvent pas tre compress es De m me les donn es compress es ne peuvent pas tre chiffr es en utilisant le chiffrement bas sur fichier Remarque les volumes de d marrage ne sont jamais chiffr s d apr s la m thode bas e sur fichier lls sont automatiquement exclus du chiffrement bas sur fichier m me si une r gle correspondante est d finie Pour appliquer le chiffrement bas sur fichier aux ordinateurs d extr mit cr ez une strat gie du type Protection des p riph riques et d finissez le Mode de chiffrement du support sur Bas sur fichier Comportement par d faut lors de l enregistrement des fichiers tant donn que les applications se comportent diff remment lors de l enregistrement des fichiers SafeGuard Enterprise propose deux fa ons de g rer des fichiers chiffr s qui ont t modifi s Si un fichier est
313. hiers Les nouveaux fichiers sont enregistr s en texte brut Si un utilisateur acc de d j aux fichiers chiffr s dans ce dossier le contenu chiffr appara t que l utilisateur ait la cl requise ou pas Dans la colonne Cl s lectionnez la cl utiliser pour le mode Chiffrer Vous pouvez utiliser des cl s cr es et appliqu es dans Utilisateurs et ordinateurs a Cliquez sur le bouton Parcourir pour ouvrir la bo te de dialogue Rechercher des cl s Cliquez sur Rechercher maintenant pour afficher une liste de toutes les cl s disponibles et s lectionnez la cl requise Remarque les cl s machine ne sont pas montr es dans la liste Elles ne peuvent pas tre utilis es par le Chiffrement de fichiers car elles sont uniquement disponibles sur une seule machine et ne peuvent donc pas tre utilis es pour permettre des groupes d utilisateurs d acc der aux m mes donn es Clique sur le bouton Cl personnelle avec l ic ne de la cl pour ins rer l espace r serv Cl personnelle dans la colonne Cl Sur l ordinateur d extr mit cet espace r serv sera r solu sur la cl personnelle active de l utilisateur SafeGuard Enterprise connect Si les utilisateurs correspondants n ont pas encore de cl s personnelles actives elles sont cr es automatiquement Vous pouvez cr er des cl s personnelles pour un ou plusieurs utilisateurs dans Utilisateurs et ordinateurs Retrouvez plus d informations la section Cl s per
314. i dans les certificats cr s par SafeGuard Enterprise sous la forme cn Le responsable de la s curit est galement affich sous ce nom dans la fen tre de navigation de SafeGuard Management Center Ce nom doit tre unique Valeur maximale 256 caract res Facultatif Valeur maximale 256 caract res T l phone portable E mail Facultatif Valeur maximale 128 caract res Facultatif Valeur maximale 256 caract res Connexion au token La connexion peut s effectuer de la fa on suivante Aucun token Le responsable de la s curit ne peut pas se connecter avec un token II doit se connecter en saisissant les informations de connexion nom d utilisateur mot de passe Facultatif La connexion peut s effectuer avec un token ou en saisissant les informations de connexion Le responsable de la s curit a le choix Obligatoire un token doit tre utilis pour la connexion Pour ce faire la cl priv e appartenant au certificat du responsable de la s curit doit se trouver sur le token Manuel d administration Champ case Description cocher Certificat Un responsable de la s curit a toujours besoin d un certificat pour se connecter SafeGuard Management Center Le certificat peut tre cr par SafeGuard Enterprise lui m me ou un certificat existant peut tre utilis Si la connexion avec un token est essentielle le certificat doit tre ajout au token du responsable de la s cu
315. ibu Remarque sous Connecteurs de tokens les tokens g n r s apparaissent quels que soient vos droits d acc s aux utilisateurs concern s Vous pouvez ainsi voir si le token est en cours d utilisation ou non Si vous n avez pas de droits d acc s en Lecture seule l utilisateur attribu toutes les donn es sur les tokens dans les onglets Informations sur le token et Informations d identification et certificats sont gris es et vous ne pouvez pas g rer ce token 3 Pour afficher un aper u des tokens s lectionnez Tokens g n r s Vous pouvez afficher toutes les cartes puce ayant t g n r es ou filtrer l aper u par utilisateur Le num ro de s rie du token les utilisateurs attribu s et la date de g n ration sont affich s Vous pouvez galement voir si le token est bloqu Remarque la vue Tokens g n r s n affiche que les tokens des utilisateurs pour qui vous avez des droits en Lecture seule ou d Acc s complet Blocage d un token ou d une carte puce Si vous tes responsable de la s curit vous pouvez bloquer des tokens C est utile par exemple si un token a t perdu Pour bloquer un token vous avez besoin des droits d Acc s complet pour l utilisateur concern 1 Dans SafeGuard Management Center cliquez sur Tokens 2 Dans la zone de navigation de gauche s lectionnez Tokens g n r s gauche de la zone de navigation 3 S lectionnez le token bloquer et cliquez sur l ic ne Blo
316. ication au d marrage SafeGuard et qui leur permet d utiliser les touches tactiles pour saisir des codes d acc s En tant que responsable de la s curit vous pouvez activer d sactiver l affichage du clavier virtuel l aide d une strat gie du type Param tres de machine sp cifiques avec l option Clavier virtuel en POA La prise en charge du clavier virtuel doit tre activ e d sactiv e par un param tre de strat gie Le clavier virtuel accepte diff rentes dispositions et il est possible de changer la disposition l aide des m mes options que pour la disposition du clavier de l authentification au d marrage SafeGuard Modification de la disposition du clavier La disposition du clavier pour l authentification au d marrage SafeGuard clavier virtuel inclus peut tre modifi e r trospectivement 1 S lectionnez D marrer gt Panneau de configuration gt Options r gionales et linguistiques gt Options avanc es 2 Dans l onglet Options r gionales s lectionnez la langue souhait e 3 Dans l onglet Options avanc es s lectionnez Appliquer tous les param tres au compte d utilisateur actuel et au profil utilisateur par d faut sous Param tres par d faut du compte d utilisateur 4 Cliquez sur OK L authentification au d marrage SafeGuard garde en m moire la disposition du clavier utilis e au cours de la derni re connexion et l active automatiquement la connexion suivante Cette op ration n cessite qu
317. ichiers chiffr s du support amovible en saisissant une phrase secr te des supports unique sur un syst me sur lequel SafeGuard Data Exchange n est pas install Si les strat gies de l entreprise d finissent galement que tous les fichiers des supports amovibles doivent toujours tre chiffr s ajoutez les param tres suivants Chiffrement initial de tous les fichiers Oui V rifie que les fichiers des supports amovibles sont chiffr s lors de la premi re connexion du support au syst me a L utilisateur peut annuler le chiffrement initial Non L utilisateur ne peut pas annuler le chiffrement initial pour le diff rer par exemple L utilisateur n est pas autoris acc der aux fichiers non chiffr s Non Si des fichiers au format brut sont d tect s sur les supports amovible leur acc s est refus L utilisateur peut d chiffrer des fichiers Non L utilisateur n est pas autoris d chiffrer des fichiers de supports amovibles Au bureau Bob et Alice acc dent de mani re transparente aux fichiers chiffr s du support amovible domicile ou sur les ordinateurs tiers ils peuvent utiliser SafeGuard Portable pour ouvrir des fichiers chiffr s Les utilisateurs saisissent seulement la phrase secr te des supports et peuvent acc der tous les fichiers chiffr s Cette m thode simple mais fiable permet de chiffrer des donn es sur tous les supports amovibles Cette configuration vise r duire au maximum l inte
318. ients peuvent utiliser le logo de l entreprise dans l authentification au d marrage SafeGuard et lors de la connexion Windows Taille de fichier maximale pour toutes les images bitmap d arri re plan 500 Ko Normal R solution 1024 x 768 mode VESA a Couleurs illimit Basse R solution 640 x 480 mode VGA 129 SafeGuard Enterprise 130 Param tre de strat gie Explication Couleurs 16 couleurs Image de connexion dans l authentification au d marrage Image de connexion dans l authentification au d marrage basse r solution Remplace l image SafeGuard Enterprise affich e lors de la connexion l authentification au d marrage SafeGuard par une image personnalis e par exemple le logo d une entreprise Normal R solution 413 x 140 pixels Couleurs illimit Basse R solution 413 x 140 pixels Couleurs 16 couleurs Chiffrement de fichier Applications s curis es Pour le chiffrement bas sur fichier par File Encryption et SafeGuard Data Exchange vous pouvez indiquer des applications comme s curis es pour leur accorder l acc s aux fichiers chiffr s Ceci s av re utile par exemple pour activer le logiciel antivirus afin de contr ler les fichiers chiffr s Saisissez les applications que vous voulez d finir comme fiables dans la zone de liste d dition de ce champ Les applications doivent tre saisies comme des chemins pleinement q
319. ier utilisateur se connectant l ordinateur d extr mit suite l installation de SafeGuard Enterprise est consid r comme un utilisateur SGN mais galement comme le propri taire de cet ordinateur d extr mit Si les param tres par d faut n ont pas t modifi s un propri taire a le droit d autoriser d autres utilisateurs se connecter l ordinateur d extr mit et devenir des utilisateurs SGN Utilisateur SGN Un utilisateur SGN complet est autoris se connecter l authentification au d marrage SafeGuard est ajout l attribution utilisateur machine et se voit fournir un certificat d utilisateur et un jeu de cl s lui permettant d acc der aux donn es chiffr es a Utilisateur Windows de SGN Un utilisateur Windows de SGN n est pas ajout l authentification au d marrage SafeGuard En revanche il dispose d un jeu de cl s pour 103 SafeGuard Enterprise acc der aux fichiers chiffr s comme le ferait un utilisateur SGN Il est galement ajout l Attribution utilisateur machine et autoris se connecter Windows depuis cet ordinateur d extr mit Utilisateur invit de SGN Un utilisateur invit SGN n est pas ajout l attribution utilisateur machine ne dispose pas des droits de connexion l authentification au d marrage SafeGuard n a pas de certificat ou de jeu de cl s et n est pas enregistr dans la base de donn es Retrouvez plus d informations sur la mani re d emp
320. iers de synchronisation Saisissez le ou les dossiers qui seront synchronis s avec le Cloud Seuls les chemins locaux sont pris en charge Remarque pour les chemins dans les param tres Application de synchronisation et Dossier de synchronisation les m mes espaces r serv s que pour File Encryption sont pris en charge Retrouvez plus d informations la section Espaces r serv s pour les chemins dans les r gles de chiffrement File Encryption la page 187 25 2 1 Espaces r serv s pour les fournisseurs de stockage dans le Cloud 206 En tant que responsable de la s curit vous pouvez utiliser des espaces r serv s pour les fournisseurs du stockage dans le Cloud afin de d finir des applications de synchronisation et des dossiers de synchronisation Ces espaces r serv s repr sentent les applications tierces de stockage dans le Cloud prises en charge Vous pouvez utiliser l espace r serv pour sp cifier une certaine application tierce comme application de synchronisation et m me utiliser le m me espace r serv pour qu il pointe vers les dossiers de synchronisation que l application tierce utilise v ritablement pour la synchronisation Les espaces r serv s pour les fournisseurs de stockage dans le Cloud sont encapsul s par lt et gt Remarque la version 7 0 de SafeGuard Enterprise prend uniquement en charge Dropbox et Google Drive pour les ordinateurs d extr mit OS X Manuel d administration Espaces r
321. ification par rapport la liste noire sp cifi e Aucune plate forme trouv e 4026531841 4026531842 Aucun document Erreur d analyse XML 4026531843 4026531844 Erreur Document Object Model XML Aucune balise lt DATAROOT gt trouv e 4026531845 4026531846 Balise XML introuvable Erreur nostream 4026531847 Erreur printtree Codes d erreur BitLocker Les erreurs BitLocker sont signal es par les v nements SafeGuard suivants 2072 chec de l initialisation du noyau Code interne lt code d erreur a 3506 chec et cl ture du chiffrement initial du secteur pour le lecteur lt ettre du lecteurs Raison lt code d erreur gt Le tableau suivant est une liste des codes d erreur pour BitLocker Code d erreur Hex Code d erreur D c Description 0x00000000 0x000032C8 0x00BEB001 0 15999 12496897 Veuillez consulter les Codes d erreurs syst me de Microsoft Chiffrement impossible en raison d une erreur pendant l initialisation du noyau 0x00BEB002 0x00BEB003 12496898 12496899 Le gestionnaire de d marrage ne doit pas se trouver sur le volume du syst me chiffrer Version de Windows non prise en charge sur le disque dur La version minimum est Windows Vista 0x00BEB004 12496900 La m thode d authentification configur n est pas prise en charge 0x00BEB005 12496901 Manuel d admini
322. ignature avec le certificat de signature de licence 6 2 6 3 6 3 1 6 3 2 Manuel d administration Licences de token Pour g rer des tokens ou des cartes puce les licences de token appropri es sont requises Si les licences appropri es ne sont pas disponibles vous ne pouvez pas cr er de strat gies pour les tokens dans SafeGuard Management Center Licences d valuation et de d monstration Le fichier de licence par d faut licence d valuation ou les fichiers de licence de d monstration individuels peuvent tre utilis s pour l valuation ou le d ploiement initial Ces licences sont uniquement valides pendant une certaine p riode de temps et ont une date d expiration En revanche il n existe aucune restriction fonctionnelle Remarque les licences d valuation et de d monstration ne doivent pas tre utilis es dans un environnement de travail normal Fichiers de licence par d faut Un fichier de licence par d faut est charg automatiquement lors de l installation de SafeGuard Management Center Cette licence d valuation appel e licence d valuation de SafeGuard Enterprise contient cinq licences pour chaque module et elle est valable pendant deux ans compter de la date de sortie de la version SafeGuard Enterprise en question Fichier de licence par d faut pour SafeGuard Cloud Storage et pour SafeGuard File Encryption Lorsque SafeGuard Management Center 7 est install un fichier de licence par d
323. ilis e par un syst me de fichiers et la taille du cluster d finie diff rent Taille de secteur non valide utilis e par un syst me de fichiers d fini Secteur de d part non valide d fini Type de partition non valide d fini Impossible de trouver une zone non utilis e et d fragment e de la taille requise sur un volume Impossible de marquer le cluster du syst me de fichiers comme tant utilis Impossible de marquer le cluster du syst me de fichiers comme tant utilis Impossible de marquer le cluster du syst me de fichiers comme tant CORRECT Impossible de marquer le cluster du syst me de fichiers comme tant INCORRECT Aucune information disponible sur les clusters d un syst me de fichiers 311 SafeGuard Enterprise 312 Identifiant de l erreur Affichage Impossible de trouver une zone marqu e comme MAUVAISE sur un volume Taille incorrecte d finie pour une zone de volume Le secteur MBR d un disque dur n a pas pu tre remplac Une commande erron e a t d finie pour une allocation ou une d sallocation Algorithme non valide d fini chec de l acc s au noyau syst me Aucun noyau syst me n est install Une erreur s est produite lors de l acc s au noyau syst me Modification non valide des param tres syst me chec de l criture de donn es sur un lecteur chec de la lecture de donn es d un
324. ilisateur qui vous voulez attribuer un certificat et ouvrez l onglet Certificat dans la zone de travail droite 4 Cliquez sur l ic ne Attribuer un certificat partir d un token de la barre d outils de SafeGuard Management Center 5 S lectionnez le certificat concern dans la liste et saisissez le code confidentiel du token 6 Cliquez sur OK Le certificat est attribu un l utilisateur Un seul certificat peut tre affect par utilisateur Modification du certificat de l utilisateur Vous pouvez modifier ou renouveler les certificats requis pour la connexion en attribuant un nouveau certificat dans SafeGuard Management Center Le certificat est attribu sous la forme d un certificat de veille en compagnie de celui existant En se connectant avec le nouveau certificat l utilisateur change le certificat sur l ordinateur d extr mit Remarque si les utilisateurs ont perdu leurs tokens ou si ceux ci ont t compromis Ne les changez pas en attribuant de nouveaux certificats comme cela est d crit ici Sinon vous pourriez rencontrer des probl mes Par exemple l ancien certificat de token peut tre encore valide pour la connexion Windows Tant que l ancien certificat est encore valide la connexion Windows est toujours possible et l ordinateur peut tre d verrouill Au lieu de cela bloquez le token pour emp cher la connexion Les certificats de veille peuvent tre utilis s dans les cas suivants a Modifica
325. illez installer le middleware qui convient la fois sur l ordinateur sur lequel SafeGuard Management Center est install et sur l ordinateur d extr mit appropri si vous ne l avez pas d j fait Retrouvez plus d informations sur les middlewares pris en charge la section Middlewares pris en charge la page 219 Red marrez les ordinateurs sur lesquels vous avez install le nouveau middleware Remarque si vous installez le middleware Gemalto NET Card ou Nexus Personal vous allez galement devoir ajouter leur chemin d installation la variable d environnement PATH des Propri t s syst me de votre ordinateur Le chemin d installation par d faut pour Gemalto NET Card C Program Files Gemalto PKCS11 for NET V2 smart cards a Le chemin d installation par d faut pour Nexus Personal C Program Files Personal bin Activation du middleware Veuillez attribuer le middleware appropri sous la forme du module PKCS 11 en d finissant une strat gie dans SafeGuard Management Center Vous devez le faire la fois sur l ordinateur sur lequel SafeGuard Management Center est ex cut et sur l ordinateur d extr mit C est la condition n cessaire pour que SafeGuard Enterprise communique avec le token Vous pouvez d finir le param tre du module PKCS 11 en utilisant une strat gie de la fa on suivante Condition pr alable le middleware est install sur l ordinateur concern et le token a t initialis Le pack
326. instances suppl mentaires de SafeGuard Management ai ATEA EO acte A te dede E en tte tenant A A 24 6 LICENCES itna a A E E E ER A e E E 26 6 1 Fichier delicence 5 ssssrini aa A EA EE 26 6 2 Licences detoKeN arosine ter AAA EAEEREN 27 6 3 Licences d valuation et de d monstration 27 6 4 Aper u de l tat de la licence 28 6 5 Importation de fichiers de licence 29 6 6 D passement du nombre de licences 30 7 Utilisation de plusieurs configurations de base de donn es 32 7 1 Cr ation de configurations de base de donn es suppl mentaires 32 7 2 Connexion une configuration de base de donn es existante 33 7 3 Exportation d une configuration dans un fichier 33 7 4 Importation d une configuration partir d un fichier 33 7 5 Importation d une configuration avec SafeGuard Management Center 34 7 6 Importation d une configuration en cliquant deux fois sur le fichier de configuration Ind pendant et Mutualis 7 7 Basculement rapide entre les configurations de base de donn es 7 8 V rification de l int grit de la base de donn es 8 Enregistrement et configuration du serveur SafeGuard Enterprise 8 1 Enregistrement et configuration du serveur SafeGuard Enterprise pour l ordinateur en cours d utilisation 8 2 Enregistrement et configuration du serveur SafeGuard Enterprise pour un ordinateur differens eceran an animes tartes Mens dun te ln nee A
327. ion et s lectionnez les v nements souhait s en cliquant dessus Vous pouvez s lectionner plusieurs types d v nements de cat gories diff rentes par exemple authentification chiffrement etc Nous vous recommandons de d finir une strat gie Manuel d administration pour la journalisation et de d terminer quels sont les v nements n cessaires en fonction de vos exigences en mati re de rapports et d audlits Retrouvez plus d informations la section Rapports la page 270 165 SafeGuard Enterprise 21 Chiffrement du disque Cette version de SafeGuard Enterprise prend en charge Windows 7 et Windows 8 fonctionnant sur des ordinateurs d extr mit dot s de BIOS ou d UEFI Pour les plates formes BIOS vous pouvez choisir entre le chiffrement int gral du disque SafeGuard Enterprise et le chiffrement BitLocker g r par SafeGuard La version BIOS est livr e avec le m canisme de r cup ration BitLocker original Remarque si l authentification au d marrage SafeGuard ou le chiffrement int gral du disque SafeGuard sont mentionn s dans le pr sent manuel il font uniquement r f rence aux ordinateurs d extr mit Windows 7 avec BIOS a Pour les plates formes UEFI veuillez utiliser BitLocker g r par SafeGuard Enterprise pour le chiffrement du disque Pour ces ordinateurs d extr mit SafeGuard Enterprise offre des fonctionnalit s am lior es de Challenge R ponse Retrouvez plus de renseignements sur l
328. ions dans la base de donn es Le r le est supprim de la fen tre de navigation et de la base de donn es Cr ation d un responsable principal de la s curit Condition pr alable pour cr er un responsable principal de la s curit vous devez poss der le droit d affichage et de cr ation de responsables de la s curit Remarque un moyen rapide de cr er de nouveaux responsables principaux de la s curit est de promouvoir un responsable de la s curit Retrouvez plus d informations la section Promotion des responsables de la s curit la page 65 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit Manuel d administration 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur le n ud Responsables principaux de la s curit et s lectionnez Nouveau gt Nouveau responsable principal de la s curit 59 SafeGuard Enterprise 60 8 Saisissez les informations correspondantes dans Nouveau responsable principal de la s curit Champ case cocher Description Le responsable de la s curit peut tre d sactiv jusqu nouvel avis Le responsable de la s curit est dans le syst me mais ne peut pas encore se connecter SafeGuard Management Center Il peut seulement le faire et effectuer ses t ches d administration lorsqu un autre responsable l active Description Saisissez le nom du responsable de s curit tel qu il est fourn
329. ique Diff rents fournisseurs de mat riels proposent des disques durs compatibles Opal SafeGuard Enterprise prend en charge la norme Opal et permet la gestion des ordinateurs d extr mit avec disques durs compatibles Opal chiffrement automatique Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 113366 aspx Comment SafeGuard Enterprise int gre t il Les disques durs compatibles Opal SafeGuard Enterprise permet de g rer les ordinateurs d extr mit avec disques durs compatibles Opal chiffrement automatique depuis SafeGuard Management Center comme tout autre ordinateur d extr mit prot g par SafeGuard Enterprise La gestion centralis e et pleinement transparente des disques durs compatibles Opal par SafeGuard Enterprise permet l utilisation d environnements informatiques h t rog nes En prenant en charge la norme Opal nous offrons la s rie compl te des fonctions SafeGuard Enterprise aux utilisateurs professionnels des disques durs compatibles Opal chiffrement automatique Associ SafeGuard Enterprise les disques durs compatibles Opal offrent des fonctions de s curit renforc es Am lioration des disques durs compatibles Opal avec SafeGuard Enterprise En combinaison avec les disques durs compatibles Opal chiffrement automatique SafeGuard Enterprise offre les avantages suivants Administration centralis e des ordinateurs d extr mit a Authentification au d marra
330. iquement Lors du d lai entre la r ception de la strat gie sur l ordinateur d extr mit et la mise disposition de la cl personnelle active requise l utilisateur n est pas autoris cr er de nouveaux fichiers dans les dossiers couverts par la r gle File Encryption Pour un d ploiement initial des strat gies File Encryption avec des r gles de chiffrement l aide de cl s personnelles sur un groupe plus important d utilisateurs des centaines ou plus qui n ont pas encore de cl s personnelles actives nous conseillons de cr er les cl s personnelles dans SafeGuard Management Center retrouvez plus d informations la section Cr ation de cl s personnelles pour plusieurs utilisateurs la page 74 La charge sur le serveur SafeGuard Enterprise sera r duite Cr ation d une cl personnelle pour un utilisateur unique Pour cr er une cl personnelle vous avez besoin des droits Cr er des cl s et Attribuer des cl s En plus vous avez besoin des droits d Acc s complet pour l objet en question Pour remplacer une cl personnelle active vous avez besoin du droit G rer les cl s personnelles 1 Dans SafeGuard Management Center s lectionnez Utilisateurs et ordinateurs 2 Dans la zone de navigation s lectionnez l utilisateur requis 3 Cliquez avec le bouton droit de la souris sur l onglet Cl s et s lectionnez Attribuer une nouvelle cl dans le menu contextuel 73 SafeGuard Enterprise 12 2 3 74 4 Dans l
331. is e pour ce type d ordinateur d extr mit Si la fonction de phrase secr te des supports est activ e pour des ordinateurs d extr mit non administr s la cl de chiffrement de support est utilis e automatiquement comme Cl d finie pour le chiffrement en effet aucune cl de groupe n est disponible sur les ordinateurs d extr mit non administr s La s lection d une autre cl sous Cl d finie pour le chiffrement lors de la cr ation d une strat gie de support amovible pour des clients autonomes n a aucun effet Ce champ ne devient actif que si vous avez s lectionn l option Cl d finie dans la liste dans le champ Cl utiliser pour le chiffrement Cliquez sur pour afficher la bo te de dialogue Rechercher des cl s Cliquez sur Rechercher maintenant pour rechercher des cl s et en s lectionner une dans la liste qui appara t Dans le cas d une strat gie de type Protection des p riph riques avec la cible Supports amovibles cette cl sert chiffrer la cl de chiffrement de support lorsque la fonction de phrase secr te des supports est activ e L utilisateur peut d finir une phrase secr te des supports pour les p riph riques d finie sur Oui Pour des strat gies Protection des p riph riques pour des supports amovibles les param tres Cl utiliser pour le chiffrement Cl d finie pour le chiffrement doivent donc tre sp cifi s ind pendamment l un de l autre Strat gies pour l
332. ise 121 1 12 1 2 72 Attribution de cl s dans Utilisateurs et ordinateurs Pour attribuer des cl s aux utilisateurs vous avez besoin des droits d Acc s complet pour l objet concern Pour attribuer une nouvelle cl aux utilisateurs 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la zone de navigation s lectionnez l objet requis par exemple utilisateur groupe ou conteneur 3 Cliquez avec le bouton droit de la souris sur l onglet Cl s et s lectionnez Attribuer une nouvelle cl dans le menu contextuel 4 Dans la bo te de dialogue Attribution d une nouvelle cl a Saisissez un Nom symbolique et une Description pour la cl b Pour masquer la cl dans le jeu de cl s de l utilisateur s lectionnez la case cocher Masquer la cl 5 Cliquez sur OK La cl est attribu e et affich e dans l onglet Cl Masquage des cl s Pour viter que trop de cl s de groupes non utilis es apparaissent dans le jeu de cl s d un utilisateur sur l ordinateur d extr mit vous pouvez indiquer les cl s masquer Les cl s qui n apparaissent pas dans le jeu de cl s de l utilisateur peuvent quand m me tre utilis es pour acc der aux fichiers chiffr s mais pas pour en chiffrer des nouveaux Pour masquer les cl s 1 Dans SafeGuard Management Center cliquez sur Cl s et certificats 2 Dans la zone de navigation cliquez sur Cl s et s lectionnez Cl s attribu es
333. it a t promu et appara t sous le n ud Responsables principaux de la s curit En tant que responsable principal de la s curit le responsable promu recevra tous les droits sur l ensemble des objets Par cons quent il perdra tous les droits attribu s ainsi que l acc s au domaine autoris de mani re individuelle dans Utilisateur et ordinateurs R trogradation de responsables principaux de la s curit Condition pr alable Pour r trograder des responsables principaux de la s curit au rang de responsable de la s curit vous devez tre responsable principal de la s curit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur le responsable principal de la s curit que vous voulez r trograder et s lectionnez R trograder au rang de responsable de la s curit 3 Vous tes invit s lectionner un n ud parent pour le responsable et attribuer au moins un r le Le responsable de la s curit a t r trograd et s affiche sous le n ud Responsables de la s curit s lectionn Le responsable ainsi r trograd perd tous ses droits sur l ensemble des objets et ne re oit que ceux attribu s son ou ses r les Un responsable r trograd ne poss de aucun droit sur les domaines Vous devez accorder individuellement des droits d acc s dans la zone Utilisateurs et ordinateurs sous l onglet A
334. iv e Connexion l authentification au d marrage SafeGuard Lorsque le client red marre l authentification au d marrage SafeGuard appara t Que se passe t il 1 L utilisateur a les certificats et les cl s disposition et il peut se connecter lors de l authentification au d marrage SafeGuard 2 Toutes les donn es sont chiffr es et s curis es avec la cl publique RSA de l utilisateur 3 Tous les autres utilisateurs qui souhaitent se connecter doivent au pr alable tre import s dans l authentification au d marrage SafeGuard Retard de connexion Sur un ordinateur prot g par SafeGuard Enterprise un d lai de connexion s applique si un utilisateur fournit des codes d acc s incorrects pendant l authentification Windows ou l authentification au d marrage SafeGuard Le retard de connexion augmente chaque chec de tentative de connexion Apr s un chec de connexion une bo te de dialogue appara t et affiche le d lai restant Remarque si un utilisateur saisit un code confidentiel incorrect lors de la connexion sur le token il n y a aucun retard de connexion 16 2 16 3 Manuel d administration Vous pouvez indiquer le nombre de tentatives de connexion autoris es dans une strat gie du type Authentification en vous aidant pour cela de l option Nbre maximum d checs de connexion Lorsque le nombre maximum d checs de tentative de connexion est atteint l ordinateur est verrouill Pour d
335. ken 536870966 D passement de d lai de l op ration 536870967 Cette version d IE n est pas prise en charge 536870968 chec d authentification 319 SafeGuard Enterprise 320 Identifiant de l erreur 536870969 Affichage Le certificat de base n est pas s curis 536870970 Aucune CRL trouv e 536870971 Aucune connexion Internet active 536870972 Erreur de valeur de temps du certificat 536870973 Impossible de v rifier le certificat s lectionn 536870974 Le statut d expiration du certificat est inconnu 536870975 Le module s est ferm Aucune autre demande 536870976 Une erreur s est produite pendant la requ te d une fonction r seau 536870977 Une requ te de fonction non valide a t re ue 536870978 Impossible de trouver un objet 536870979 Une session terminal server a t interrompue 536870980 Op ration non valide 536870981 L objet est en cours d utilisation 536870982 Le g n rateur de nombres al atoire n a pas t initialis CBIRNDInit non requis 536870983 Commande inconnue voir CBlControl 536870984 UNICODE n est pas pris en charge 536870985 Davantage de valeurs de d part sont n cessaires pour le g n rateur de nombres al atoire 536870986 L objet existe d j 536870987 Combinaison d algorithme incorrecte Voir CBIRecr
336. l lt Serveur gt msi est cr et directement install sur l ordinateur en cours Les informations du serveur sont affich es dans l onglet Serveurs Vous pouvez ex cuter une configuration suppl mentaire Remarque si vous voulez installer un nouveau package de configuration du serveur MSI sur le serveur SafeGuard Enterprise veillez d sinstaller d abord l ancien package de configuration du serveur Par ailleurs supprimez manuellement la m moire cache locale de mani re ce qu il puisse tre mis jour correctement avec les nouvelles donn es de configuration telles que les param tres SSL Puis installez le nouveau package de configuration sur le serveur Manuel d administration 8 2 Enregistrement et configuration du serveur SafeGuard Enterprise pour un ordinateur diff rent Lorsque le serveur SafeGuard Enterprise est install sur un ordinateur diff rent de celui sur lequel se trouve SafeGuard Management Center enregistrez et configurez le serveur SafeGuard Enterprise 1 D marrez SafeGuard Management Center 2 Dans le menu Outils cliquez sur Outil de package de configuration 3 S lectionnez l onglet Serveurs puis cliquez sur Ajouter 4 Dans Enregistrement du serveur cliquez sur pour s lectionner le certificat machine du serveur Ce dernier est g n r lors de l installation du serveur SafeGuard Enterprise Par d faut il est situ dans le r pertoire MachCert du r pertoire d installation du serv
337. l correctement l ordinateur d extr mit d marre i l utilisateur ne saisit pas son code confidentiel correctement en raison d une disposition du clavier incorrecte par exemple l utilisateur peut appuyer sur la touche Echap dans l environnement de pr d marrage pour annuler le test et d marrer l ordinateur d extr mit En cas de probl me mat riel par exemple le non fonctionnement du TPM le test est interrompu et l ordinateur d extr mit d marre 4 L utilisateur se connecte de nouveau 5 Si le test mat riel r ussi l utilisateur a saisi son code confidentiel correctement et aucun probl me n a t rencontr avec le TPM le chiffrement du volume de d marrage commence Dans le cas contraire en cas d chec du test une erreur est signal e et le volume n est pas chiffr Si le test choue parce que l utilisateur a appuy sur Echap dans l environnement de pr d marrage l utilisateur est invit saisir de nouveau son code confidentiel et red marrer l ordinateur comme l tape 2 les tapes 3 4 5 seront r p t es 6 Le chiffrement du volume de d marrage commence 7 Le chiffrement des volumes de donn es commence galement sans qu aucune intervention de l utilisateur ne soit n cessaire Cas de figure 2 un utilisateur se connecte un ordinateur d extr mit Windows 8 sans TPM 1 L utilisateur est invit saisir son mot de passe pour le volume de d marrage 2 L utilisateur saisit
338. l d administration dans la fen tre de droite L l ment de texte peut d sormais tre s lectionn lors de la cr ation de strat gies R p tez la proc dure pour enregistrer d autres l ments de texte Tous les l ments de texte enregistr s s affichent en tant que n uds secondaires Remarque vous pouvez utiliser le bouton Modifier le texte pour ajouter du texte au texte existant Une bo te de dialogue de s lection d un autre fichier texte s affiche lorsque vous cliquez sur ce bouton Le texte contenu dans ce fichier est ajout la fin du texte existant Langue de la bo te de dialogue d authentification au d marrage SafeGuard Apr s l installation du logiciel de chiffrement SafeGuard Enterprise le texte de la bo te de dialogue de l authentification au d marrage SafeGuard est affich dans la langue par d faut d finie dans les Options r gionales et linguistiques de Windows sur l ordinateur d extr mit lors de l installation de SafeGuard Enterprise Vous pouvez changer la langue du texte de la bo te de dialogue de l authentification au d marrage SafeGuard apr s l installation de SafeGuard Enterprise l aide de l une des deux m thodes suivantes Changez la langue par d faut dans les Options r gionales et linguistiques Windows sur l ordinateur d extr mit Apr s deux red marrages de l ordinateur par l utilisateur le nouveau param tre de langue est actif dans l authentification au d marrage SafeGuard
339. la colonne concern e 32 9 32 6 Manuel d administration Actualisation des donn es d inventaire Les ordinateurs d extr mit envoient et mettent g n ralement jour les donn es d inventaire lorsqu elles sont modifi es La commande Demander une actualisation de l inventaire peut tre utilis e pour demander manuellement une actualisation des donn es d inventaire actuelles de l ordinateur Cette commande est disponible pour un ordinateur particulier ou pour tous les ordinateurs d un n ud pouvant inclure des n uds secondaires depuis le menu contextuel et le menu Actions de la barre de menus de SafeGuard Management Center La commande peut galement tre s lectionn e via le menu contextuel des entr es de la liste Si vous s lectionnez cette commande ou cliquez sur l ic ne Demander une actualisation de l inventaire dans la barre d outils les ordinateurs concern s envoient leurs donn es d inventaire actuelles Comme cela est le cas avec d autres zones de SafeGuard Management Center vous pouvez utiliser la commande Actualiser pour actualiser l affichage Vous pouvez s lectionner cette commande dans le menu contextuel pour les ordinateurs individuels ou tous les ordinateurs d un n ud et dans le menu Afficher de la barre de menus Vous pouvez galement utiliser l ic ne double fl che Actualiser dans la barre d outils pour actualiser l affichage Pr sentation Les colonnes individuelles dans la pr sentation propo
340. la s curit Pour plus de simplicit SafeGuard Enterprise propose des r les pr d finis pour les responsables de la s curit dot s de diverses fonctions Un responsable de la s curit poss dant les droits n cessaires peut galement d finir de nouveaux r les partir d une liste d actions de droits et les attribuer des responsables de la s curit particuliers Les types de r le suivants sont fournis R le du responsable principal de la s curit R les pr d finis R les personnalis s Responsable principal de la s curit Apr s avoir install SafeGuard Enterprise un responsable principal de la s curit MSO Master Security Officer est cr par d faut au cours de la configuration initiale de SafeGuard Management Center Le responsable principal de la s curit est un responsable de la s curit de niveau sup rieur Il b n ficie de tous les droits et peut acc der tous les objets semblable un administrateur Windows Les droits du responsable principal de la s curit ne peuvent pas tre modifi s Plusieurs responsables principaux de la s curit peuvent tre cr s pour une seule instance de SafeGuard Management Center Pour des raisons de s curit la cr ation d au moins un 111 2 Manuel d administration MSO suppl mentaire est fortement recommand e Les MSO suppl mentaires peuvent tre supprim s Toutefois il doit toujours rester un utilisateur b n ficiant du r le
341. lables suivantes doivent tre remplies Assurez vous de disposer des droits d administrateur Windows a Munissez vous des informations suivantes si n cessaire vous pouvez les obtenir aupr s de votre administrateur SQL Codes d acc s SQL a Le nom du serveur SQL sur lequel la base de donn es SafeGuard Enterprise doit tre ex cut e a Le nom de la base de donn es SafeGuard Enterprise si elle a d j t cr e Configurations mutualis es Vous pouvez configurer diff rentes bases de donn es SafeGuard Enterprise et les maintenir jour pour une instance de SafeGuard Management Center Cela s av re particuli rement utile pour disposer de configurations de base de donn es diff rentes pour diff rents domaines unit s organisationnelles ou locaux d entreprise Remarque configurez une instance s par e du serveur SafeGuard Enterprise pour chaque base de donn es Pour faciliter la configuration les configurations cr es pr c demment peuvent aussi tre import es partir de fichiers ou de nouvelles configurations de base de donn es peuvent tre export es en vue d une r utilisation ult rieure Pour une configuration mutualis e de SafeGuard Management Center effectuez d abord la configuration initiale puis proc dez aux tapes plus sp cifiques de la configuration mutualis e 19 SafeGuard Enterprise 20 9 3 5 4 Configuration initiale de SafeGuard Management Center Apr s l install
342. le car les cl s sont stock es s par ment du noyau dans la zone de stockage des cl s KSA En s parant le noyau et les cl s ce type de lecteur peut tre d chiffr lorsqu il est connect un autre ordinateur Pour ce faire l utilisateur qui se connecte l autre ordinateur a besoin d une cl de la KSA pour la partition qui ne peut tre d marr e dans son jeu de cl s Dans le pire des cas la partition est seulement chiffr e avec le Boot_Key de l autre ordinateur Dans une telle situation le responsable principal de la s curit ou le responsable r cup ration doit attribuer ce Boot _Key l utilisateur Retrouvez plus d informations la section Asservissement d un disque dur la page 259 Volumes SafeGuard Enterprise propose le chiffrement bas sur volume Cela inclut les informations de chiffrement de l enregistrement constitu es du secteur de d marrage de la KSA KSA Key Storage Area principale et de sauvegarde ainsi que du secteur de d marrage original sur chaque lecteur Si l une des conditions suivantes s applique le volume n est plus accessible a Les deux zones de stockage des cl s sont endommag es en m me temps Le MBR d origine est endommag Secteur de d marrage Au cours du processus de chiffrement le secteur de d marrage d un volume est remplac par le secteur de d marrage de SafeGuard Enterprise Le secteur de d marrage de SafeGuard Enterprise contient des informations s
343. le code de challenge a t saisi correctement le code de r ponse est g n r Si le code a t saisi de fa on incorrecte le terme Challenge non valide appara t au dessous du bloc contenant l erreur 2 Lisez alors le code de r ponse l utilisateur Une aide l pellation est fournie Vous pouvez galement copier le code de r ponse dans le Presse papiers Lorsque vous avez s lectionn Cl requise comme action de r cup ration la cl requise est transf r e dans l environnement utilisateur dans le code de r ponse Lorsque vous avez s lectionn Mot de passe du fichier de cl requis comme action de r cup ration le mot de passe du fichier de cl chiffr est transf r dans le code de r ponse Ce fichier de cl est ensuite supprim Saisie du code de r ponse dans l outil KeyRecovery 1 Sur l ordinateur d extr mit dans l outil de r cup ration de cl KeyRecovery saisissez le code de r ponse fourni par le support La cl ou le mot de passe requis pour le fichier de cl figure dans ce code de r ponse 2 Cliquez sur OK Le disque s lectionn pour la proc dure Challenge R ponse a t d chiffr SafeGuard k cf 251 SafeGuard Enterprise 29 2 7 252 3 Pour v rifier si le d chiffrement a r ussi s lectionnez le lecteur d chiffr dans le gestionnaire de fichiers Windows PE D leiki Fe Edit New Favorites Go View Tools Help lee Ie ee De B X Ei
344. le de la s curit et s lectionnez Nouveau gt Nouveau responsable de la s curit dans le menu contextuel La bo te de dialogue Nouveau responsable de la s curit s affiche Dans le champ Connexion au token sp cifiez le type de connexion pour le responsable de la s curit Pour permettre au responsable de la s curit de s authentifier avec ou sans token s lectionnez Facultatif a Pour rendre obligatoire la connexion sur la carte puce pour le responsable de la s curit s lectionnez Obligatoire Avec ce param tre la cl priv e reste sur le token Le token doit toujours tre connect sinon le syst me doit tre r initialis Veuillez ensuite indiquer le certificat du responsable de la s curit Pour cr er un nouveau certificat cliquez sur le bouton Cr er pr s de la liste d roulante Certificat Saisissez un mot de passe pour le certificat deux fois et cliquez sur OK pour le confirmer Indiquez l emplacement d enregistrement du certificat a Pour importer les certificats cliquez sur le bouton Importer pr s de la liste d roulante Certificat et ouvrez le fichier de certificat correspondant La recherche s effectue d abord dans un fichier de certificat puis sur le token Les certificats peuvent rester dans l emplacement de stockage quel qu il soit Sous R les activez les r les devant tre attribu s au responsable de la s curit Confirmez les saisies en cliquant sur OK Le responsa
345. le mot de passe et clique sur Red marrer et chiffrer 21 25 Manuel d administration Le syst me red marre teste le mat riel et l utilisateur se connecte de nouveau comme d crit dans le cas de figure pr c dent pr cis ment comme aux tapes 3 6 du cas de figure 1 Les r f rences au TPM peuvent tre ignor es et un mot de passe est n cessaire plut t qu un code confidentiel Le chiffrement du volume de d marrage commence Le chiffrement des volumes de donn es commence galement sans qu aucune intervention de l utilisateur ne soit n cessaire Cas de figure 3 un utilisateur se connecte un ordinateur d extr mit Windows 7 sans TPM 1 2 L utilisateur est invit sauvegarder la cl de chiffrement du volume de d marrage sur une carte m moire USB L utilisateur connecte une carte m moire ou cl USB et appuie sur Enregistrer et red marrer Le syst me red marre teste le mat riel et l utilisateur se connecte de nouveau il s agit de la m me proc dure que dans les cas de figure pr c dents En revanche l utilisateur doit fournir la carte m moire USB au moment du d marrage Une autre erreur mat riel pouvant survenir serait l impossibilit de lire la carte m moire USB partir de l environnement de pr d marrage Le chiffrement du volume de d marrage commence Le chiffrement des volumes de donn es commence galement sans qu aucune intervention de l utilisateur ne soit
346. lectionnez la case dans la colonne Bloquer l utilisateur l utilisateur n est pas autoris se connecter l ordinateur concern Si l utilisateur se connecte lorsque la strat gie contenant ce param tre est activ e sur l ordinateur il est d connect Groupes Dans SafeGuard Management Center des groupes d ordinateurs peuvent tre attribu s un utilisateur compte et ou peuvent tre attribu s un ordinateur Pour cr er un groupe Dans Utilisateurs et ordinateurs cliquez avec le bouton droit de la souris sur le n ud de l objet appropri sur lequel vous voulez cr er le groupe et s lectionnez Nouveau Cr er un groupe Dans Cr er un groupe dans Nom complet entrez le nom du groupe et ventuellement une description Cliquez sur OK Exemple Compte de service Il est par exemple possible d utiliser un seul compte de service pour entretenir un grand nombre d ordinateurs cette fin les ordinateurs concern s doivent se trouver dans un m me groupe Ce groupe est ensuite attribu un compte de service utilisateur Le propri taire du compte de service peut ensuite se connecter tous les ordinateurs de ce groupe En outre le fait d attribuer un groupe contenant diff rents utilisateurs permet ces derniers de se connecter ensuite un ordinateur sp cifique en une seule tape Attribution de groupes d utilisateurs et d ordinateurs Dans Utilisateurs et ordinateurs pour visualiser l attribution des groupes d
347. les strat gies Elles doivent tre attribu es dans le premier package de configuration SafeGuard Enterprise cr pour la configuration des ordinateurs d extr mit 113 SafeGuard Enterprise 18 1 Cr ation de listes de comptes de service et ajout 18 2 114 d utilisateurs 1 Dans la zone de navigation cliquez sur Strat gies 2 Dans la fen tre de navigation de la strat gie s lectionnez Listes de comptes de service 3 Dans le menu contextuel de l option Listes de comptes de service cliquez sur Nouveau gt Liste de comptes de service 4 Saisissez un nom pour la liste de comptes de service puis cliquez sur OK 5 S lectionnez la nouvelle liste sous Listes de comptes de service dans la fen tre de navigation de la strat gie 6 Cliquez avec le bouton droit de la souris dans la zone d action pour ouvrir le menu contextuel de la liste de comptes de service Dans le menu contextuel s lectionnez Ajouter Une nouvelle ligne utilisateur est ajout e 7 Saisissez le Nom d utilisateur et le Nom du domaine dans les colonnes correspondantes puis appuyez sur Entr e R p tez cette tape pour ajouter d autres utilisateurs 8 Enregistrez vos modifications en cliquant sur l ic ne Enregistrer de la barre d outils La liste de comptes de service est pr sent enregistr e et peut tre s lectionn e d s lors que vous cr ez une strat gie Informations suppl mentaires pour la saisie de noms d utilisateur et d
348. lient et peut tre utilis e pour un chiffrement imm diatement apr s l installation Il s agit d une cl pr d finie du jeu de cl s de l utilisateur qui s affiche sous la forme d un lt nom utilisateur gt dans les bo tes de dialogue de s lection de cl Le cas ch ant les cl s de chiffrement de support sont galement utilis es pour toutes les t ches de chiffrement initial Bon usage Cette section d crit des tudes de cas classiques de SafeGuard Data Exchange et comment les mettre en uvre en cr ant les strat gies appropri es Bob et Alice sont deux employ s de la m me soci t et disposent de SafeGuard Data Exchange Joe est un partenaire externe et ne dispose pas de SafeGuard Enterprise sur son ordinateur Utilisation interne uniquement Bob souhaite partager des donn es chiffr es sur un support amovible avec Alice Ils font partie du m me groupe et disposent donc de la cl de groupe appropri e dans leur jeu de cl s SafeGuard Enterprise tant donn qu ils utilisent la m me cl de groupe ils peuvent acc der en toute transparence aux fichiers chiffr s sans saisir de phrase secr te Vous devez d finir les param tres dans une strat gie de type Protection du p riph rique Supports amovibles Mode de chiffrement du support Bas sur fichier Cl utiliser pour le chiffrement Cl d finie dans la liste Cl d finie dans la liste lt cl de groupe domaine gt par exemple groupe
349. lique uniquement aux ordinateurs d extr mit Windows Bob souhaite partager un p riph rique chiffr avec Joe tiers externe qui ne dispose pas de SafeGuard Data Exchange et qui doit donc utiliser SafeGuard Portable Si on suppose que Bob ne souhaite pas que Joe acc de tous les fichiers chiffr s du support amovible il peut cr er une cl locale et chiffrer les fichiers avec cette cl Joe peut alors utiliser SafeGuard Portable et ouvrir les fichiers chiffr s l aide de la phrase secr te de la cl locale et Bob peut toujours utiliser la phrase secr te des supports pour acc der aux fichiers chiffr s du support amovible Comportement sur l ordinateur a Bob connecte pour la premi re fois le support amovible La cl de chiffrement de support unique chaque p riph rique est cr e automatiquement a Bob est invit saisir la phrase secr te des supports pour l utiliser hors ligne La cl de chiffrement de support est utilis e pour le chiffrement de donn es sans aucune intervention de l utilisateur mais a Bob peut maintenant cr er ou s lectionner une cl locale par exemple JoeCl pour chiffrer des fichiers sp cifiques changer avec Joe a Bob et Alice du m me groupe ou domaine acc dent de mani re transparente car ils partagent la m me cl de groupe domaine a Si Bob souhaite acc der des fichiers chiffr s d un support amovible sur un ordinateur sur lequel SafeGuard Data Exchange n est
350. liquez avec le bouton droit de la souris sur le r le modifier et s lectionnez Modifier un r le personnalis 3 Modifiez les propri t s selon vos besoins Modifiez les propri t s d authentification suppl mentaire en cliquant sur la valeur de cette colonne et en s lectionnant le r le requis 4 Cliquez sur l ic ne Enregistrer de la barre d outils pour enregistrer vos modifications dans la base de donn es Le r le a t modifi 57 SafeGuard Enterprise 116 11 7 11 8 58 Copie d un r le Pour cr er un r le dont les propri t s sont identiques celles d un r le existant vous pouvez utiliser le r le existant comme mod le pour le nouveau r le Vous pouvez s lectionner un r le pr d fini ou personnalis comme mod le Condition pr alable vous pouvez utiliser des r les existants comme mod les uniquement si le responsable de la s curit actuellement authentifi poss de tous les droits contenus dans le mod le de r le sp cifique Par cons quent cette fonction peut ne pas tre disponible pour les responsables ne poss dant qu un nombre d actions limit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur le r le copier et s lectionnez Nouveau gt Nouvelle copie du r le Dans Nouveau r le personnalis toutes les propri t s du r le existant sont pr s lectionn es 8
351. lis pour lire les fichiers chiffr s Remarque Cloud Storage chiffre uniquement les nouvelles donn es stock es dans le Cloud Si les donn es sont d j stock es dans le Cloud avant l installation de Cloud Storage ces donn es ne seront pas automatiquement chiffr es Si vous voulez chiffrer ces donn es veuillez d abord les supprimer du Cloud et les ajouter de nouveau Conditions requises pour le Logiciel de Cloud Storage Pour activer le chiffrement des donn es stock es dans le Cloud le logiciel fourni par le fournisseur de Stockage dans le Cloud doit a Fonctionner sur l ordinateur sur lequel Cloud Storage est install Avoir une application ou un service syst me stock e dans le syst me de fichiers local et synchroniser les donn es entre le Cloud et le syst me local Stocker les donn es synchronis es dans le syst me de fichiers local Cr ation de d finitions Cloud Storage CSD Dans SafeGuard Management Center les d finitions Cloud Storage pr d finies de diff rents fournisseurs de stockage dans le Cloud sont disponibles Par exemple Dropbox ou Egnyte Vous pouvez modifier les chemins d finis dans les d finitions Cloud Storage pr d finies selon vos besoins ou cr er une nouvelle d finition partir des valeurs d une d finition pr d finie Ceci s av re particuli rement utile par exemple si vous souhaitez uniquement chiffrer une 205 SafeGuard Enterprise partie des donn es de votre st
352. lisateur et l utilisateur doit l avoir au d marrage d une session Challenge R ponse avec un outil de r cup ration Dans la session Challenge R ponse le mot de passe du fichier de cl est transmis avec le code de r ponse Le fichier de cl peut alors tre d chiffr avec le mot de passe et tous les volumes chiffr s avec les cl s disponibles sont de nouveau accessibles Pour exporter les fichiers de cl s vous avez besoin des droits d Acc s complet pour les objets auxquels les cl s correspondantes sont attribu es 1 Dans SafeGuard Management Center cliquez sur Cl s et certificats 2 Dans la fen tre de navigation de gauche cliquez sur Clients virtuels puis sur Fichiers de cl s export s 3 Dans la barre d outils cliquez sur Exporter des cl s dans un fichier de cl 4 Dans Exporter des cl s dans un fichier de cl entrez les informations suivantes a b R pertoire Cliquez sur pour s lectionner l emplacement du fichier de cl Nom du fichier Le fichier de cl est chiffr l aide d un mot de passe al atoire qui s affiche cet emplacement Vous ne pouvez pas modifier ce nom O Cliquez sur Ajouter une cl ou sur Supprimer une cl pour ajouter ou supprimer des cl s Une fen tre contextuelle s affiche pour rechercher et s lectionner les cl s requises Cliquez sur OK pour confirmer la s lection d Cliquez sur OK pour confirmer toutes les saisies 5 Distribuez l
353. ll Si les strat gies de l entreprise d finissent galement que tous les fichiers des supports amovibles doivent toujours tre chiffr s ajoutez les param tres suivants Chiffrement initial de tous les fichiers Oui V rifie que les fichiers des supports amovibles sont chiffr s lors de la premi re connexion du support au syst me a L utilisateur peut annuler le chiffrement initial Non L utilisateur ne peut pas annuler le chiffrement initial pour le diff rer par exemple L utilisateur n est pas autoris acc der aux fichiers non chiffr s Non Si des fichiers au format brut sont d tect s sur les supports amovible leur acc s est refus L utilisateur peut d chiffrer des fichiers Non L utilisateur n est pas autoris d chiffrer des fichiers de supports amovibles Au bureau Bob et Alice acc dent de mani re transparente aux fichiers chiffr s du support amovible leur domicile ils peuvent utiliser SafeGuard Portable pour ouvrir des fichiers chiffr s en saisissant la phrase secr te des supports Si Bob ou Alice souhaite partager le support amovible sur un ordinateur tiers sur lequel SafeGuard Data Exchange n est pas install ils peuvent utiliser des cl s locales pour s assurer que le tiers externe n acc de qu certains fichiers Cette configuration avanc e implique une interaction plus importante de l utilisateur en l autorisant cr er des cl s locales sur son ordinateur Remarque po
354. lles de l ordinateur Analyse des param tres Ignorer l utilisateur et R p ter les param tres machine S il existe des attributions de strat gies actives les strat gies de la machine sont analys es et regroup es d abord Si avec le Mode de r cursivit des strat gies ce regroupement de strat gies individuelles aboutit la valeur Ignorer l utilisateur les strat gies d finies pour l utilisateur ne sont pas analys es Cela signifie que les m mes strat gies s appliquent la fois pour l utilisateur et pour la machine 95 SafeGuard Enterprise 14 9 12 5 14 9 13 96 Si apr s regroupement des strat gies individuelles la valeur avec l attribut Mode de r cursivit des strat gies est R p ter les param tres machine les strat gies de l utilisateur sont combin es celles de la machine Apr s le regroupement les strat gies de la machine sont r crites et le cas ch ant remplacent les param tres de strat gie de l utilisateur Si un param tre est pr sent dans les deux strat gies la valeur de la strat gie de la machine remplace celle de la strat gie de l utilisateur Si le regroupement des strat gies individuelles de la machine produit la valeur par d faut Pas de mode de r cursivit des strat gies les param tres de l utilisateur sont prioritaires par rapport ceux de la machine Ordre d ex cution des strat gies Ignorer l utilisateur Ordinateurs R p ter les param tres ma
355. m r es s appliquent aussi Chiffrement bas sur volume et partition du syst me Windows 7 Pour Windows 7 Professionnel Entreprise et dition Int grale une partition syst me est cr e sur les ordinateurs d extr mit sans attribution de lettre de lecteur Cette partition syst me ne peut pas tre chiffr e par SafeGuard Enterprise Chiffrement bas sur volume et objets du syst me de fichiers non identifi s Les objets du syst me de fichiers non identifi s sont des volumes qui ne peuvent pas tre clairement identifi s comme texte brut ou chiffr s par SafeGuard Enterprise L acc s au volume est refus s il existe une strat gie de chiffrement d finie pour un objet du syst me de fichiers non identifi Si aucune strat gie de chiffrement n existe l utilisateur peut acc der au volume Remarque si une strat gie de chiffrement dont le param tre Cl utiliser pour le chiffrement est d fini de sorte permettre la s lection de cl par exemple Toute cl du jeu de cl s utilisateur existe pour un volume d objets du syst me de fichiers non identifi s un intervalle de temps s coule entre l affichage de la bo te de dialogue de s lection de la cl et le refus de l acc s Pendant cet intervalle le volume reste accessible Le volume est accessible tant que la bo te de dialogue de s lection de cl n est pas confirm e Pour viter cela sp cifiez une cl pr s lectionn e pour le chiffrement Retrouvez plus
356. m tre Dossiers de synchronisation Le module Cloud Storage de SafeGuard Enterprise se connecte donc par d faut aux syst mes de fichiers r seau Si cette op ration n est pas n cessaire vous pouvez d sactiver ce comportement en d finissant une strat gie Param tres g n raux et en s lectionnant R seau sous P riph riques ignor s 207 SafeGuard Enterprise Fournisseur Google Drive Utilisable dans Le param tre 02S B Espace r serv Application de synchronisation Dossiers de synchronisation lt GoogleDrive gt R sultat Pour les applications de synchronisation le chemin pleinement qualifi de l application de synchronisation utilis e par le logiciel Google Drive Pour les dossiers de synchronisation le chemin pleinement qualifi du dossier de synchronisation utilis par le logiciel Google Drive OneDrive Application de synchronisation Dossiers de synchronisation lt OneDrive gt Pour les applications de synchronisation le chemin pleinement qualifi de l application de synchronisation utilis e par le logiciel OneDrive Pour les dossiers de synchronisation le chemin pleinement qualifi du dossier de synchronisation utilis par le logiciel OneDrive Remarque SafeGuard Enterprise ne prend pas en charge les comptes Microsoft Sous Windows 8 1 OneDrive peut uniquement tre utilis si l utilisateur Windows est un utilisateur de domaine Sous Windows 8
357. mentaires en utilisant l option Texte d informations suppl mentaires dans la strat gie de type Param tres de machine sp cifiques Enregistrement des textes d informations Les fichiers texte contenant les informations requises doivent tre cr s avant d tre enregistr s dans SafeGuard Management Center La taille maximale des fichiers de textes d informations est de 50 Ko SafeGuard Enterprise utilise les textes cod s en Unicode UTF 16 uniquement Si vous ne cr ez pas les fichiers texte dans ce format ils seront automatiquement convertis lorsqu ils seront enregistr s Les caract res sp ciaux doivent par cons quent tre utilis s avec prudence dans les textes d informations cr s pour l authentification au d marrage SafeGuard Il est possible que certains de ces caract res n apparaissent pas correctement Pour enregistrer des textes d informations 1 Dans la zone de navigation Strat gies cliquez avec le bouton droit de la souris sur Textes et s lectionnez Nouveau gt Texte 2 Saisissez le nom du texte afficher dans le champ Nom de l l ment de texte 8 Cliquez sur pour s lectionner le fichier texte cr auparavant Un message s affiche si le fichier doit tre converti 4 Cliquez sur OK Le nouvel l ment de texte s affiche en tant que n ud secondaire sous Textes dans la zone de navigation des strat gies Si vous s lectionnez un l ment de texte son contenu s affiche 16 4 3 16 4 4 Manue
358. ministration Description Impossible de supprimer le groupe Administration Administration Membres ajout s au groupe Membres supprim s du groupe Administration Administration Impossible d ajouter les membres au groupe Impossible de supprimer les membres du groupe Administration Administration Groupe d plac d une O vers un autre Impossible de passer le groupe d une O vers un autre Administration Administration Objets ajout s au groupe Objets supprim s du groupe Administration Administration Impossible d ajouter les objets au groupe Impossible de supprimer les objets du groupe Administration Administration Administration Administration Administration Administration Administration Administration Administration Cl g n r e Algorithme Cl attribu e Attribution de cl annul e Impossible de g n rer la cl Impossible d attribuer la cl Impossible de supprimer l attribution de la cl Certificat g n r Certificat import Certificat supprim Administration Administration Certificat attribu l utilisateur Annulation de l attribution de certificat l utilisateur Administration Administration Impossible de cr er le certificat Impossible d importer le certificat 301 SafeGuard Enterprise 302 Cat gorie Administration Identifiant d v nement De
359. n 4 Indiquez un chemin de sortie pour le package de configuration 5 Cliquez sur Cr er un package de configuration 6 D ployez le package de configuration sur les ordinateurs d extr mit L installation du package de configuration entra ne la suppression de tous les utilisateurs de l authentification au d marrage des ordinateurs d extr mit Tous les utilisateurs concern s sont donc supprim s de l authentification au d marrage Modification des attributions d utilisateurs de l authentification au d marrage sur les ordinateurs d extr mit non administr s 1 Cr ez un nouveau groupe POA ou modifiez en un existant 2 Cr ez un nouveau package de configuration et s lectionnez le nouveau groupe d authentification au d marrage ou celui qui a t modifi 3 D ployez le nouveau package de configuration sur l ordinateur d extr mit Le nouveau groupe d authentification au d marrage est disponible sur l ordinateur d extr mit Tous les utilisateurs inclus sont ajout s l authentification au d marrage Le nouveau groupe remplace le pr c dent Les groupes POA ne sont pas fusionn s Connexion un ordinateur d extr mit l aide d un utilisateur de l authentification au d marrage 1 Mettez l ordinateur sous tension La bo te de dialogue de connexion de l authentification au d marrage SafeGuard s affiche 2 Saisissez le Nom d utilisateur et le Mot de passe de l utilisateur POA pr d fini Vous n tes
360. n Si ce param tre est d fini sur Oui suite la connexion partir de l authentification au d marrage SafeGuard et Windows une bo te de dialogue affiche les informations concernant la derni re connexion nom d utilisateur date heure les derniers codes d acc s de l utilisateur connect D sactiver la d connexion forc e dans le verrouillage du poste de travail Remarque ce param tre ne s applique que sous Windows XP Windows XP n est plus pris en charge partir de SafeGuard Enterprise 6 1 Ce param tre de strat gie est toujours disponible dans SafeGuard Management Center afin de prendre en charge les clients SafeGuard Enterprise 6 administr s par la version 7 0 du Management Center Si l utilisateur souhaite quitter l ordinateur d extr mit pendant une courte dur e il peut cliquer sur Verrouiller le poste de travail pour emp cher d autres utilisateurs de l utiliser et le d verrouiller avec le mot de passe utilisateur Non l utilisateur qui a verrouill l ordinateur ainsi qu un administrateur peuvent le d verrouiller Si un administrateur d verrouille l ordinateur l utilisateur connect est automatiquement d connect Oui change ce comportement Dans ce cas seul l utilisateur peut d verrouiller l ordinateur L administrateur ne pourra pas le d verrouiller et l utilisateur ne sera pas d connect automatiquement Activer la pr s lection utilisateur domaine Oui l authentificati
361. n Si vous cliquez sur Importer une bo te de dialogue s ouvre dans laquelle vous pouvez s lectionner et nommer le CCO Le nom que vous saisissez ici appara t sur l onglet CCO de l Outil de package de configuration Exportation l aide de la fonctionnalit Exporter les CCO stock s dans la base de donn es peuvent tre export s et sont alors disponibles sous la forme de fichiers cco 85 SafeGuard Enterprise 14 14 1 14 2 86 Utilisation de strat gies Les sections suivantes d crivent les t ches administratives relatives aux strat gies par exemple la cr ation le regroupement et la sauvegarde Remarque pour l attribution la suppression ou la modification des strat gies vous avez besoin des droits d Acc s complet aux objets appropri s ainsi qu tout groupe activ pour les strat gies donn es Retrouvez une description d taill e de tous les param tres de strat gie disponibles dans SafeGuard Enterprise la section Param tres de strat gie la page 125 Cr ation de strat gies 1 Connectez vous SafeGuard Management Center avec le mot de passe d fini lors de la configuration initiale 2 Dans la zone de navigation cliquez sur Strat gies 3 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur l ments de strat gie puis s lectionnez Nouveau 4 S lectionnez le type de strat gie Une bo te de dialogue permettant de nommer la nouvelle strat gie
362. n cessaire Cas de figure 4 le responsable de la s curit change le param tre de la strat gie Mode de connexion de secours BitLocker pour volumes de d marrage sur Mot de passe Un utilisateur se connecte un ordinateur d extr mit Windows 7 sans TPM 1 L ordinateur d extr mit n ayant pas de TPM et Windows 7 n autorisant pas l utilisation de mots de passe pour les volumes de d marrage le volume de d marrage ne sera pas chiffr Pour chaque volume non d marrable l utilisateur est invit enregistrer la cl externe sur une carte m moire USB Le chiffrement du volume respectif commence d s que l utilisateur clique sur Enregistrer Lorsque l utilisateur red marre l ordinateur d extr mit la cl USB doit tre connect e afin de permettre le d verrouillage des volumes non d marrables Conditions pr alables La gestion de BitLocker sur Les ordinateurs d extr mit Si vous voulez utiliser l une des m thodes de connexion TPM PIN TPM Cl de d marrage Cl de d marrage ou Mot de passe veuillez activer la Strat gie de groupe Demander une authentification suppl mentaire au d marrage soit dans Active Directory soit localement sur les ordinateurs Dans l diteur d objets de strat gie de groupe gpedit msc la Strat gie de groupe se trouve l emplacement suivant Strat gie Ordinateur local Configuration ordinateur Mod les d administration Composants Windows Chiffrement de lecteur BitLo
363. n Utilisateurs et ordinateurs sous POA Groupes POA s lectionnez le groupe POA appropri Dans la zone d action de SafeGuard Management Center sur la droite l onglet Membres s affiche 3 Dans la barre d outils de SafeGuard Management Center cliquez sur l ic ne Ajouter signe vert La bo te de dialogue S lectionner un objet membre s affiche 4 S lectionnez l utilisateur que vous souhaitez ajouter au groupe 5 Cliquez sur OK L utilisateur POA est ajout au groupe puis affich dans l onglet Membres Suppression d utilisateurs de groupes POA Pour modifier les groupes POA vous avez besoin des droits d Acc s complet pour le n ud POA sous Utilisateurs et ordinateurs 1 Dans la zone de navigation de SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 19 7 IS FT Manuel d administration 2 Dans la fen tre de navigation Utilisateurs et ordinateurs sous POA Groupe POA s lectionnez le groupe d authentification au d marrage appropri Dans la zone d action de SafeGuard Management Center sur la droite l onglet Membres s affiche 3 S lectionnez l utilisateur que vous souhaitez supprimer du groupe 4 Dans la barre d outils de SafeGuard Management Center cliquez sur l ic ne Supprimer croix rouge L utilisateur est supprim du groupe Attribution d utilisateurs de l authentification au d marrage aux ordinateurs d extr mit Remarque pour attribuer des utilisateurs de l aut
364. n au d marrage SafeGuard l utilisateur peut choisir d ex cuter ou non la connexion automatique Windows D sactiver la connexion automatique vers Windows Apr s la connexion l authentification au d marrage SafeGuard la bo te de dialogue de connexion Windows s affiche L utilisateur doit se connecter manuellement Windows Appliquer la connexion automatique vers Windows L utilisateur se connecte toujours automatiquement Windows OPTIONS BITLOCKER Mode de connexion BitLocker Les options suivantes sont disponibles pour les volumes de d marrage TPM la cl de connexion est stock e sur la puce du TPM Module de plate forme s curis e TPM PIN la cl de connexion est stock e sur la puce du TPM et un code confidentiel est galement n cessaire pour la connexion Cl de d marrage la cl de connexion est stock e sur une carte m moire USB TPM Cl de d marrage la cl de connexion est stock e sur la puce du TPM et sur une carte m moire USB Les deux sont requises pour tablir la connexion Remarque si vous voulez utiliser TPM PIN TPM Cl de d marrage ou Cl de d marrage veuillez activer la Strat gie de groupe Demander une authentification suppl mentaire au d marrage soit dans Active Directory soit localement sur les ordinateurs Dans l diteur d objets de strat gie de groupe gpedit msc la Strat gie de groupe se trouve l emplacement suivant Strat gie
365. n au d marrage doit avoir t pr alablement cr dans la zone Utilisateurs et ordinateurs de SafeGuard Management Center Si le certificat d entreprise actuellement actif dans la base de donn es SafeGuard Enterprise diff re de celui pr sent sur les ordinateurs d extr mit qui doivent recevoir le nouveau package de configuration s lectionnez le CCO Company Certificate Change Order ad quat Remarque si les certificats d entreprise actuellement actifs dans la base de donn es SafeGuard Enterprise et sur l ordinateur d extr mit ne correspondent pas et si aucun CCO appropri n est inclus le d ploiement du nouveau package de configuration sur l ordinateur d extr mit chouera Sous Emplacement de la sauvegarde de la cl indiquez ou s lectionnez un chemin r seau partag pour le stockage du fichier de r cup ration de cl Saisissez le chemin de partage sous la forme suivante ordinateur r seau par exemple monentreprise edu Si vous n indiquez pas de chemin ici l utilisateur final sera invit indiquer l emplacement de stockage de ce fichier lors de sa premi re connexion l ordinateur d extr mit suite l installation Le fichier de r cup ration de cl XML est requis pour activer la r cup ration des ordinateurs prot g s par Sophos SafeGuard Il est g n r sur chaque ordinateur prot g par Sophos SafeGuard Remarque assurez vous d enregistrer ce fichier de r cup ration de cl
366. n cons quence et demander l utilisateur de les d chiffrer 167 SafeGuard Enterprise 21111 21 1 1 2 21113 168 Chiffrement initial rapide SafeGuard Enterprise propose un chiffrement initial en guise de mode sp cial pour le chiffrement bas sur volume Il r duit le temps n cessaire au chiffrement initial ou au d chiffrement final des volumes sur les ordinateurs d extr mit en acc dant uniquement l espace disque r ellement en cours d utilisation Pour un chiffrement initial rapide les conditions pr alables suivantes s appliquent Le chiffrement initial rapide fonctionne seulement sur les volumes format s NTFS a Les volumes format s NTFS avec une taille de clusters de 64 Ko ne peuvent pas tre chiffr s avec le mode de chiffrement initial rapide Remarque ce mode conduit un tat moins s curis si un disque a t utilis avant son utilisation courante avec SafeGuard Enterprise Les secteurs non utilis s peuvent tout de m me contenir des donn es Le chiffrement initial rapide est par cons quent d sactiv par d faut Pour activer le chiffrement initial rapide s lectionnez le param tre Chiffrement initial rapide dans une strat gie du type Protection des p riph riques Remarque pour le d chiffrement des volumes le mode de chiffrement initial rapide sera toujours utilis quel que soit le param tre de strat gie sp cifi Pour le d chiffrement les conditions pr alables nu
367. n de mots de passe La proc dure Challenge R ponse est prise en charge pour les ordinateurs natifs SafeGuard Enterprise et les ordinateurs d extr mit chiffr s BitLocker Le syst me d termine dynamiquement quel type d ordinateur est en cours d utilisation Le flux de travail de r cup ration est ajust en cons quence Actions de r cup ration pour Les clients SafeGuard Enterprise Le flux de travail de r cup ration d pend du type d ordinateur d extr mit pour lequel une r cup ration est demand e Remarque s il s agit d ordinateurs chiffr s BitLocker la seule action de r cup ration consiste r cup rer la cl utilis e pour chiffrer un volume sp cifique La r cup ration de mots de passe n est pas propos e R cup ration du mot de passe l authentification au d marrage SafeGuard L un des sc narios les plus courants est l oubli du mot de passe par l utilisateur Par d faut SafeGuard Enterprise est install avec l authentification au d marrage SafeGuard activ e Le mot de passe de l authentification au d marrage SafeGuard permettant d acc der l ordinateur est identique au mot de passe Windows Si l utilisateur a oubli le mot de passe l authentification au d marrage SafeGuard le responsable du support SafeGuard Enterprise peut g n rer une r ponse pour D marrer le client SGN avec une connexion utilisateur mais sans afficher le mot de passe de l utilisateur Par contre dans ce cas apr s av
368. nagement Center dans Utilisateurs et ordinateurs dans l onglet Inventaire En tant que responsable de la s curit vous pouvez afficher exporter et imprimer les donn es d inventaire et d tat Par exemple vous pouvez cr er des rapports de conformit pour prouver que des ordinateurs d extr mit ont t chiffr s Les fonctions de tri et de filtrage tendus sont disponibles pour vous aider s lectionner les donn es pertinentes L inventaire propose par exemple les donn es suivantes sur chaque machine a La strat gie appliqu e m Le dernier contact du serveur a L tat de chiffrement de tous les supports a L tat et le type de l authentification au d marrage Les modules SafeGuard Enterprise install s a L tat de l veil par appel r seau s curis WOL Les donn es de l utilisateur Ordinateurs d extr mit Mac dans l inventaire L Inventaire permet d obtenir des donn es d tat pour les Macs administr s dans SafeGuard Management Center Retrouvez plus d informations la section Donn es d inventaire et d tat des Mac la page 292 Affichage des donn es d inventaire 1 Dans la zone de navigation de SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation cliquez sur le conteneur concern domaine groupe de travail ou ordinateur gauche 3 Dans la zone d action acc dez l onglet Inventaire droite 4 Dans la zone Filtre s
369. navigation de SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation gauche cliquez sur le n ud racine le domaine l OU l objet conteneur ou le groupe de travail 3 Dans la zone d action passez dans l onglet Licences L tat de la licence appara t L cran est divis en trois zones La zone sup rieure indique le nom du client pour lequel la licence a t g n r e ainsi que la date de g n ration La zone centrale propose des d tails sur la licence Les colonnes individuelles contiennent les informations suivantes Colonne Explication tat ic ne Une ic ne indique l tat de la licence validit message d avertissement message d erreur du module concern Fonction Indique le module install Licences achet es Indique le nombre de licences achet es pour le module install Licences utilis es Indique le nombre de licences utilis es pour le module install Expire Indique la date d expiration de la licence Type Indique le type de licence d monstration ou standard Limite de tol rance Indique la limite de tol rance sp cifi e pour le d passement du nombre de licences achet es Si vous affichez l onglet Licences d un domaine OU l aper u indique le statut en fonction de l ordinateur de la branche concern e Des d tails sur les modules de token sous licence sont propos s sous cette pr sentation Dans la partie inf
370. ne indique si l utilisateur est contraint de changer son mot de passe Windows en fonction des conditions indiqu es dans les colonnes pr c dentes Condition Condition Condition Condition R sultat proc dure C R proc dure C R contr leur de affichage du motde l utilisateur est g n r e avec g n r e avec domaine disponible passe refus par contraint de connexion de connexion de l utilisateur changer son mot de l utilisateur et l utilisateur passe Windows affichage de l option Oui Non disponible du mot de passe Non disponible Non disponible 29 2 3 Lancement de l assistant de r cup ration Pour pouvoir effectuer une proc dure de r cup ration assurez vous de disposer des droits et des autorisations requis 1 Connectez vous SafeGuard Management Center 2 Cliquez sur Outils gt R cup ration dans la barre de menus L Assistant de r cup ration d marre Vous pouvez s lectionner le type de r cup ration que vous souhaitez utiliser 29 2 4 Types de r cup ration 242 S lectionnez le type de r cup ration que vous souhaitez utiliser Les types de r cup ration suivants sont fournis Clients SafeGuard Enterprise administr s Proc dure Challenge R ponse pour ordinateurs d extr mit administr s de fa on centralis e par SafeGuard Management Center Ils sont r pertori s dans la zone Utilisateurs et ordinateurs de SafeGuard Management Center 29 25 29 2 5 1 29 2 5 1 1
371. nfidentiel Lors de la prochaine connexion de l utilisateur avec le token il doit changer son code confidentiel 27 8 5 Historique des codes confidentiels L historique des codes confidentiels peut tre supprim Pour cela cliquez sur l ic ne Supprimer l historique du code confidentiel de la barre d outils de SafeGuard Management Center 279 Gestion des tokens et des cartes puce Dans la zone Tokens de SafeGuard Management Center le responsable de la s curit peut Avoir un aper u des tokens et des certificats qui ont t g n r s Filtrer des aper us Bloquer les tokens pour authentification Lire ou supprimer les donn es sur un token 230 27 9 1 27 9 2 27 95 Manuel d administration Affichage des informations du token carte puce En tant que responsable de la s curit vous pouvez afficher des informations sur tous les tokens ou sur certains tokens ayant t g n r s Vous pouvez aussi filtrer les aper us Condition pr alable le token doit tre connect 1 Dans SafeGuard Management Center cliquez sur Tokens 2 Pour afficher des informations sur un token individuel s lectionnez le token correspondant dans la zone de navigation sous Connecteurs de tokens Le fabricant le type le num ro de s rie les donn es mat rielles et les r gles des codes confidentiels sont affich s sous Informations sur le token Vous pouvez galement voir quel utilisateur le token est attr
372. nique le code de challenge g n r sur l ordinateur d extr mit au responsable du support qui g n rera son tour un code de r ponse Ce code autorisera l utilisateur ex cuter une action sp cifique sur l ordinateur d extr mit Gr ce la r cup ration par Challenge R ponse SafeGuard Enterprise propose plusieurs flux de travail pour les sc narios de r cup ration types n cessitant l aide du support Retrouvez plus d informations la section R cup ration avec Challenge R ponse la page 240 R cup ration du syst me pour le chiffrement int gral du disque SafeGuard SafeGuard Enterprise offre diff rentes m thodes et diff rents outils de r cup ration pour r soudre des probl mes de composants syst me essentiels et de composants SafeGuard Enterprise par exemple MBR Master Boot Record corrompu Probl mes de noyau SafeGuard Enterprise m Probl mes d acc s aux volumes a Probl mes de d marrage Windows Retrouvez plus d informations la section R cup ration du syst me pour le chiffrement int gral du disque SafeGuard la page 257 235 SafeGuard Enterprise 29 1 29 1 1 236 R cup ration avec Local Self Help Remarque l assistant Local Self Help est uniquement disponible sur les ordinateurs d extr mit sous Windows 7 et avec l authentification au d marrage SafeGuard SafeGuard propose Local Self Help afin de permettre l utilisateur ayant oubli son mot de passe de se co
373. nn es Sous Param tres de base de donn es configurez la connexion la base de donn es Cliquez sur Suivant 3 Dans Donn es du responsable de la s curit s lectionnez le responsable principal de la s curit correspondant puis cliquez sur Importer 4 Cliquez sur Importer le certificat d authentification pour rechercher le fichier de certificat sauvegard Sous Fichier de certificat logiciel entrez le mot de passe de ce fichier Cliquez sur OK 5 Le certificat du responsable principal de la s curit est alors import Cliquez sur Suivant 6 Dans Certificat d entreprise cochez la case Restaurer l aide d un certificat d entreprise existant Cliquez sur Importer pour rechercher le fichier de certificat sauvegard qui contient le certificat d entreprise valide Vous tes invit saisir le mot de passe d fini pour le magasin de certificats Saisissez le mot de passe et cliquez sur OK pour le confirmer Cliquez sur Oui dans le message affich Le certificat d entreprise est alors import 7 Cliquez sur Suivant puis sur Terminer La configuration de la base de donn es est restaur e 32 32 1 32 2 Manuel d administration Donn es d inventaire et d tat SafeGuard Enterprise lit une quantit consid rable de donn es d inventaire et d tat provenant des ordinateurs d extr mit Ces donn es indiquent l tat g n ral en cours de chaque ordinateur Ces donn es s affichent clairement dans SafeGuard Ma
374. nnecter son ordinateur sans recourir au support technique Local Self Help r duit le nombre d appels de r cup ration de connexion et ainsi les t ches de routine des membres du support en leur permettant de se concentrer sur des demandes plus complexes Gr ce Local Self Help les utilisateurs peuvent acc der de nouveau leur ordinateur portable dans les situations o aucune connexion par t l phone ou r seau n est disponible et o ils ne peuvent donc pas utiliser de proc dure Challenge R ponse par exemple bord d un avion L utilisateur peut se connecter son ordinateur en r pondant un nombre pr d fini de questions dans l authentification au d marrage SafeGuard En tant que responsable de la s curit vous pouvez d finir de mani re centralis e les questions auxquelles il faudra r pondre et les distribuer sur les ordinateurs d extr mit dans une strat gie titre d exemple nous vous proposons un sujet de question pr d fini Vous pouvez utiliser ce sujet tel quel ou le modifier Dans la strat gie correspondante vous pouvez galement accorder aux utilisateurs le droit de d finir des questions personnalis es Lorsque Local Self Help a t activ par la strat gie un assistant Local Self Help est disponible pour guider les utilisateurs finaux en fournissant les r ponses initiales et en modifiant les questions Retrouvez une description d taill e de Local Self Help sur l ordinateur d extr mit dan
375. nor es et fiables ainsi que les p riph riques ignor s Vous pouvez aussi activer le chiffrement permanent pour le Chiffrement de fichiers Pour le chiffrement des cl s personnelles peuvent tre utilis es Une cl personnelle activ e pour un utilisateur particulier s applique uniquement cet utilisateur et ne peut pas tre partag e avec d autres utilisateurs ou attribu e ces derniers Vous pouvez cr er des cl s personnelles dans SafeGuard Management Center sous Utilisateurs et ordinateurs Apr s attribution d une strat gie Chiffrement de fichiers sur vos ordinateurs d extr mit les fichiers pr sents dans les emplacements couverts par la strat gie sont chiffr s de mani re transparente sans intervention de l utilisateur a Les nouveaux fichiers dans les emplacements correspondants sont chiffr s automatiquement Siles utilisateurs ont la cl d un fichier chiffr ils peuvent lire et modifier le contenu a S ils n ont pas la cl du fichier chiffr l acc s est refus Si un utilisateur acc de un fichier chiffr sur un ordinateur d extr mit sur lequel le Chiffrement de fichiers n est pas install le contenu chiffr appara t Les fichiers d j pr sents dans les emplacements couverts par la strat gie de chiffrement ne sont pas chiffr s automatiquement Les utilisateurs doivent proc der au chiffrement initial dans l Assistant de chiffrement de fichiers SafeGuard sur l ordinateur d extr mit Ret
376. nregistrer les fichiers texte 1 Dans la zone de navigation des strat gies cliquez avec le bouton droit de la souris sur Textes et s lectionnez Nouveau gt Texte 2 Saisissez le nom du texte afficher dans le champ Nom de l l ment de texte 8 Cliquez sur pour s lectionner le fichier texte cr auparavant Un message s affiche si le fichier doit tre converti 4 Cliquez sur OK Le nouvel l ment de texte s affiche en tant que n ud secondaire sous Textes dans la zone de navigation des strat gies Si vous s lectionnez un l ment de texte son contenu s affiche dans la fen tre de droite L l ment de texte peut d sormais tre s lectionn lors de la cr ation de strat gies R p tez la proc dure pour enregistrer d autres l ments de texte Tous les l ments de texte enregistr s s affichent en tant que n uds secondaires Remarque gr ce au bouton Modifier le texte vous pouvez ajouter du texte au texte existant Une bo te de dialogue de s lection d un autre fichier texte s affiche lorsque vous cliquez sur ce bouton Le texte contenu dans ce fichier est ajout la fin du texte existant Manuel d administration 20 6 R gles de syntaxe des mots de passe Dans les strat gies du type Mot de passe vous d finissez les r gles des mots de passe utilis s pour vous connecter au syst me Ces param tres ne s appliquent pas aux mots de passe utilis s pour la connexion aux ordinateurs d extr mit
377. nt SGN avec une connexion utilisateur l aide de l option Afficher le mot de passe utilisateur Ceci est utile car il n est pas n cessaire de r initialiser le mot de passe dans l Active Directory L utilisateur peut continuer travailler avec l ancien mot de passe et le modifier localement par la suite Affichage du mot de passe de l utilisateur SafeGuard Enterprise permet aux utilisateurs d afficher leur mot de passe lors de la proc dure Challenge R ponse Ceci est utile car il n est pas n cessaire de r initialiser le mot de passe dans l Active Directory Cette option est uniquement disponible si l action D marrer le client SGN avec une connexion utilisateur est demand e Un autre utilisateur doit d marrer l ordinateur prot g par SafeGuard Enterprise Dans ce cas l utilisateur qui doit acc der l ordinateur d marre ce dernier et saisit son nom d utilisateur L utilisateur demande alors un challenge Le support SafeGuard g n re une r ponse du type D marrer le client SGN sans connexion utilisateur et Connexion automatique vers Windows activ e L utilisateur est connect et peut utiliser l ordinateur Restauration du cache de la strat gie SafeGuard Enterprise Cette proc dure est n cessaire si le cache de strat gies SafeGuard est endommag Le cache local stocke toutes les cl s et strat gies ainsi que les certificats utilisateur et les fichiers d audit Lorsque le cache local est corrompu la r cup ration de connexi
378. nt pas n cessairement partie d Active Directory AD les utilisateurs locaux par exemple Une entreprise peut disposer d un ou de plusieurs groupes de travail un AD n est donc pas n cessaire Cette entreprise souhaite d ployer SafeGuard Enterprise puis ajouter des strat gies ses objets utilisateur ordinateur La structure organisationnelle de l entreprise doit donc tre cr e manuellement dans SafeGuard Management Center comme suit 45 SafeGuard Enterprise 46 Root Filter is active LE Authenticated Computers ca Authenticated Users SE Auto registered 15 Workgroup 1 tntry added manuallr Ha Auto registered iaa i WG_User 1 entry created on logon Les objets restent dans le dossier Enregistr automatiquement Ils peuvent tre g r s correctement l aide de SafeGuard Management Center en appliquant des strat gies sur le dossier Enregistr automatiquement Base de donn es de SafeGuard Enterprise et Active Directory non synchronis s Un utilisateur fait d j partie de l Active Directory AD de l entreprise La base de donn es de SafeGuard Enterprise et l AD ne sont cependant pas synchronis s L Utilisateur 1 se connecte SafeGuard Enterprise et il appara t automatiquement dans la zone Utilisateurs et ordinateurs de SafeGuard Management Center sous le domaine fourni avec la connexion Domaine 1 L utilisateur fait d sormais partie du dossier Enregistr automatiquement L objet peut tre g
379. ntaire 805306392 Le responsable de la s curit ne peut pas tre supprim car un second responsable de la s curit est requis pour une authentification suppl mentaire 805306393 Le responsable de la v rification ne peut pas tre supprim car un second responsable de la v rification est requis pour une authentification suppl mentaire 805306394 Le responsable de la r cup ration ne peut pas tre supprim car un second responsable r cup ration est requis pour une authentification suppl mentaire 805306395 Le conseiller principal ne peut pas tre supprim car un second conseiller principal est requis pour une authentification suppl mentaire 805306396 La fonction de responsable principal de la s curit ne peut pas tre supprim e car un second responsable principal de la s curit est n cessaire pour une authentification suppl mentaire 805306397 La fonction de responsable de la s curit ne peut pas tre supprim e car un second responsable de la s curit est n cessaire pour une authentification suppl mentaire 805306398 La fonction de responsable de la v rification ne peut pas tre supprim e car un second responsable de la v rification est n cessaire pour une authentification suppl mentaire Identifiant de l erreur 805306399 Manuel d administration Affichage La fonction de responsable r cup ration ne peut pas tre supprim e car un second res
380. nterprise La version BIOS est livr e avec le m canisme de r cup ration BitLocker original Remarque si l authentification au d marrage SafeGuard ou le chiffrement int gral du disque SafeGuard sont mentionn s dans le pr sent manuel il font uniquement r f rence aux ordinateurs d extr mit Windows 7 avec BIOS Pour les plates formes UEFI veuillez utiliser BitLocker g r par SafeGuard Enterprise pour le chiffrement du disque Pour ces ordinateurs d extr mit SafeGuard Enterprise offre des fonctionnalit s am lior es de Challenge R ponse Retrouvez plus de renseignements sur les versions UEFI prises en charge et sur les limites de la prise en charge du Challenge R ponse SafeGuard BitLocker dans les Notes de publication disponibles sur http downloads sophos com readmes readsgn_7_fra htmil Remarque la mention UEFI appara t de mani re explicite chaque fois qu elle doit tre utilis e Le tableau ci dessous indique quels composants sont disponibles Chiffrement int gral du BitLocker avec R cup ration C R disque SafeGuard avec authentification pr alable SafeGuard pour authentification au au d marrage par l authentification d marrage SafeGuard SECTE re pr alable au d marrage BitLocker Windows 7 UEFI Windows 8 BIOS Windows 8 UEFI Windows 8 1 BIOS a D Remarque la R cup ration C R SafeGuard pour l authentification pr alable au d marrage BitLocker est uniquement disponible sur les syst mes 64
381. nvoy s au serveur SafeGuard Enterprise Vous allez donc devoir installer un package de configuration client sur l ordinateur Ainsi l ordinateur est activ en tant que client sur le serveur SafeGuard Enterprise et les fonctionnalit s de journalisation Windows ou SafeGuard Enterprise sont activ es Retrouvez plus d informations sur les packages de configuration client la section Utilisation des packages de configuration la page 97 Destinations des v nements journalis s Il y a deux destinations possibles pour les v nements journalis s l Observateur d v nements Windows ou la base de donn es SafeGuard Enterprise Seuls les v nements li s un produit SafeGuard sont inscrits la destination correspondante Les destinations de sortie des v nements journaliser sont sp cifi es dans la strat gie de journalisation 271 SafeGuard Enterprise 33 3 1 Observateur d v nements Windows 33 3 2 33 4 272 Les v nements pour lesquels vous d finissez l Observateur d v nements Windows comme destination dans la strat gie de journalisation sont journalis s dans l Observateur d v nements Windows L Observateur d v nements Windows peut tre utilis e pour afficher et g rer les journaux des v nements li s au syst me la s curit et l application Vous pouvez galement enregistrer ces journaux d v nements Un compte administrateur sur l ordinateur d extr mit concern est requis po
382. ockage dans le Cloud Vous pouvez galement cr er vos propres d finitions Cloud Storage Remarque lorsqu ils sont chiffr s certains dossiers par exemple le dossier d installation Dropbox peut emp cher l ex cution du syst me d exploitation ou d applications Lorsque vous cr ez des d finitions Cloud Storage pour les strat gies de Protection des p riph riques assurez vous que ces dossiers ne sont pas chiffr s 1 Dans la zone de navigation Strat gies s lectionnez D finitions Cloud Storage 2 Dans le menu contextuel D finitions Cloud Storage cliquez sur Nouvelle gt D finition Cloud Storage 3 La bo te de dialogue Nouvelle d finition Cloud Storage appara t Saisissez un nom de d finition Cloud Storage 4 Cliquez sur OK La d finition Cloud Storage appara t avec le nom saisi sous le n ud racine D finitions Cloud Storage dans la zone de navigation Strat gies 5 S lectionnez la d finition Cloud Storage Dans la zone de travail droite le contenu d une d finition Cloud Storage appara t Nom de la cible Il s agit du nom que vous avez saisi initialement Il sert r f rencer la d finition Cloud Storage comme cible dans une strat gie de type Protection des p riph riques Application de synchronisation Saisissez le chemin et l application qui synchronise les donn es avec le Cloud par exemple lt Bureau gt dropbox dropbox exe L application doit r sider sur un lecteur local Doss
383. oir saisi le code de r ponse l ordinateur d marre sur le syst me d exploitation L utilisateur doit changer le mot de passe lors de la connexion Windows condition que le domaine soit accessible L utilisateur peut alors se connecter Windows ainsi qu l authentification au d marrage SafeGuard l aide du nouveau mot de passe 243 SafeGuard Enterprise 29 2 5 1 2 2925 13 29 2 5 1 4 29 2 5 1 5 29 2 5 1 6 244 Bon usage de r cup ration du mot de passe l authentification au d marrage SafeGuard Nous vous conseillons d utiliser les m thodes suivantes pour r cup rer un mot de passe oubli par l utilisateur afin d viter que ce mot de passe ne soit r initialis de mani re centralis e Utilisation de Local Self Help Avec la r cup ration avec Local Self Help le mot de passe actuel peut tre affich et l utilisateur peut continuer l utiliser sans devoir le r initialiser et sans requ rir l assistance du support Utilisation de la proc dure Challenge R ponse pour les clients SafeGuard Enterprise administr s Nous d conseillons de r initialiser le mot de passe dans Active Directory avant la proc dure Challenge R ponse Ceci vous garantit que le mot de passe reste synchronis entre Windows et SafeGuard Enterprise Assurez vous que le support Windows en a bien connaissance En tant que responsable du support de SafeGuard Enterprise g n rez une r ponse pour D marrer le clie
384. oken carte puce a Pilote de token carte puce a Middleware de token carte puce module PKCS 11 Tokens USB De m me que les cartes puce les tokens USB comportent une carte puce et un lecteur de cartes puce dans un m me bo tier L utilisation des tokens USB n cessite la pr sence d un port USB Lecteurs et pilotes de token carte puce Windows Dans le syst me d exploitation Windows les lecteurs de cartes compatibles PC SC sont pris en charge L interface PC SC r git la communication entre l ordinateur et la carte puce La majorit de ces lecteurs de cartes sont d j int gr s dans l installation de Windows Pour tre prises en charge par SafeGuard Enterprise les cartes puce requi rent des pilotes compatibles PKCS 11 Authentification au d marrage SafeGuard Avec l authentification au d marrage SafeGuard c est l interface PC SC qui r git la communication entre le PC et la carte puce Les pilotes de cartes puce pris en charge sont fix s de sorte que les utilisateurs ne peuvent pas en ajouter Les pilotes de cartes puce appropri s doivent tre activ s au moyen d une strat gie dans SafeGuard Enterprise L interface des lecteurs de cartes puce est standardis e et un grand nombre de ces lecteurs poss dent une interface USB ou une interface ExpressCard 54 et mettent en uvre la norme CCID Dans SafeGuard Enterprise il s agit d une condition pr alable la prise en charge avec l
385. on 4 Vous pouvez changer le nom du contr leur de domaine dans Nom NetBios 5 Vous pouvez galement d finir le mode veil par appel r seau pour le red marrage automatique dans l onglet Param tres de conteneur 6 Pour confirmer cliquez sur OK pr sent les modifications sont enregistr es Suppression d un domaine Les responsables de la s curit dot s des droits requis peuvent supprimer des domaines Pour supprimer un domaine vous avez besoin des droits d Acc s complet pour le domaine concern Remarque les membres appartenant au domaine sont galement supprim s 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la fen tre de navigation de gauche cliquez avec le bouton droit sur le domaine supprimer puis s lectionnez Supprimer 3 Cliquez sur Oui Le domaine est supprim Ses membres ventuels sont galement supprim s 49 SafeGuard Enterprise 10 2 10 10 2 11 10 2 11 1 10 2 11 2 10 3 50 Remarque si vous avez moins que les droits d Acc s complet pour tous les membres du domaine la suppression du domaine choue et un message d erreur appara t Suppression des ordinateurs enregistr s automatiquement Lorsqu un ordinateur enregistr automatiquement est supprim tous les utilisateurs locaux de cet ordinateur le sont galement Ils seront r enregistr s automatiquement leur prochaine connexion cet ordinateur Filtre pour l
386. on Informations suppl mentaires sur la configuration des chemins dans les r gles de Chiffrement de fichiers la page 185 Les r gles avec un chemin contenant plus de sous r pertoires sont valu es avant celles avec un chemin contenant moins de sous r pertoires a Les r gles d finies avec UNC sont valu es avant celles avec des informations sur la lettre du lecteur Les r gles dont l option Ce dossier uniquement est activ e sont valu es avant celles sans cette option a Les r gles utilisant le mode Ignorer sont valu es avant celles utilisant le mode Chiffrer ou Exclure a Les r gles utilisant le mode Exclure sont valu es avant celles utilisant le mode Chiffrer ou Exclure a Si deux r gles sont identiques en ce qui concerne les crit res indiqu es celle qui vient en premier dans l ordre alphab tique est valu e avant l autre Conflit entre Les r gles File Encryption tant donn que plusieurs strat gies File Encryption peuvent tre attribu es un utilisateur ordinateur des conflits sont possibles Deux r gles sont consid r es comme tant en conflit si elles ont les m mes valeurs pour le chemin le mode et le sous r pertoire mais si la cl utiliser est diff rente Dans ce cas la r gle issue de la strat gie File Encryption ayant la priorit la plus lev e s applique L autre r gle est abandonn e Utilisation de File Encryption et de SafeGuard Data Exchange SafeGuard Data Exc
387. on au d marrage SafeGuard enregistre le nom et le domaine du dernier utilisateur connect Il n est donc pas n cessaire que les utilisateurs saisissent leur nom d utilisateur chaque fois qu ils se connectent Non l authentification au d marrage SafeGuard n enregistre pas le nom et le domaine du dernier utilisateur connect Liste de comptes de service Pour viter que les op rations d administration sur un ordinateur prot g par SafeGuard Enterprise n activent l authentification au d marrage et n entra nent l ajout des op rateurs en charge du d ploiement comme autant d utilisateurs possibles de l ordinateur SafeGuard Enterprise vous permet de cr er des listes de comptes de service pour la connexion Windows sur les ordinateurs d extr mit SafeGuard Enterprise Les utilisateurs de la liste sont trait s comme des utilisateurs invit s SafeGuard Enterprise Avant de s lectionner une liste vous devez cr er les listes dans la zone de navigation Strat gies sous Listes de comptes de service Manuel d administration Param tre de strat gie Explication Connexion automatique vers Remarque pour que l utilisateur puisse autoriser d autres Windows q P q p utilisateurs acc der son ordinateur il doit pouvoir d sactiver la connexion automatique vers Windows a Laisser l utilisateur choisir En s lectionnant dess lectionnant cette option dans la bo te de dialogue de connexion l authentificatio
388. on est d sactiv e par d faut Sa restauration s effectue automatiquement partir de la sauvegarde Aucune proc dure Challenge R ponse n est donc requise pour r parer le cache local Si le cache local doit tre r par l aide de la proc dure Challenge R ponse la r cup ration de connexion peut tre activ e par strat gie Dans ce cas l utilisateur est automatiquement invit lancer une proc dure Challenge R ponse si le cache local est corrompu SafeGuard Data Exchange r cup ration d un mot de passe oubli SafeGuard Data Exchange sans le chiffrement de p riph riques ne fournit pas la r cup ration Challenge R ponse lorsque l utilisateur a oubli son mot de passe Dans ce cas vous devez changer le mot de passe dans Active Directory Connectez vous l ordinateur d extr mit sans le fournisseur de codes d acc s Sophos et restaurez la configuration utilisateur sur l ordinateur d extr mit Manuel d administration 29 2 5 2 R ponse pour les clients SafeGuard Enterprise 1 Sur la page Type de r cup ration s lectionnez Client SafeGuard Enterprise administr Sous Domaine s lectionnez le domaine requis dans la liste Sous Ordinateur saisissez ou s lectionnez le nom d ordinateur requis Vous pouvez proc der de plusieurs fa ons a Pour s lectionner un nom cliquez sur Cliquez ensuite sur Rechercher maintenant Une liste des ordinateurs s affiche S lectionnez l ordinateur requis puis
389. onisation utilis par le logiciel OneDrive Microsoft a chang le nom de SkyDrive pour OneDrive Cependant l espace r serv lt SkyDrive gt est toujours disponible De cette mani re les anciennes strat gies utilisant cet espace r serv et les ordinateurs d extr mit utilisant une version de SafeGuard Enterprise ant rieure la version 7 ne pouvant pas g rer l espace r serv lt OneDrive gt peuvent continuer tre utilis sans qu aucun changement ne soit n cessaire Les ordinateurs d extr mit utilisant la version 7 de SafeGuard Enterprise peuvent g rer les deux espaces r serv s Media Center Exemple lt Mediacenter gt Application de Pour les applications de synchronisation Dossiers synchronisation le de synchronisation chemin pleinement qualifi de l application de synchronisation utilis e par le logiciel Media Center Pour les dossiers de synchronisation le chemin pleinement qualifi du dossier de synchronisation utilis par le logiciel Media Center Si vous utilisez Dropbox comme fournisseur de stockage dans le Cloud vous pouvez simplement saisir lt Dropbox gt dans Application de synchronisation Si vous n indiquez pas explicitement de dossier de synchronisation lt Dropbox gt est aussi copi dans la liste des dossiers sous Dossiers de synchronisation 209 SafeGuard Enterprise 25 2 2 25 3 210 En supposant que a Vous avez utilis les espace
390. ons requises sont remplies et en cas contraire il installe automatiquement la version BitLocker sans Challenge R ponse Ordinateurs d extr mit Mac Les produits mentionn s ci dessous sont disponibles pour les ordinateurs d extr mit Mac Ils sont galement g r s par SafeGuard Enterprise ou communiquent leur rapport d tat la console d administration Management Center Sophos SafeGuard File Encryption Sophos SafeGuard Native Device 7 0 Encryption gestion FileVault 2 7 0 OS X 10 8 Ce manuel fait uniquement r f rence la plate forme Windows Retrouvez plus d informations sur les versions Mac dans la documentation produit respective Sophos Mobile Encryption Sophos Mobile Encryption vous permet de lire les fichiers chiffr s par les modules SafeGuard Cloud Storage ou SafeGuard Data Exchange de SafeGuard Enterprise Vous avez la possibilit de chiffrer les fichiers l aide d une cl locale Ces cl s locales sont g n r es par une phrase secr te saisie par l utilisateur Vous pouvez uniquement d chiffrer un fichier lorsque vous connaissez la phrase secr te utilis e pour chiffrer le fichier Retrouvez plus de renseignements propos de Sophos Mobile Encryption sur www sophos com Manuel d administration 2 Bon usage en mati re de s curit En suivant les tapes simples mentionn es ci dessous vous pourrez carter les risques et conserver les donn es de votre entreprise s curis es et prot g es
391. onserver dans le tableau EVENT keepBackup Avec ce param tre indiquez si les v nements supprim s doivent tre sauvegard s dans le tableau EVENT Le nombre par d faut est 0 Si ce param tre est d fini sur O les v nements ne sont pas sauvegard s D finissez ce 34 6 34 7 Manuel d administration Param tre Description param tre sur 1 pour cr er une sauvegarde des v nements supprim s Remarque si vous utilisez le script pour d placer des v nements du tableau EVENT dans le tableau de journalisation de sauvegarde la connexion des v nements ne s applique plus Pour activer la connexion aux v nements tout en utilisant la proc dure enregistr e pour le nettoyage des v nements est inutile Retrouvez plus d informations la section Connexion des v nements journalis s la page 277 Restrictions concernant les serveurs enregistr s Lorsque vous enregistrez des serveurs dans l Outil de package de configuration de SafeGuard Management Center vous pouvez enregistrer plus d un mod le de serveur avec le m me certificat de machine Mais vous pouvez seulement installer un mod le la fois sur la machine r elle Si la case cocher Scripts autoris s est s lectionn e pour les deux serveurs le Planificateur de t ches affiche les deux serveurs pour s lection dans la liste d roulante Serveur SGN des bo tes de dialogue Nouvelle t che et Propri t s de lt nom de t che gt Le Planific
392. op rations l importation de plus de 400 000 objets depuis AD Il se peut que l op ration ne soit pas possible s il y a plus de 400 000 objets dans une seule unit organisationnelle Importation d un nouveau domaine partir d un Active Directory 1 Dans la fen tre de navigation de gauche cliquez sur le r pertoire racine Racine Filtre actif 2 S lectionnez Fichier gt Nouveau gt Importer un domaine partir d Active Directory Dans la zone d action de droite s lectionnez Synchroniser 4 S lectionnez le r pertoire requis dans la liste DSN r pertoire et cliquez sur l ic ne de la loupe en haut droite w Une repr sentation graphique de la structure Active Directory des unit s organisationnelles de votre entreprise s affiche 5 Cochez le domaine synchroniser et cliquez sur Synchroniser au bas de la zone de navigation Remarque si des l ments ont t d plac s d une sous arborescence vers une autre dans Active Directory les deux sous arborescences doivent tre synchronis es avec la base de donn es SQL La synchronisation d une seule sous arborescence aboutit la suppression d objets au lieu de leur d placement Remarque la synchronisation AD ne synchronise pas le nom avant Windows 2000 NetBIOS du domaine si le contr leur de domaine est configur avec une adresse IP Configurez le contr leur de domaine pour utiliser le nom de serveur NetBIOS ou DNS la place Le client sur lequel la s
393. orer l utilisateur pour une strat gie strat gie de machine dans le champ Mode de r cursivit des strat gies et si la strat gie provient d une machine seuls les param tres de la machine sont analys s Les param tres de l utilisateur ne sont pas analys s Aucun bouclage Aucun blocage est le comportement standard Les strat gies de l utilisateur sont prioritaires sur celles de la machine Comment les param tres Ignorer l utilisateur et R p ter les param tres machine sont ils analys s S il existe des attributions de strat gies actives les strat gies de la machine sont analys es et regroup es d abord Si le regroupement des diff rentes strat gies se traduit par l attribut Ignorer l utilisateur dans le mode de r cursivit des strat gies les strat gies qui auraient t appliqu es pour l utilisateur ne sont plus analys es Cela signifie que les m mes strat gies s appliquent l utilisateur et la machine Si la valeur R p ter les param tres machine est appliqu e dans le cas du mode de r cursivit des strat gies lorsque les strat gies individuelles de la machine ont t regroup es les strat gies de l utilisateur sont ensuite combin es celles de la machine Apr s le regroupement les strat gies de la machine sont r crites et remplacent les param tres de strat gie de l utilisateur Cela signifie 126 Param tre de strat gie Manuel d administration Explication
394. ors de la cr ation de strat gies R p tez la proc dure pour enregistrer d autres l ments de texte Tous les l ments de texte enregistr s s affichent en tant que n uds secondaires 20 4 Manuel d administration Remarque gr ce au bouton Modifier le texte vous pouvez ajouter du texte au texte existant Une bo te de dialogue de s lection d un autre fichier texte s affiche lorsque vous cliquez sur ce bouton Le texte contenu dans ce fichier est ajout la fin du texte existant R gles de syntaxe des codes confidentiels Dans les strat gies du type Code confidentiel vous d finissez les param tres des codes confidentiels du token Ces param tres ne s appliquent pas aux codes confidentiels utilis s pour la connexion aux ordinateurs d extr mit chiffr s par BitLocker Retrouvez plus d informations sur les codes confidentiels BitLocker la section Code confidentiel et mots de passe la page 171 Les codes confidentiels peuvent comporter des nombres des lettres et des caract res sp ciaux par exemple etc Toutefois lorsque vous g n rez un nouveau code confidentiel n utilisez pas de caract re avec la combinaison ALT lt caract re gt car ce mode de saisie n est pas disponible dans l authentification au d marrage SafeGuard Remarque d finissez des r gles de code confidentiel dans SafeGuard Management Center ou dans Active Directory mais pas dans les deux Param tre de strat gie Explication
395. otection des p riph riques avec une d finition Cloud Storage Des d finitions Cloud Storage doivent avoir t cr es auparavant Les d finitions Cloud Storage pr d finies de diff rents fournisseurs de stockage dans le Cloud sont disponibles Par exemple Dropbox ou Egnyte Vous d finissez les param tres pour chiffrer les donn es de stockage dans le Cloud dans une strat gie du type Protection des p riph riques 1 Dans la zone de navigation Strat gies cr ez une nouvelle strat gie du type Protection des p riph riques 2 S lectionnez une d finition Cloud Storage comme cible 3 Cliquez sur OK La nouvelle strat gie s affiche dans la fen tre de navigation sous l ments de strat gie Dans la zone d action tous les param tres de la strat gie Protection du p riph rique s affichent et peuvent tre chang s 4 Pour le Mode de chiffrement du support s lectionnez Bas sur fichier Le chiffrement bas sur volume n est pas pris en charge 5 Sous Algorithme utiliser pour le chiffrement s lectionnez l algorithme utiliser pour le chiffrement des donn es dans les dossiers de synchronisation d finis dans la CSD 6 Les param tres Cl utiliser pour le chiffrement et Cl d finie pour le chiffrement servent d finir la cl ou les cl s qui seront utilis es pour le chiffrement Retrouvez plus d informations la section Protection des p riph riques la page 150 Manuel d administration 7 Si v
396. otre base de donn es SafeGuard Enterprise modifiez le nom en cons quence La proc dure enregistr e conserve les lt n gt derniers v nements dans le tableau EVENT et d place les autres v nements dans le tableau EVENT BACKUP Le nombre d v nements conserv s dans le tableau EVENT est d fini par un param tre Pour ex cuter la proc dure stock e lancez la commande suivante dans SQL Server Management Studio Nouvelle requ te 279 SafeGuard Enterprise 33 13 2 280 exec spShrinkEventTable 1000 Cet exemple de commande d place tous les v nements sauf les 1000 derniers Cr ation d une t che planifi e d ex cution de la proc dure enregistr e Pour nettoyer automatiquement le tableau EVENT intervalles r guliers vous pouvez cr er une t che sur le serveur SQL La t che peut tre cr e avec le script ScheduledShrinkEventTable_install sql ou l aide de SQL Enterprise Manager Remarque la t che planifi e ne s applique pas aux bases de donn es SQL Express L agent SQL Server doit tre en cours d ex cution pour que la t che planifi e soit ex cut e SQL Server Express ne comportant aucun agent SQL Server cette t che ne s applique pas ces installations Le script doit tre ex cut dans msdb Si vous avez donn un autre nom que SafeGuard votre base de donn es SafeGuard Enterprise modifiez le nom en cons quence Default Database name SafeGuard change if required SELECT S
397. ots de passe Le code de r ponse permettant l utilisateur d afficher le mot de passe a t re u Authentification Authentification Authentification Authentification Authentification Authentification Authentification L utilisateur connect est un compte de service Liste de comptes de service import e Liste de comptes de service supprim e Ajouter un utilisateur Windows de SGN Supprimer des utilisateurs Windows de SGN d une machine Suppression automatique de l utilisateur UMA Code de renvoi de v rification Computrace Authentification Authentification Impossible d ex cuter la v rification Computrace L initialisation du noyau a t men e bien Authentification chec de l initialisation du noyau Cat gorie Authentification Identifiant d v nement Manuel d administration Description Les cl s de la machine ont t g n r es avec succ s sur le client Authentification Authentification Les cl s de la machine n ont pas pu tre g n r es sur le client Code interne 0x 1 chec de la demande d affichage des propri t s du disque ou de l initialisation du disque Opal Code interne 0x 1 Authentification Authentification L importation de l utilisateur dans le noyau a t men e bien La suppression de l utilisateur du noyau a t men e bien Authentification Authentification chec de l im
398. ou un r pertoire est cr sur un p riph rique amovible Consigner dans le journal un v nement lorsqu un fichier ou un r pertoire est renomm sur un p riph rique amovible Consigner dans le journal un v nement lorsqu un fichier ou un r pertoire est supprim sur un p riph rique amovible Retrouvez plus d informations la section Rapport d acc s aux fichiers sur les supports amovibles et dans le stockage Cloud la page 275 211 SafeGuard Enterprise 26 26 1 212 Attribution utilisateur machine SafeGuard Enterprise g re les informations concernant les utilisateurs autoris s se connecter une machine donn e dans une liste appel e d AUM Attribution utilisateur machine Pour qu un utilisateur soit inclus dans l AUM il doit s tre connect une fois un ordinateur sur lequel SafeGuard Enterprise a t install et tre inscrit dans SafeGuard Management Center comme utilisateur complet en termes de SafeGuard Enterprise Un utilisateur complet d signe un utilisateur pour lequel un certificat a t g n r apr s la premi re connexion et pour lequel un jeu de cl s a t cr Alors seulement les donn es de cet utilisateur peuvent tre dupliqu es sur d autres ordinateurs Apr s la duplication l utilisateur peut se connecter cet ordinateur lors de l authentification au d marrage SafeGuard Si le param tre par d faut s applique le premier utilisateur se connecter l ordina
399. our le responsable de la s curit 2 Acc s au conteneur 1 r voqu pour le responsable de la s curit 2 Acc s au conteneur 1 explicitement refus pour le responsable de la s curit 72 Acc s explicitement refus au conteneur 1 r voqu pour le responsable de la s curit 72 Acc s en lecture seule au conteneur 1 r voqu pour le responsable de la s curit 2 Cat gorie Administration Identifiant d v nement Manuel d administration Description Utilisateur POA 1 cr Administration Administration Utilisateur POA 1 modifi Utilisateur POA 1 supprim Administration Administration chec de la cr ation de l utilisateur POA 1 chec de la modification de l utilisateur POA 1 Administration Administration chec de la suppression de l utilisateur POA 1 Groupe POA 1 cr Administration Administration Groupe POA 1 modifi Groupe POA 1 supprim Administration Administration chec de la cr ation du groupe POA 1 chec de la modification du groupe POA 1 Administration Administration Administration Administration Administration Administration Client Client chec de la suppression du groupe POA 1 Le service du planificateur s est arr t cause d une exception La t che du planificateur s est ex cut e avec succ s chec de la t che
400. our les ordinateurs d extr mit non administr s Par cons quent la seule action de r cup ration possible dans une session de Challenge R ponse est D marrer le client SGN sans connexion utilisateur La proc dure Challenge R ponse permet l ordinateur de d marrer partir de l authentification au d marrage SafeGuard L utilisateur peut alors se connecter Windows tudes de cas de r cup ration potentiels L utilisateur a saisi un mot de passe incorrect un trop grand nombre de fois l authentification au d marrage SafeGuard et l ordinateur est verrouill Mais l utilisateur conna t encore le mot de passe L ordinateur est verrouill et l utilisateur est invit lancer une proc dure Challenge R ponse pour le d verrouiller Comme l utilisateur connait le mot de passe correct il n est pas n cessaire de le r initialiser La proc dure Challenge R ponse permet l ordinateur de d marrer partir de l authentification au d marrage SafeGuard L utilisateur peut ensuite saisir le mot de passe correctement dans la bo te de dialogue de connexion Windows et s y connecter L utilisateur a oubli le mot de passe Remarque nous vous conseillons d utiliser Local Self Help pour r cup rer un mot de passe oubli Local Self Help permet aux utilisateurs d avoir leurs mots de passe en cours affich s et de continuer l utiliser Ceci lui vite d avoir r initialiser le mot de passe ou de demander de l aide au suppor
401. ous activez le param tre Copier SG Portable sur la cible SafeGuard Portable est copi dans chaque dossier de synchronisation chaque fois que du contenu est crit SafeGuard Portable est une application qui peut tre utilis e pour lire les fichiers chiffr s sur les ordinateurs Windows sur lesquels SafeGuard Enterprise n est pas install Remarque pour partager les donn es chiffr es stock es dans le Cloud avec les utilisateurs qui n ont pas SafeGuard Enterprise les utilisateurs doivent tre autoris s cr er des cl s locales Retrouvez plus d informations la section Cl s locales la page 195 Le param tre Dossier en texte brut vous permet de d finir un dossier qui sera exclu du chiffrement Les donn es stock es dans les sous dossiers du dossier en texte brut d fini seront galement exclues du chiffrement SafeGuard Cloud Storage cr e automatiquement des dossiers en texte brut vides dans tous les dossiers de synchronisation d finis dans la D finition Cloud Storage 25 4 Suivi de fichiers dans le stockage Cloud Vous pouvez suivre l tat des fichiers acc d s dans le stockage Cloud l aide de la fonction Rapports de SafeGuard Management Center Les fichiers acc d s peuvent faire l objet d un suivi quelle que soit la strat gie de chiffrement qui leur est appliqu es Dans une strat gie de type Journalisation vous pouvez d finir ce qui suit Consigner dans le journal un v nement lorsqu un fichier
402. ous avez ainsi sp cifi une AUM 2 Dans une strat gie de type Param tres de machine sp cifiques d finissez Autoriser l enregistrement de nouveaux utilisateurs SGN pour sur Personne Puisque l Utilisateur_ a l Utilisateur_b et l Utilisateur_c ne sont pas autoris s ajouter de nouveaux utilisateurs il n est pas n cessaire de sp cifier un utilisateur comme propri taire 3 Attribuez la strat gie l ordinateur et ou un point de la structure du r pertoire auquel elle sera active pour l ordinateur Lorsque le premier utilisateur se connecte Ordinateur_ABC une connexion automatique est mise en uvre pour l authentification au d marrage SafeGuard Les strat gies de l ordinateur sont envoy es l ordinateur d extr mit Puisque l Utilisateur_a est inclus dans l AUM il deviendra un utilisateur complet lors de sa connexion Windows Les strat gies de l utilisateur les certificats et les cl s sont envoy s l ordinateur d extr mit L authentification au d marrage SafeGuard est activ e Remarque l utilisateur peut v rifier le message d tat dans l ic ne de barre d tat de SafeGuard infobulle lorsque ce processus est termin L Utilisateur_a est pr sent un utilisateur complet selon les termes de SafeGuard Enterprise et apr s la premi re connexion il peut s authentifier l authentification au d marrage SafeGuard et il est connect automatiquement L Utilisateur_a quitte pr sent l ordinateur
403. outes les strat gies individuelles R sultats du regroupement de strat gies Le r sultat du regroupement de strat gies s affiche s par ment Pour afficher le r sultat cliquez sur l onglet R sultat a Un onglet distinct s affiche pour chaque type de strat gie Les param tres obtenus de la combinaison des strat gies individuelles dans un groupe s affichent a Pour les strat gies de protection des p riph riques un onglet s affiche pour chaque cible de strat gie volumes de d marrage lecteur X etc Sauvegarde de strat gies et de groupes de strat gies Vous pouvez cr er des sauvegardes de strat gies et de groupes de strat gies sous forme de fichiers XML Si n cessaire les strat gies groupes de strat gies correspondants peuvent ensuite tre restaur s partir de ces fichiers XML 1 Dans la fen tre de navigation s lectionnez la strat gie le groupe de strat gies sous El ments de strat gie ou Groupes de strat gies 2 Cliquez avec le bouton droit de la souris pour afficher le menu contextuel et s lectionnez Sauvegarder la strat gie Remarque la commande Sauvegarder la strat gie est galement accessible dans le menu Actions 3 Dans la bo te de dialogue Enregistrer sous entrez le nom du fichier XML puis s lectionnez un emplacement de stockage Cliquez sur Enregistrer La sauvegarde de la strat gie du groupe de strat gies est stock e sous forme de fichier XML dans le r pertoire sp cifi
404. ouvez plus d informations la section Importation de la structure organisationnelle la page 42 Apr s avoir import la structure du r pertoire vous pouvez planifier une t che p riodique de synchronisation automatique entre l Active Directory et SafeGuard Enterprise Pour cette t che vous pouvez utiliser le script pr d fini ActiveDirectorySynchronization vbs Le script synchronise tous les conteneurs existants dans la base de donn es SafeGuard Enterprise avec un Active Directory Avant que nous n utilisiez le script dans une t che p riodique vous pouvez modifier les param tres suivants Param tre Description logFileName Indiquez un chemin pour le fichier journal du script Ce param tre est obligatoire S il est laiss vide ou incorrect la synchronisation ne fonctionne pas et un message d erreur appara t Par d faut ce param tre est vide Si un fichier journal existe d j de nouveaux journaux sont ajout s la fin du fichier synchronizeMembership D finissez ce param tre sur 1 pour galement synchroniser les appartenances Si ce param tre est d fini sur 0 les appartenances ne sont pas synchronis es Le param tre par d faut est 1 synchronizeAccountState D finissez ce param tre sur 1 pour galement synchroniser l tat activ par l utilisateur Si ce param tre est d fini sur 0 l tat activ par l utilisateur est seulement synchronis la premi re synchronisation Le param tre par d
405. param tres de base Texte d identification de la machine Afficher la mention l gale Texte de la mention l gale Le texte afficher dans la barre de titre de l authentification au d marrage SafeGuard Si vous avez s lectionn Nom d fini dans le champ Afficher l identification de la machine vous pouvez saisir le texte dans ce champ de saisie Affiche une zone de texte avec un contenu pouvant tre configur qui appara t avant l identification dans l authentification au d marrage SafeGuard Dans certains pays la loi exige l affichage d une zone de texte ayant un certain contenu L utilisateur doit confirmer la zone de texte avant que le syst me ne continue Avant d indiquer un texte veuillez l enregistrer en tant qu l ment de texte sous Textes dans la zone de navigation Strat gies Le texte afficher en tant que mention l gale Dans ce champ vous pouvez s lectionner un l ment de texte enregistr sous Textes dans la zone de navigation Strat gies Afficher des informations suppl mentaires Affiche une zone de texte avec un contenu pouvant tre configur qui appara t apr s la mention l gale si elle est activ e Vous pouvez d finir si les informations suppl mentaires sont affich es Jamais chaque d marrage syst me chaque connexion Avant d indiquer un texte veuillez l enregistrer en tant qu l ment de texte sous Textes dans la zone de navigation Str
406. pas de SafeGuard Enterprise SafeGuard Portable et la phrase secr te des fichiers auxquels ils doivent acc der doivent leur tre fournis Si diff rentes cl s locales sont utilis es pour chiffrer des fichiers de supports amovibles vous pouvez galement restreindre l acc s aux fichiers Par exemple vous chiffrez les fichiers pr sents sur une carte m moire USB l aide d une cl avec la phrase secr te ma _cl locale et chiffrez un fichier nomm PourMonPartenaire doc l aide de la phrase secr te partenaire _cl locale Si vous confiez la carte m moire USB un partenaire et fournissez la phrase secr tepartenaire cl locale ce dernier il n aura acc s qu au fichier PourMonPartenairedoc Remarque par d faut SafeGuard Portable est copi automatiquement sur les supports amovibles connect s au syst me d s l criture de contenu sur les supports couverts par une r gle de chiffrement Si vous ne souhaitez pas que SafeGuard Portable soit copi sur les supports amovibles d sactivez l option Copier SG Portable sur la cible dans une strat gie du type Chiffrement de p riph rique Phrase secr te des supports SafeGuard Data Exchange vous permet de sp cifier qu une seule phrase secr te des supports pour tous les supports amovibles sauf les supports optiques doit tre cr e sur les ordinateurs d extr mit La phrase secr te des supports permet d acc der la cl de domaine groupe d finie de mani re centralis e e
407. pe est affich dans la zone d activation de SafeGuard Management Center a Non activ Une strat gie a t attribu e Le groupe ne se trouve pas dans la zone d activation Si une strat gie est attribu e un conteneur le param tre d activation d un groupe activ d termine si cette strat gie pour ce conteneur est incluse dans le calcul de la strat gie r sultante Les strat gies h rit es ne peuvent pas tre contr l es par ces activations Bloquer l h ritage de strat gie doit tre d fini dans l OU plus locale pour annuler l effet de la strat gie globale cet endroit Param tres de l utilisateur ou du groupe Les param tres de strat gie pour les utilisateurs affich s en noir dans SafeGuard Management Center sont prioritaires sur les param tres de strat gie pour les ordinateurs affich s en bleu dans SafeGuard Management Center Si les param tres de l utilisateur sont sp cifi s dans une strat gie pour les ordinateurs ces param tres seront remplac s par la strat gie pour l utilisateur Remarque seuls les param tres de l utilisateur sont remplac s Si une strat gie pour les utilisateurs comporte galement des param tres machine affich s en bleu ils ne sont pas remplac s par une strat gie d utilisateur Exemple 1 Si une longueur de mot de passe de 4 a t d finie pour un groupe d ordinateurs et si la valeur 3 du m me param tre a t d finie pour le groupe d utilisateurs un mo
408. per u Pour imprimer le document sans afficher l aper u s lectionnez Imprimer 32 11 2 Exportation des rapports d inventaire dans les fichiers 1 Dans la barre de menus de SafeGuard Management Center cliquez sur Fichier 2 S lectionnez Imprimer gt Aper u Le rapport d inventaire Aper u appara t L aper u fournit plusieurs fonctions par exemple pour la modification de la mise en page en t te et pied de page etc 3 Dans la barre d outils de la fen tre Aper u s lectionnez la liste d roulante de l ic ne Exporter le document 4 Dans la liste s lectionnez le type de fichier requis 5 Indiquez les options d exportation n cessaires et cliquez sur OK Le rapport d inventaire est export dans un fichier du type sp cifi 269 SafeGuard Enterprise 33 Rapports 270 La possibilit de signaler des incidents li s la s curit est une condition pr alable une analyse d taill e du syst me Les v nements journalis s facilitent le suivi exact des processus sur une station de travail donn e ou dans un r seau En journalisant les v nements vous pouvez par exemple v rifier les atteintes la s curit commises par de tiers A l aide des fonctionnalit s de journalisation les administrateurs et responsables de la s curit peuvent aussi d tecter les erreurs dans l affectation de droits utilisateur et les corriger SafeGuard Enterprise journalise toutes les activit s et informations de
409. ple utiles pour la synchronisation automatique entre Active Directory et SafeGuard Enterprise a a suppression automatique des journaux d v nements Pour ces deux proc dures des mod les de script pr d finis sont disponibles avec SafeGuard Enterprise Vous pouvez utiliser ces scripts tels quels ou les modifier en fonction de vos besoins Retrouvez plus d informations la section Scripts pr d finis pour les t ches quotidiennes la page 289 En tant que responsable de la s curit avec les droits n cessaires vous pouvez indiquer des scripts des r gles et des intervalles pour les t ches dans le Planificateur des t ches Remarque assurez vous que les autorisations SQL appropri es sont d finies pour le compte qui sert ex cuter le Planificateur de t ches SafeGuard Enterprise Retrouvez plus d informations dans l article de la base de connaissances suivant http www sophos com fr fr support knowledgebase 113582 aspx Remarque api ne peut pas traiter plus d une t che la fois L utilisation de plus d un compte par t che entra nera des probl mes de violations d acc s de la base de donn es Cr ation d une nouvelle t che Pour cr er des t ches dans le Planificateur de t ches vous avez besoin des droits du responsable de la s curit Utiliser le planificateur de t ches et G rer les t ches 1 Dans la barre de menus de SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches
410. plications doivent tre sp cifi s comme des chemins pleinement qualifi s avec informations sur le lecteur r pertoire La saisie d un nom de fichier seulement par exemple exemple exe n est pas suffisante Pour une meilleure utilisation la vue sur une ligne de la liste des applications n affiche que les noms de fichiers s par s par des points virgules 4 Enregistrez vos modifications Remarque les param tres de strat gie Applications s curis es et Applications ignor es sont les param tres de la machine La strat gie doit donc tre attribu e aux machines pas aux utilisateurs Sinon les param tres ne deviennent pas actifs Configuration des p riph riques ignor s pour SafeGuard Data Exchange Vous pouvez d finir des p riph riques comme ignor s pour les exclure du processus de chiffrement des fichiers Vous pouvez seulement exclure des p riph riques entiers 1 Dans la zone de navigation Strat gies cr ez une nouvelle strat gie du type Param tres g n raux ou s lectionnez en une 2 Sous Chiffrement de fichiers cliquez sur le bouton d roulant du champ P riph riques ignor s 3 Dans la zone de liste de l diteur saisissez les noms de p riph riques requis pour exclure des p riph riques donn s du chiffrement Ceci peut tre utile lorsque vous avez besoin d exclure des syst mes des fournisseurs tiers Remarque vous pouvez afficher les noms des p riph riques en cours d utilisation dans le sys
411. ponsable de la s curit peut d finir les diff rents modes de connexion dans une strat gie dans SafeGuard Management Center et la distribuer aux ordinateurs d extr mit BitLocker Les modes de connexion suivants sont propos s aux utilisateurs SafeGuard Enterprise BitLocker TPM volumes de d marrage uniquement TPM PIN volumes de d marrage uniquement TPM Cl de d marrage volumes de d marrage uniquement Mot de passe sans TPM Cl de d marrage sans TPM Auto d verrouiller volumes non d marrables uniquement 2 214 21 2 1 2 2121 58 Manuel d administration Retrouvez plus d informations sur le param trage des modes de connexion dans une strat gie la section Authentification la page 131 Module de plate forme s curis e Trusted Platform Module ou TPM TPM est un module semblable une carte puce sur la carte m re qui ex cute des fonctions cryptographiques et des op rations de signature num rique Il permet de cr er stocker et g rer des cl s utilisateur Il est prot g contre les attaques Code confidentiel et mots de passe Les conditions requises pour les codes confidentiels et mots de passe BitLocker sont d finies par les Strat gies de groupes Windows et non pas par les param tres de SafeGuard Enterprise Les param tres respecter pour les mots de passe se trouvent dans l diteur de strat gie de groupe locale gpedit msco Strat gie Ordinateur local
412. ponsable r cup ration est n cessaire pour une authentification suppl mentaire 805306400 La fonction de responsable r cup ration ne peut pas tre supprim e car un second responsable r cup ration est n cessaire pour une authentification suppl mentaire 805306401 Aucun responsable suppl mentaire ayant la fonction requise n est disponible pour une authentification suppl mentaire 805306402 Journal des v nements 805306403 L int grit du journal des v nements central a t v rifi e 805306404 int grit rompue Un ou plusieurs v nements ont t supprim s du d but de la cha ne 805306405 int grit rompue Un ou plusieurs v nements ont t supprim s de la cha ne Le message indiquant la d tection du point de rupture de la cha ne a t mis en surbrillance 805306406 int grit enfreinte Un ou plusieurs v nements ont t supprim s de la fin de la cha ne 805306407 Impossible d exporter les v nements dans le fichier Raison 805306408 L affichage actuel comprend des donn es non enregistr es Voulez vous enregistrer les modifications avant de quitter cet affichage 805306409 Le fichier n a pas pu tre charg ou est endommag Raison 805306410 L int grit du journal a t enfreinte Un ou plusieurs v nements ont t supprim s 805306411 Voulez vous enregistrer les v nements dans un fichier av
413. portation de l utilisateur dans le noyau chec de la suppression de l utilisateur du noyau Authentification Authentification R ponse avec action afficher le mot de passe utilisateur cr e R ponse pour les clients virtuels cr e Authentification Authentification R ponse pour les clients autonomes cr e Impossible d activer l veil par appel r seau Authentification Authentification Un certificat a t attribu l utilisateur du client autonome Impossible de d sactiver l veil par appel r seau Authentification Authentification Authentification Authentification L utilisateur a ouvert une session sur le client en utilisant le token de secours pour la premi re fois Le token de veille a t d fini comme cl standard L activation du certificat de veille r ussie a t signal e au serveur L utilisateur a ouvert une session sur le client en utilisant le token de secours pour la premi re fois Le certificat de veille n a pas pu tre activ cause d une erreur L activation du certificat de veille a chou sur le serveur Administration Administration Administration Lancement de SafeGuard Enterprise Administration chec de la connexion SafeGuard Enterprise Administration Autorisation pour SafeGuard Enterprise Administration refus e Administration Autorisation suppl mentaire accord e pour l action Adminis
414. pos es de Sophos Limited Sophos Group et de Utimaco Safeware AG partout ou ceci est applicable Tous les autres noms de produits et d entreprises cit s dans ce document sont des marques ou des marques d pos es de leurs propri taires respectifs Les informations de copyright des fournisseurs tiers sont disponibles dans le document Disclaimer and Copyright for 3rd Party Software dans le r pertoire de votre produit
415. pour se connecter l ordinateur d extr mit Mac et r initialiser le mot de passe R cup ration du syst me pour le chiffrement int gral du disque SafeGuard SafeGuard Enterprise chiffre les fichiers et les lecteurs de fa on transparente Les lecteurs de d marrage peuvent galement tre chiffr s et les fonctions de d chiffrement telles que le code les algorithmes de chiffrement et la cl de chiffrement doivent tre disponibles tr s t t au cours de la phase de d marrage C est la raison pour laquelle les informations chiffr es ne sont pas accessibles si les modules essentiels de SafeGuard Enterprise ne sont pas disponibles ou ne fonctionnent pas Les sections suivantes couvrent les probl mes et les m thodes de r cup ration envisageables R cup ration des donn es par d marrage partir d un support externe Ce type de r cup ration s applique lorsque l utilisateur ne peut plus acc der au volume chiffr Dans ce cas l acc s aux donn es chiffr es peut tre r cup r en d marrant l ordinateur partir d un disque de r cup ration Windows PE personnalis pour SafeGuard Enterprise Conditions pr alables a L utilisateur qui d marre partir d un support externe doit disposer de l autorisation appropri e La configuration doit tre effectu e dans le BIOS de l ordinateur a L ordinateur doit prendre en charge le d marrage partir d autres supports que le disque dur fixe Pour r cup rer l acc s
416. premier utilisateur se connecter cet ordinateur en devient le propri taire et peut en autoriser l acc s d autres utilisateurs Si vous r pondez Non l utilisateur ne sera pas le propri taire de cet ordinateur Il n est g n ralement pas n cessaire pour le propri taire d un compte de service d tre en m me temps le propri taire de l ordinateur Ce param tre peut tre modifi apr s l attribution initiale Tous les ordinateurs du groupe attribu sont affich s dans la zone d action L utilisateur peut se connecter tous les ordinateurs attribu s de cette mani re Un groupe d utilisateurs peut tre attribu un seul ordinateur en utilisant la m me proc dure Manuel d administration 27 Tokens et cartes puce Remarque les tokens et les cartes puce ne peuvent pas tre configur s sur les ordinateurs d extr mit Mac OS SafeGuard Enterprise fournit une s curit optimale en prenant en charge les tokens et cartes puce pour authentification Les tokens cartes puce peuvent stocker des certificats signatures num riques et renseignements biom triques L authentification par token est bas e sur le principe d une authentification en deux tapes l utilisateur poss de un token propri t mais il ne peut l utiliser que s il en conna t le mot de passe connaissance Lorsqu un token ou une carte puce sont utilis s leur pr sence et un code confidentiel suffisent l utilisateur pour
417. que Pour les r gles relatives utilisez des noms de dossiers courts pour vous assurer que la r gle peut tre appliqu e que l application utilise ou non des noms de dossiers longs ou une notation 8 8 Notation UNC et ou lettres des lecteurs connect s Que l administration des r gles soit bas e sur une notation UNC ou sur des lettres de lecteurs connect s d pend de vos conditions requises Utilisez la notation UNC si vos noms de serveur et de partage ne sont pas susceptibles de changer mais si les mappages des lettres de lecteurs varient entre les utilisateurs Utilisez des lettres de lecteurs connect s si les lettres restent les m mes et si les noms des serveurs peuvent changer Si vous utilisez UNC sp cifiez un nom de serveur et un nom de partage par exemple serveur partage File Encryption fait correspondre en interne les noms UNC et les lettres de lecteurs connect s Dans une r gle un chemin a donc besoin d tre d fini soit en tant que chemin UNC soit avec des lettres de lecteurs connect s Remarque les utilisateurs ayant la possibilit de changer le mappage des lettres de leurs lecteurs nous conseillons d utiliser les chemins UNC dans les r gles Chiffrement de fichiers pour des raisons de s curit Dossiers hors ligne Si la fonction Windows Rendre disponible hors connexion est utilis e vous n avez pas cr er de r gles sp ciales pour les copies hors ligne locales des dossiers Les nouveaux
418. quer le token de la barre d outils de SafeGuard Management Center Le token est bloqu pour l authentification et l utilisateur attribu ne peut plus l utiliser pour se connecter Le token ne peut tre d bloqu qu en utilisant le code confidentiel du responsable de la s curit Suppression des informations du token carte puce En tant que responsable de la s curit vous pouvez supprimer les informations crites sur le token par SafeGuard Enterprise Condition pr alable le token doit tre connect 231 SafeGuard Enterprise 27 9 4 232 Vous avez besoin des droits d Acc s complet pour l utilisateur correspondant Dans SafeGuard Management Center cliquez sur Tokens Dans la zone de navigation de gauche s lectionnez la carte puce concern e sous Cartes puce g n r es Dans la barre d outils de SafeGuard Management Center cliquez sur Effacer la cl Saisissez le code confidentiel du responsable de la s curit qui a t attribu au token et confirmez en cliquant sur OK Toutes les donn es g r es par SafeGuard Enterprise sont supprim es Les certificats restent sur le token Le code confidentiel de l utilisateur est r initialis 1234 les tokens effac s sont ainsi automatiquement supprim es de la liste des tokens g n r s Lecture des informations de token carte puce En tant que responsable de la s curit vous pouvez lire les donn es sur le token l aide du code
419. r t r alis e Pour simplifier la configuration vous pouvez Cr er plusieurs configurations de base de donn es S lectionner des configurations de base de donn es cr es pr c demment Supprimer des configurations de base de donn es de la liste a Importer une configuration de base de donn es cr e pr c demment partir d un fichier Exporter une configuration de base de donn es r utiliser ult rieurement Cr ation de configurations de base de donn es suppl mentaires Pour cr er une configuration de base de donn es suppl mentaire SafeGuard Enterprise la suite de la configuration initiale 1 D marrez SafeGuard Management Center La bo te de dialogue S lection d une configuration s affiche 2 Cliquez sur Nouveau L assistant de configuration de SafeGuard Management Center d marre automatiquement L assistant vous guide tout au long des tapes n cessaires de cr ation d une nouvelle configuration de base de donn es 3 Sp cifiez les param tres selon vos besoins La nouvelle configuration de base de donn es est cr e 4 Pour vous authentifier dans SafeGuard Management Center vous tes invit s lectionner le nom du responsable de la s curit de cette configuration et saisir son mot de passe de magasin de certificats Cliquez sur OK 1 2 r s 1 4 Manuel d administration SafeGuard Management Center est ouvert et reli la nouvelle configuration de bas
420. r alables oao AOO ND Dans la zone de navigation Utilisateurs et ordinateurs sous l onglet Inventaire v rifiez si une modification d un certificat d entreprise est n cessaire pour les ordinateurs d extr mit qui doivent recevoir le nouveau package de configuration Si le champ Certificat d entreprise actuel n est pas s lectionn les certificats d entreprise actuellement actifs dans la base de donn es SafeGuard Enterprise et sur l ordinateur diff rent et une modification de certificat d entreprise est donc requise Dans SafeGuard Management Center dans le menu Outils cliquez sur Outil de package de configuration S lectionnez Packages du client administr Cliquez sur Ajouter un package de configuration Donnez un nom au package de configuration Attribuez un serveur SafeGuard Enterprise principal le serveur secondaire n est pas n cessaire Si besoin est indiquez un groupe de strat gies cr auparavant dans SafeGuard Management Center qui sera appliqu aux ordinateurs d extr mit Si vous voulez utiliser des comptes de service utilisateur pour les t ches post rieures l installation sur l ordinateur d extr mit assurez vous d inclure le param tre de strat gie respectif dans ce premier groupe de strat gie Retrouvez plus d informations la section Listes de comptes de service pour la connexion Windows la page 113 Si le certificat d entreprise actuellement actif dans la base de
421. r d extr mit non administr ce fichier de r cup ration de cl est g n r lors du d ploiement du logiciel de chiffrement SafeGuard Enterprise Le fichier de r cup ration de cl doit tre accessible au support technique SafeGuard Enterprise par exemple sur un chemin r seau partag Afin de faciliter la recherche et le regroupement des fichiers de r cup ration ils portent le nom de l ordinateur nomordinateur GUID xm1 dans leurs noms de fichier Vous pouvez ainsi effectuer des recherches de caract res g n riques avec des ast risques par exemple GUID xmi Remarque lorsqu un ordinateur est renomm le cache local de l ordinateur n applique pas le changement de nom Le cache local stocke toutes les cl s et strat gies ainsi que les certificats utilisateur et les fichiers d audit Le nouveau nom de l ordinateur doit donc tre supprim du cache local afin de ne conserver que le nom pr c dent bien que l ordinateur ait t renomm sous Windows Manuel d administration 29 2 7 1 Actions de r cup ration pour les clients Sophos SafeGuard autonomes La proc dure Challenge R ponse pour un ordinateur d extr mit non administr intervient dans les situations suivantes a L utilisateur a saisi un mot de passe incorrect un trop grand nombre de fois a L utilisateur a oubli le mot de passe Un cache local endommag doit tre r par Aucune cl utilisateur n est disponible dans la base de donn es p
422. r du lecteur Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Cl ture du d chiffrement bas sur secteur du lecteur r ussie chec et cl ture du d chiffrement bas sur secteur du lecteur Annulation du d chiffrement bas sur secteur du lecteur chec du d chiffrement bas sur secteur du lecteur D marrage du chiffrement initial de fichiers sur le lecteur Succ s du chiffrement initial de fichiers sur un lecteur chec et fermeture du chiffrement initial de fichiers sur un lecteur Annulation du d chiffrement de fichiers sur un lecteur D marrage du chiffrement initial de fichiers sur le lecteur 307 SafeGuard Enterprise 308 Cat gorie Chiffrement Identifiant d v nement Description Succ s de la fermeture du chiffrement de fichiers sur un lecteur Chiffrement Chiffrement chec et fermeture du d chiffrement de fichiers sur un lecteur Annulation du d chiffrement de fichiers sur un lecteur Chiffrement Chiffrement D marrage du chiffrement d un fichier Succ s du chiffrement d un fichier Chiffrement Chiffrement chec du chiffrement d un fichier D marrage du d chiffrement d un fichier Chiffrement Chiffrement Succ s du d chiffrement du fichier chec du d chiffrement d un fichier Chiffrement Chiffrement Sauvegarde de la cl de d mar
423. r l assistant de configuration du Management Center pour mettre jour la configuration de la base de donn es Veillez simplement cr er un nouveau package de configuration du serveur et le distribuer ensuite au serveur concern La nouvelle connexion la base de donn es peut tre utilis e lorsque le package du serveur mis jour est install sur le serveur 3 Cr ez un nouveau package de configuration du serveur dans l onglet Packages du serveur 38 8 4 Manuel d administration 4 D sinstallez l ancien package de configuration du serveur puis installez le nouveau sur le serveur respectif La nouvelle configuration de serveur devient active Enregistrement du serveur SafeGuard Enterprise avec le pare feu Sophos activ un ordinateur d extr mit prot g par SafeGuard Enterprise ne parvient pas se connecter au serveur SafeGuard Enterprise lorsqu un pare feu Sophos avec des param tres par d faut est install sur l ordinateur d extr mit Par d faut le pare feu Sophos bloque les connexions NetBIOS n cessaire pour la r solution du nom de r seau du serveur SafeGuard Enterprise 1 Pour contourner le probl me effectuez l une des op rations suivantes D bloquez les connexions NetBIOS dans le pare feu a Incluez le nom pleinement qualifi du serveur SafeGuard Enterprise dans le package de configuration du serveur Retrouvez plus d informations la section Enregistrement et configuration du ser
424. r n a pas besoin de conna tre les cl s utilis es ou le jeu de cl s La cl de chiffrement de support est toujours utilis e pour le chiffrement de donn es sans aucune interaction de l utilisateur La cl de chiffrement de support n est pas visible y compris pour l utilisateur Seule la cl de groupe domaine d finie de mani re centralis e est visible Bob et Alice du m me groupe ou domaine acc dent de mani re transparente car ils partagent la m me cl de groupe domaine Si Bob souhaite acc der des fichiers chiffr s d un support amovible sur un ordinateur sur lequel SafeGuard Data Exchange n est pas install il peut utiliser la phrase secr te des supports dans SafeGuard Portable Manuel d administration Vous devez d finir les param tres dans une strat gie de type Protection des p riph riques Supports amovibles Mode de chiffrement du support Bas sur fichier a Cl utiliser pour le chiffrement Cl d finie dans la liste Cl d finie dans la liste lt cl de groupe domaine gt par exemple groupe _utilisateurs Bob Alice DC pour s assurer qu ils partagent la m me cl a L utilisateur peut d finir une phrase secr te des supports pour les p riph riques Oui L utilisateur d finit une phrase secr te des supports sur son ordinateur qui s applique tous les supports amovibles Copier portable SG sur la cible Oui SafeGuard Portable permet l utilisateur d acc der tous les f
425. r ne doit pas tre utilis en tant que mot de passe Oui le nom d utilisateur Windows et le mot de passe doivent tre diff rents Non l utilisateur peut utiliser son nom d utilisateur Windows comme mot de passe Utiliser la liste des mots de passe interdits D termine si certaines s quences de caract res ne doivent pas tre utilis es pour les mots de passe Les s quences de caract res sont stock es dans la Liste des mots de passe interdits par exemple un fichier txt Liste des mots de passe interdits D finit les s quences de caract res ne pas utiliser pour les mots de passe Si un utilisateur utilise un mot de passe non autoris un message d erreur s affiche Une liste fichier de mots de passe interdits doit tre enregistr e dans SafeGuard Management Center dans la zone de navigation des strat gies sous Textes La liste n est disponible qu apr s l enregistrement Taille de fichier maximale 50 Ko Format pris en charge Unicode D finition de mots de passe interdits Param tre de strat gie Manuel d administration Explication Dans la liste les mots de passe interdits sont s par s par un saut de ligne Caract re g n rique Le caract re g n rique peut repr senter tout caract re et tout nombre de caract res dans un mot de passe Par exemple 123 signifie que toute s quence de caract res contenant 123 sera interdite comme mot de passe Remarque
426. r peut la saisir afin de r cup rer le volume chiffr BitLocker sur l ordinateur d extr mit Cl de r cup ration pour les ordinateurs d extr mit Mac L acc s aux clients SafeGuard Enterprise chiffr s l aide de FileVault 2 est possible si vous suivez la proc dure ci dessous 1 Sur la page Type de r cup ration s lectionnez Client SafeGuard Enterprise administr Sous Domaine s lectionnez le domaine requis dans la liste Sous Ordinateur saisissez ou s lectionnez le nom d ordinateur requis Vous pouvez proc der de plusieurs fa ons a Pour s lectionner un nom cliquez sur Cliquez ensuite sur Rechercher maintenant Une liste des ordinateurs s affiche S lectionnez l ordinateur requis puis cliquez sur OK Le nom de l ordinateur s affiche dans la fen tre Type de r cup ration sous Domaine a Saisissez le nom abr g de l ordinateur directement dans le champ Lorsque vous cliquez sur Suivant ce nom est recherch dans la base de donn es S il est trouv le nom d ordinateur unique s affiche 29 5 29 5 1 Manuel d administration a Saisissez directement le nom de l ordinateur au format de nom unique par exemple CN Postel OU D veloppement OU Si ge DC Utimaco DC uae 4 Cliquez sur Suivant 5 L assistant de r cup ration affiche la cl de r cup ration 24 chiffres correspondante 6 Fournissez cette cl l utilisateur L utilisateur peut saisir la cl de r cup ration
427. raction de l utilisateur tout en chiffrant chaque fichier d un support amovible et en permettant aux utilisateurs d acc der hors ligne aux fichiers chiffr s L utilisateur n est pas autoris d chiffrer des fichiers de supports amovibles Remarque dans cette configuration les utilisateurs ne sont pas autoris s cr er des cl s locales car elles sont inutiles dans ce cas de figure Ceci doit tre sp cifi dans une strat gie du type Protection des p riph riques avec P riph riques de stockage locaux comme Cible de protection de p riph rique Param tres g n raux gt L utilisateur est autoris cr er une cl locale gt Non Copier SG Portable vers support amovible Num ro SafeGuard Portable n est pas n cessaire tant que les donn es de supports amovibles sont partag es dans un groupe de travail SafeGuard Portable permet galement d autoriser 199 SafeGuard Enterprise 24 4 3 200 le d chiffrement de fichiers sur des ordinateurs sur lesquels SafeGuard Enterprise n est pas install Au bureau l utilisateur acc de de mani re transparente aux fichiers chiffr s d un support amovible son domicile il utilise SafeGuard Portable pour ouvrir des fichiers chiffr s L utilisateur saisit simplement la phrase secr te des supports et acc de tous les fichiers chiffr s quelle que soit la cl de chiffrement utilis e Partage d un support amovible avec un tiers externe Remarque cet exemple s app
428. rad es et les utilisateurs en re oivent des nouvelles Les cl s personnelles r trograd es restent dans les jeux de cl s des utilisateurs Les cl s personnelles actives individuelles ne peuvent pas tre attribu es d autres utilisateurs 12 2 4 123 Manuel d administration R trogradation des cl s personnelles actives Pour r trograder manuellement des cl s personnelles actives vous avez besoin des droits Modifier des cl s et G rer des cl s personnelles Par d faut le droit G rer des cl s personnelles a t attribu au r le pr d fini de responsable principal de la s curit mais il peut aussi tre attribu aux nouveaux r les d finis par l utilisateur En plus vous avez besoin des droits d Acc s complet pour l objet en question Vous pouvez r trograder manuellement des cl s personnelles actives par exemple si un utilisateur quitte la soci t Dans la mesure o vous avez le droit G rer des cl s personnelles vous pouvez attribuer la cl personnelle r trograd e de cet utilisateur d autres utilisateurs pour leur donner un acc s en lecture seule aux fichiers chiffr s avec cette cl Mais ils ne peuvent pas utiliser cette cl pour le chiffrement des fichiers Remarque ceci ne peut pas tre annul Une cl personnelle r trograd e ne peut jamais devenir une cl personnelle active quel que soit l utilisateur 1 Dans SafeGuard Management Center s lectionnez Utilisateurs et ordinateurs 2
429. rage SafeGuard Remarque si vous installez le middleware Nexus Personal ou Gemalto NET Card vous allez galement devoir ajouter leur chemin d installation la variable d environnement PATH des Propri t s syst me de votre ordinateur Le chemin d installation par d faut pour Gemalto NET Card C Program Files Gemalto PKCS11 for NET V2 smart cards Le chemin d installation par d faut pour Nexus Personal C Program Files Personal bin Licences Sachez que l utilisation des middlewares respectifs pour le syst me d exploitation standard requiert un accord de licence avec le fabricant correspondant Retrouvez plus d informations sur la mani re d obtenir des licences la section Comment obtenir les licences middleware n cessaires au syst me d exploitation et demand es par SafeGuard Device Encryption Pour les licences Siemens contactez Atos IT Solutions and Services GmbH Otto Hahn Ring 6 D 81739 Muenchen Allemagne Services en attente de Ce param tre permet de r soudre les probl mes de certaines cartes puce Notre support fournira les param tres correspondants requis 20 11 Journalisation pour les ordinateurs d extr mit 164 Windows Les v nements SafeGuard Enterprise ne sont pas dans l Observateur d v nements Windows ou dans la base de donn es SafeGuard Enterprise Pour sp cifier les v nements journaliser et leur destination cr ez une strat gie de type Journalisat
430. rage r ussie Nombre maximum d algorithmes de d marrage d pass Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Chiffrement Erreurs de lecture sur la KSA D sactivation des volumes en fonction des strat gies d finies Avertissement La sauvegarde du secteur de d marrage NTFS manque sur le volume 1 L utilisateur a cr de nouveaux codes d acc s de d marrage BitLocker pour cet ordinateur L utilisateur a tent de cr er de nouveaux codes d acc s de d marrage BitLocker pour cet ordinateur mais l op ration a chou Contr le d acc s Erreur g n rale de chiffrement Erreur de chiffrement moteur volume manquant Erreur de chiffrement moteur volume hors ligne Erreur de chiffrement moteur volume supprim Erreur de chiffrement moteur volume incorrect Chiffrement Erreur de chiffrement cl de chiffrement manquante Cat gorie Chiffrement Manuel d administration Description Erreur de chiffrement zone de stockage des cl s d origine endommag e Chiffrement Chiffrement Erreur de chiffrement zone de stockage des cl s de sauvegarde endommag e Erreur de chiffrement zone ESA d origine endommag e Contr le d acc s Contr le d acc s Le port autoris a t approuv Le p riph rique autoris a t approuv Contr le d
431. rd En revanche il dispose d un jeu de cl s pour acc der aux fichiers chiffr s comme le ferait un utilisateur SGN Si vous s lectionnez ce param tre tous les utilisateurs qui seraient autrement devenus des utilisateurs invit s deviennent des utilisateurs Windows de SGN Les utilisateurs sont ajout s l Attribution utilisateur machine d s qu ils se connectent Windows Les utilisateurs Windows de SGN 213 SafeGuard Enterprise 214 peuvent tre supprim s automatiquement de l AUM sur les ordinateurs d extr mit administr s et manuellement sur les ordinateurs d extr mit non administr s Retrouvez plus d informations la section Param tres de machine sp cifiques param tres de base la page 156 Exemple L exemple suivant montre comment attribuer des droits de connexion dans SafeGuard Management Center trois utilisateurs seulement Utilisateur_a Utilisateur _b Utilisateur _c pour Ordinateur ABC Premi rement indiquez la r ponse dont vous avez besoin dans SafeGuard Management Center SafeGuard Enterprise est install sur tous les ordinateurs d extr mit au cours de la nuit Le matin les utilisateurs doivent pouvoir se connecter leur ordinateur avec leurs codes d acc s 1 Dans SafeGuard Management Center attribuez Utilisateur_a Utilisateur _b et Utilisateur _c Ordinateur ABC Utilisateurs amp ordinateurs gt S lectionnez Ordinateur ABC Attribuez l utilisateur par Glisser d poser V
432. rd Enterprise n est accessible que par cet ordinateur d extr mit particulier Si un volume ne d marre pas sur son ordinateur d origine il peut tre asservi sur un autre ordinateur d extr mit prot g par SafeGuard Enterprise Toutefois la cl de d marrage correcte n est pas accessible Elle doit tre rendue accessible Chaque fois que l utilisateur tente d acc der au volume depuis un autre ordinateur il peut le faire car les KEK de la KSA et le jeu de cl s des autres utilisateurs ou ordinateurs correspondent de nouveau Exemple Alice poss de sa cl utilisateur personnelle Chaque fois qu elle est connect e son autre ordinateur Portable Alice gt elle ne peut pas acc der au volume chiffr avec la cl de d marrage de l ordinateur SGNCLT Le SGMCLT de l ordinateur d extr mit prot g par SafeGuard Enterprise n a que sa propre cl de d marrage BOOT SGMCLT Le responsable de la s curit attribue la cl de d marrage BOOT _SGNCLT Alice de la fa on suivante 1 Il s lectionne l utilisateur Alice 2 Il clique sur l ic ne Jumelles dans la barre d outils de SafeGuard Enterprise Cela ouvre la bo te de dialogue de recherche qui affiche galement les cl s de d marrage 3 Il s lectionne la cl BOOT SGMCLT Alice poss de d sormais deux cl s Utilisateur Alice et BOOT SGMCLT Ceci peut tre v rifi dans Cl s et certificats Le BOOT SGMCLT a t
433. rd Enterprise permet de r partir l administration entre plusieurs utilisateurs Un utilisateur peut se voir attribuer un ou plusieurs r les Pour am liorer la s curit l autorisation suppl mentaire d une action peut tre attribu e au r le d un responsable Au cours de la configuration initiale de SafeGuard Management Center un administrateur de niveau sup rieur le responsable principal de la s curit poss dant tous les droits et un certificat est cr par d faut Par d faut le certificat du responsable principal de la s curit expire apr s 5 ans et peut tre renouvel dans la section Responsables de la s curit de SafeGuard Management Center D autres responsables de la s curit peuvent tre attribu s des t ches sp cifiques comme le support ou l audit Dans la zone de navigation de SafeGuard Management Center vous pouvez r organiser les responsables de la s curit de fa on hi rarchique pour refl ter la structure organisationnelle de votre entreprise Toutefois cette hi rarchie ne tient pas compte des droits et des r les Remarque deux responsables de la s curit ne doivent pas utiliser le m me compte Windows sur le m me ordinateur Dans le cas contraire il est impossible de distinguer correctement leurs droits d acc s Une authentification suppl mentaire est plus s re lorsque les responsables de la s curit doivent s authentifier l aide de tokens cartes puce R les du responsable de
434. rd Management Center red marre automatiquement avec la configuration s lectionn e V rification de l int grit de la base de donn es Lorsque vous vous connectez la base de donn es l int grit de cette derni re est v rifi e automatiquement La bo te de dialogue V rification de l int grit de la base de donn es s affiche si cette v rification renvoie des erreurs Vous pouvez galement lancer la v rification de l int grit de la base de donn es et afficher la bo te de dialogue V rification de l int grit de la base de donn es 1 Dans SafeGuard Management Center s lectionnez Outils gt Int grit de la base de donn es dans la barre de menus 2 V rifiez les tables en cliquant sur Tout v rifier ou V rifier la s lection Les tables erron es sont indiqu es dans la bo te de dialogue Pour les r parer cliquez sur R parer Remarque suite la sauvegarde d une mise jour SafeGuard Enterprise SQL la v rification de l int grit de la base de donn es sera toujours d clench e La v rification doit uniquement tre effectu e une seule fois par base de donn es SafeGuard Enterprise afin d effectuer la mise jour 35 SafeGuard Enterprise 36 8 8 1 Enregistrement et configuration du serveur SafeGuard Enterprise Le serveur SafeGuard Enterprise doit tre enregistr et configur pour mettre en place les informations de communication entre le serveur IIS la base de donn es et l
435. re avant jours Un message d avertissement s affiche n jours avant l expiration du mot de passe pour rappeler l utilisateur de changer son mot de passe dans n jours L utilisateur peut galement le changer imm diatement G N RAL Masquer le mot de passe l authentification au d marrage Indique si les caract res sont masqu s lors de la saisie des mots de passe Si cette option est activ e vous ne verrez rien s afficher lors de la saisie du mot de passe l authentification au d marrage En cas contraire les mots de passe sont cach s par des ast risques Longueur de l historique de mot de passe D termine quel moment des mots de passe d j utilis s peuvent l tre nouveau Il est judicieux de d finir la longueur d historique conjointement au param tre Expiration du mot de passe apr s jours Exemple La longueur d historique du mot de passe pour l utilisateur Bertrand est d finie 4 et le nombre de jours l issue desquels l utilisateur doit changer son mot de passe est de 30 M Bertrand se connecte actuellement en utilisant le mot de passe Informatique Lorsque la p riode de 30 jours expire il est invit modifier son mot de passe M Bertrand saisit Informatique comme nouveau mot de passe et re oit un message d erreur indiquant que ce mot de passe a d j t utilis et qu il doit en s lectionner un nouveau M Bertrand ne peut pas utiliser le mot
436. respondantes ID de cl SafeGuard k 4 Volumes chiffr s Volume chiffr s avec Ci WEN 0x83D3426518BEC94795DDFE2874FBEB86 DG HA Annuler Terminer S lectionnez le volume d chiffrer puis cliquez sur Importer par C R pour g n rer le code de challenge titre de r f rence dans la base de donn es SafeGuard Enterprise le fichier client virtuel est utilis et mentionn dans la proc dure Challenge Le code de challenge est alors g n r et s affiche Communiquez le nom du client virtuel et le code de challenge au support par exemple par t l phone ou en envoyant un message texte Une aide l pellation est fournie Confirmation du client virtuel Condition pr alable le client virtuel doit avoir t cr dans le SafeGuard Management Center dans Clients virtuels ainsi qu tre disponible dans la base de donn es 1 Pour ouvrir l Assistant de r cup ration dans le SafeGuard Management Center cliquez sur Outils gt R cup ration Dans Type de r cup ration s lectionnez Client virtuel Saisissez le nom du client virtuel que l utilisateur vous a indiqu Pour ce faire vous pouvez proc der de plusieurs fa ons Saisissez directement le nom unique S lectionnez un nom en cliquant sur dans la section Client virtuel de la bo te de dialogue Type de r cup ration Cliquez ensuite sur Rechercher maintenant La liste des clients virtuels s
437. responsable de la s curit responsable du serveur s lectionn Win Auth WHD Cette case doit tre param tr e pour activer l authentification Windows de SafeGuard Web Helpdesk sur le serveur s lectionn Si cette case n est pas param tr e seuls les responsables de la s curit disposant des droits Web Helpdesk ad quats pourront acc der SafeGuard Web Helpdesk Retrouvez plus de renseignements sur l authentification Windows pour SafeGuard Web Helpdesk dans le Manuel d utilisation de SafeGuard Web Helpdesk Ajouter un r le de serveur Cliquez pour ajouter d autres r les sp cifiques de responsable de la s curit du serveur s lectionn si besoin est Vous tes invit s lectionner le certificat du serveur Le r le de responsable de la s curit est ajout et peut tre affich sous R les de serveur Connexion la base de donn es Cliquez sur pour configurer une connexion une base de donn es sp cifique pour un serveur Web enregistr notamment les codes d acc s de base de donn es et le chiffrement de transport entre le serveur Web et le serveur de base de donn es Retrouvez plus d informations la section Configuration de la connexion au serveur de base de donn es la page 20 M me si la v rification de la connexion la base de donn es n a pas r ussi un nouveau package de configuration du serveur peut tre cr Remarque Il n est pas n cessaire de relance
438. rez un nouveau fichier de licence importer dans la base de donn es SafeGuard Enterprise Importer un nouveau fichier de licence Si vous avez renouvel ou mis niveau votre licence veuillez importer le fichier de licence dans la base de donn es SafeGuard Enterprise Ce nouveau fichier import remplace le fichier de licence non valide D s que vous redistribuez des licences ou que vous importez un fichier de licence valide la restriction fonctionnelle est annul e et le syst me fonctionne nouveau normalement 31 SafeGuard Enterprise 32 r fL Utilisation de plusieurs configurations de base de donn es SafeGuard Management Center permet d utiliser plusieurs configurations de base de donn es mode Mutualis Pour utiliser cette fonction vous devez l activer pendant l installation Retrouvez plus d informations dans le Guide d installation de SafeGuard Enterprise Le mode Mutualis vous permet de configurer diff rentes configurations de base de donn es SafeGuard Enterprise et de les g rer pour une instance de SafeGuard Management Center Ceci est tout particuli rement utile si vous souhaitez disposer de configurations diff rentes pour des domaines des unit s organisationnelles ou des lieux diff rents Condition pr alable la fonction de configuration en mode Mutualis doit avoir t install e via une installation de type Compl te La configuration initiale de SafeGuard Management Center doit avoi
439. rit Cr er Le certificat et le fichier de cl sont cr s et enregistr s dans un emplacement choisi Saisissez et confirmez un mot de passe pour le fichier P12 Le fichier p12 doit tre la disposition du responsable de la s curit lorsqu il se connecte Le certificat cr est attribu automatiquement au responsable de la s curit et affich dans Certificat Si des r gles de mot de passe de SafeGuard Enterprise sont utilis es celles ci doivent tre d sactiv es dans Active Directory Remarque longueur max du chemin d enregistrement et du nom de fichier 260 caract res Lors de la cr ation d un responsable de la s curit la partie publique du certificat suffit Lors de la connexion SafeGuard Management Center cependant la partie priv e du certificat le fichier de cl est galement requise Si elle n est pas disponible dans la base de donn es elle doit l tre pour le responsable de la s curit sur une carte m moire par exemple et peut tre stock e dans le magasin de certificats pendant la connexion Certificat Importation Un certificat existant est utilis et attribu au responsable de la s curit lors de l importation Si l importation s effectue partir d un fichier de cl p12 le mot de passe du certificat doit tre connu Si un conteneur de certificats PKCS 12 est s lectionn tous les certificats sont charg s dans la liste de certificats attribuables L attribution du
440. rit de cette configuration et saisir son mot de passe de magasin de certificats Cliquez sur OK SafeGuard Management Center d marre et se connecte la nouvelle configuration de base de donn es Au prochain lancement de SafeGuard Management Center la nouvelle configuration de base de donn es peut tre s lectionn e dans la liste Configuration des instances suppl mentaires de SafeGuard Management Center Vous pouvez configurer des instances suppl mentaires de SafeGuard Management Center pour donner l acc s aux responsables de la s curit pour l ex cution des t ches administratives sur diff rents ordinateurs Il peut tre install sur tout ordinateur du r seau partir duquel il est possible d acc der les bases de donn es SafeGuard Enterprise g re les droits d acc s SafeGuard Management Center dans son propre r pertoire de certificats Ce r pertoire doit contenir tous les certificats de tous les responsables de s curit autoris s se connecter SafeGuard Management Center La Manuel d administration connexion SafeGuard Management Center n cessite uniquement le mot de passe du magasin de certificats 1 Installez SGNManagementCenter msi sur un autre ordinateur avec les fonctionnalit s requises Une fois install sur l ordinateur de votre choix d marrez SafeGuard Management Center L assistant de configuration d marre et vous guide tout au long des tapes n cessaires Dans la pag
441. rouvez plus d informations dans le Manuel d utilisation de SafeGuard Enterprise Remarque SafeGuard File Encryption n est pas compatible avec le chiffrement EFS int gr et la compression de fichiers de Windows Si EFS est activ il est prioritaire sur toute r gle de chiffrement de fichiers applicable et les fichiers cr s dans le dossier en question ne peuvent pas tre chiffr s par le Chiffrement de fichiers Si la compression est activ e le Chiffrement de fichiers a une priorit plus haute et les fichiers sont chiffr s mais pas compress s Pour chiffrer les fichiers avec le Chiffrement de fichiers veuillez d abord supprimer le chiffrement EFS ou la compression des donn es L op ration peut tre effectu e manuellement ou en ex cutant l assistant de chiffrement initial de SafeGuard Enterprise Remarque Retrouvez plus de renseignements sur l utilisation d ordinateurs d extr mit Mac et de SafeGuard File Encryption pour Mac dans les documents ci dessous Guide de d marrage rapide de SafeGuard File Encryption pour Mac Ce document s adresse aux utilisateurs d ordinateurs Mac 183 SafeGuard Enterprise Manuel d administration de SafeGuard File Encryption pour Mac Ce document s adresse aux administrateurs travaillant conjointement sur les plates formes Mac et Windows 23 1 Configuration des r gles de chiffrement dans les strat gies Chiffrement de fichiers 184 Vous d finissez les r gles du chiffremen
442. rs chiffr s Remarque cette tude de cas est possible gr ce la fonction de chiffrement de p riph rique de SafeGuard Enterprise permettant de chiffrer tous les supports amovibles par secteur Utilisation domicile ou personnelle sur des ordinateurs tiers domicile Bob souhaite utiliser son support amovible chiffr sur son ordinateur personnel sur lequel SafeGuard Enterprise n est pas install Sur son ordinateur personnel Bob d chiffre les fichiers avec SafeGuard Portable En d finissant une phrase secr te des supports pour tous les supports amovibles de Bob il ouvre simplement SafeGuard Portable et saisit la phrase secr te du support Il a ensuite acc s de mani re transparente tous les fichiers chiffr s quelle que soit la cl locale utilis e pour les chiffrer Utilisation personnelle sur des ordinateurs tiers Bob connecte le support amovible l ordinateur de Joe partenaire externe et saisit la phrase secr te des supports pour acc der aux fichiers chiffr s stock s sur le p riph rique Bob peut alors copier les fichiers chiffr s ou non sur l ordinateur de Joe Comportement sur l ordinateur d extr mit Bob connecte pour la premi re fois le support amovible a La cl de chiffrement de support unique chaque p riph rique est cr e automatiquement a Bobestinvit saisir la phrase secr te des supports pour l utiliser hors ligne via SafeGuard Portable L utilisateu
443. rs est activ sur le syst me le mode de connexion d fini ici ne sera pas appliqu Mode de connexion de secours BitLocker pour volumes non d marrables CHECS DE CONNEXION S il est impossible d utiliser le param tre Mode de connexion BitLocker pour volumes non d marrables SafeGuard Enterprise offre les alternatives de connexion suivantes Mot de passe l utilisateur est invit saisir son mot de passe pour chaque volume non d marrable Cl de d marrage les cl s sont stock es sur une carte m moire USB Mot de passe ou cl de d marrage les cartes m moire USB seront uniquement utilis es si les mots de passe sont pris en charge sur le syst me d exploitation client Remarque les clients la version 6 1 ou ant rieure ignorent ce param tre de strat gie lls utilisent plut t les valeurs d finies pour le mode de connexion de secours des volumes de d marrage Comme ils ne peuvent pas g rer les mots de passe une carte m moire USB ou un message d erreur sera utilis Remarque les mots de passe sont uniquement pris en charge sur Windows 8 ou version sup rieure Nombre maximal d checs de connexion Messages d chec de connexion dans la POA D termine le nombre de tentatives de connexion d un utilisateur avec un nom d utilisateur ou un mot de passe non valide Par exemple apr s trois tentatives successives de saisie d un nom d utilisateur ou d un mot de passe incorrect une qua
444. rs sur supports amovibles a D 3020 Suivi de fichiers pour les supports amovibles un fichier a t cr a ID 3021 Suivi de fichiers pour les supports amovibles un fichier a t renomm a D 3022 Suivi de fichiers pour les supports amovibles un fichier a t supprim a pour les fichiers dans le stockage Cloud a D 3025 Suivi de fichiers pour le stockage Cloud un fichier a t cr a ID 3026 Suivi de fichiers pour le stockage Cloud un fichier a t renomm a D 3027 Suivi de fichiers pour le stockage Cloud un fichier a t supprim Pour indiquer qu un v nement doit tre journalis dans la base de donn es Sa feGuard Enterprise s lectionnez l v nement en cliquant sur la colonne contenant l ic ne de base de donn es Consigner les v nements dans une base de donn es Pour les v nements journaliser dans l Observateur d v nements Windows cliquez dans la colonne contenant l ic ne du journal des v nements Consigner dans le journal des v nements Pour tous les v nements s lectionn s une coche verte s affiche dans la colonne correspondante 4 Enregistrez vos param tres Apr s attribution de la strat gie le suivi d acc s aux fichiers est activ et les v nements s lectionn s sont journalis s dans la destination en sortie correspondante Remarque veuillez noter que l activation du suivi d acc s aux fichiers augmente la charge sur le serveur Affichage de
445. rveur Web 2 Supprimez tous les v nements de la base de donn es et cr ez une sauvegarde lors de la suppression Retrouvez plus d informations la section Suppression de tous les v nements ou d une s lection d v nements la page 278 Remarque si vous ne supprimez pas tous les anciens v nements de la base de donn es la connexion ne fonctionnera pas correctement car elle n tait pas activ e pour les anciens v nements restants 3 D finissez la cl de registre suivante sur 0 ou supprimez la HKEY_ LOCAL MACHINE SOFTWARE Utimaco SafeGuard Enterprise DWORD DisableLogEventCha ining 0 4 Red marrez le service Web La connexion des v nements journalis s est activ e Remarque pour d sactiver de nouveau la connexion des v nements d finissez la cl de registre sur 1 277 SafeGuard Enterprise 33 9 SR AL DO LL 33 12 278 V rification de l int grit des v nements journalis s Condition pr alable Pour v rifier l int grit des v nements journalis s la concat nation des v nements dans le tableau EVENT doit tre activ e 1 Dans SafeGuard Management Center cliquez sur Rapports 2 Dans la barre de menus de SafeGuard Management Center s lectionnez Actions gt V rifier l int grit Un message affiche des informations sur l int grit des v nements journalis s Remarque si la connexion des v nements est d sactiv e une erreur est renvoy e
446. ryptographiques Kerberos Avec les tokens cryptographiques l utilisateur est identifi l authentification au d marrage SafeGuard par le certificat stock sur le token Pour se connecter au syst me il suffit l utilisateur de saisir le code confidentiel du token Remarque les tokens cryptographiques ne peuvent pas tre utilis s pour les ordinateurs d extr mit non administr s Vous devez fournir des tokens aux utilisateurs Retrouvez plus d informations la section Configuration de l utilisation d un token la page 221 Conditions requises de base pour les certificats Algorithme RSA Longueur de la cl minimum 1024 a Utilisation de la cl chiffrement de donn es ou chiffrement de cl s Une strat gie peut remplacer cette utilisation Auto sign Non Une strat gie peut remplacer cette utilisation Remarque en cas de probl mes de connexion avec un token Kerberos il n est pas possible d utiliser la proc dure Challenge R ponse ou Local Self Help pour la r cup ration de la connexion Seule la proc dure Challenge R ponse utilisant les clients virtuels est prise en charge Elle permet aux utilisateurs de r cup rer l acc s aux volumes chiffr s sur leurs ordinateurs d extr mit Composants Pour utiliser les tokens cartes puce avec SafeGuard Enterprise les composants suivants sont requis a Token carte puce 27 2 1 2122 Pre Manuel d administration a Lecteur de t
447. s la page 80 5 D marrez l ordinateur d extr mit depuis le disque de r cup ration 6 Importez le fichier du client virtuel dans l outil de r cup ration de cl KeyRecovery 7 Initialisez le challenge dans l outil de r cup ration de cl KeyRecovery 8 Confirmez le client virtuel dans SafeGuard Management Center 9 S lectionnez l action de r cup ration requise 10 Saisissez le code de challenge dans SafeGuard Management Center _ 1 Saisissez le code de r ponse dans SafeGuard Management Center 12 Saisissez le code de r ponse dans l outil de r cup ration de cl KeyRecovery L ordinateur est de nouveau accessible Manuel d administration 29 2 6 2 D marrage de l ordinateur depuis le disque de r cup ration Condition pr alable V rifiez que la s quence de d marrage dans les param tres du BIOS permet de d marrer partir du CD 1 Demandez au support technique Sophos de vous fournir le disque SafeGuard Enterprise Windows PE Le support peut t l charger le disque de r cup ration Windows PE avec les derniers pilotes du filtre SafeGuard Enterprise sur le site du support de Sophos Retrouvez plus d informations sur http www sophos com fr fr support knowledgebase 108805 aspx Ins rez le disque de r cup ration puis d marrez l ordinateur d extr mit Le gestionnaire de fichiers int gr s ouvre Les volumes et les lecteurs pr sents s affichent imm diatement F zex Fie E
448. s v nements de suivi d acc s aux fichiers Pour afficher les journaux de suivi d acc s aux fichiers vous avez besoin du droit Afficher les v nements de suivi des fichiers 1 Dans la zone de navigation de SafeGuard Management Center cliquez sur Rapports 2 Dans la zone de navigation Rapports s lectionnez Observateur de suivi des fichiers 3 Dans la zone d action Observateur de suivi des fichiers droite cliquez sur la loupe Tous les v nements journalis s dans la base de donn es centrale apparaissent dans l Observateur de suivi des fichiers L affichage est identique celui de l Observateur d v nements Retrouvez plus d informations la section Affichage des v nements journalis s la page 273 OT scie 33 8 1 Manuel d administration Impression de rapports Vous pouvez imprimer les rapports d v nements affich s dans l Observateur d v nements ou dans l Observateur de suivi des fichiers de SafeGuard Management Center partir du menu Fichier dans la barre de menus de SafeGuard Management Center Pour afficher un aper u avant l impression du rapport s lectionnez Fichier gt Aper u avant impression L aper u avant impression propose diff rentes fonctions comme l exportation du document dans divers formats de sortie par exemple PDF ou la modification de la mise en page par exemple en t te et pied de page Pour imprimer le document sans afficher l aper u s lectionnez Fichier gt
449. s lectionnez Questions Local Self Help 237 SafeGuard Enterprise 29 1 4 29 15 238 2 Dans la zone d action sous Param tres Local Self Help vous pouvez indiquer deux valeurs diff rentes pour le nombre de questions Local Self Help a Dans le champ Nombre minimum de questions r ponses indiquez le nombre de questions auxquelles l utilisateur doit r pondre dans l assistant Local Self Help pour activer Local Self Help sur l ordinateur d extr mit Pour que Local Self Help soit actif le nombre de questions sp cifi es dans ce champ doit tre disponible avec les r ponses sur l ordinateur d extr mit 2 Dans le champ Nombre de questions pr sent es dans la POA indiquez le nombre de questions auxquelles l utilisateur doit r pondre l authentification au d marrage SafeGuard lors de la connexion avec Local Self Help Les questions affich es dans l authentification au d marrage SafeGuard sont s lectionn es de mani re al atoire partir des questions auxquelles l utilisateur a r pondu dans l assistant Local Self Help Le nombre sp cifi dans le champ Nombre minimum de questions r ponses doit tre sup rieur au nombre indiqu dans le champ Nombre de questions pr sent es dans la POA Si ce n est pas le cas un message d erreur appara t lorsque vous enregistrez vos changements Les valeurs par d faut sont Nombre minimum de questions r ponses 10 Nombre de questions pr sent es dans la POA
450. s affiche 5 Saisissez un nom et ventuellement une description de la nouvelle strat gie Strat gies de protection des p riph riques Si vous cr ez une strat gie de protection du p riph rique sp cifiez d abord la cible de la protection du p riph rique Les cibles possibles sont les suivantes Stockage de masse volumes de d marrage autres volumes a Supports amovibles Lecteurs optiques a Mod les de p riph riques de stockage P riph riques de stockage distincts a Stockage dans le Cloud Une strat gie distincte doit tre cr e pour chaque cible Vous pouvez ult rieurement combiner les strat gies individuelles dans un groupe de strat gies nomm Chiffrement par exemple 6 Cliquez sur OK La nouvelle strat gie s affiche dans la fen tre de navigation sous l ments de strat gie Dans la zone d action tous les param tres du type de strat gie s lectionn s affichent et peuvent tre chang s Modification des param tres de strat gie Lors de la s lection d une strat gie dans la fen tre de navigation vous pouvez modifier les param tres de la strat gie dans la zone d action Manuel d administration Remarque Une ic ne rouge en regard d un param tre non configur indique qu une valeur non configur doit tre d finie pour ce param tre de strat gie Pour enregistrer la strat gie s lectionnez d abord un param tre autre que non configur Restauration des valeurs p
451. s authentifier Remarque les cartes puce et les tokens sont trait s de la m me mani re dans SafeGuard Enterprise Les termes token et carte puce recouvrent la m me notion dans le produit et le manuel L utilisation de tokens et de cartes puce doit tre activ e dans la licence Retrouvez plus d informations la section Licences de token la page 27 Remarque Windows 8 et version sup rieure offre une fonction nomm e carte puce virtuelle Une carte puce virtuelle simule les fonctionnalit s d une carte puce physique l aide d une puce TPM En revanche elle ne peut pas tre utilis e avec SafeGuard Enterprise Les tokens sont pris en charge dans SafeGuard Enterprise a Dans l authentification au d marrage SafeGuard non applicable Windows 8 et Windows 8 1 a Au niveau du syst me d exploitation a Pour se connecter SafeGuard Management Center Lorsqu un token est g n r pour un utilisateur dans SafeGuard Enterprise des informations telles que le fabricant le type le num ro de s rie les donn es de connexion et les certificats sont stock es dans la base de donn es SafeGuard Enterprise Les tokens sont identifi s par un num ro de s rie puis reconnues dans SafeGuard Enterprise Les avantages sont consid rables Vous savez quels tokens sont en circulation et quels utilisateurs ils ont t attribu s Vous connaissez la date et l heure de leur cr ation a En cas d
452. s contenant plusieurs cl s a Afficher et filtrer des clients virtuels et des fichiers de cl s export s Supprimer des clients virtuels Cr ation de clients virtuels Les fichiers de clients virtuels peuvent tre utilis s par diff rents ordinateurs et pour plusieurs sessions de Challenge R ponse 1 Dans SafeGuard Management Center cliquez sur Cl s et certificats 2 Dans la fen tre de navigation de gauche cliquez sur Clients virtuels 3 Dans la barre d outils cliquez sur Ajouter un client virtuel 4 Saisissez un nom unique de client virtuel et cliquez sur OK Les clients virtuels sont identifi s dans la base de donn es par ces noms 5 Dans la barre d outils cliquez sur l ic ne Enregistrer pour enregistrer le client virtuel dans la base de donn es Le nouveau client virtuel appara t dans la zone d action Exportation de clients virtuels Une fois le client virtuel cr vous devez l exporter dans un fichier Ce fichier est toujours nomm recoverytoken tok et doit tre distribu au support Ce fichier doit tre disponible dans l environnement de l ordinateur d extr mit pour lancer une session Challenge R ponse avec un outil de r cup ration par exemple lorsque l authentification au d marrage SafeGuard 79 SafeGuard Enterprise 12 5 3 80 est corrompue L utilisateur doit placer le fichier de client virtuel recoverytoken tok dans le m me dossier que l outil de r cup ration pour la prise
453. s de code ASCII que ce soit par ordre croissant ou d croissant abc ou cba constitu es de trois symboles identiques ou plus aaa ou 111 Interdire l utilisation du nom d utilisateur en tant que code confidentiel D termine si le nom d utilisateur et le code confidentiel peuvent tre identiques Oui le nom d utilisateur Windows et le code confidentiel doivent tre diff rents Non l utilisateur peut utiliser son nom d utilisateur Windows comme code confidentiel Utiliser la liste des codes confidentiels interdits D termine si certaines s quences de caract res ne doivent pas tre utilis es pour les codes confidentiels Les s quences de caract res sont stock es dans la Liste de codes confidentiels interdits par exemple un fichier txt Liste de codes confidentiels interdits D finit les s quences de caract res ne pas utiliser pour les codes confidentiels Si un utilisateur utilise un code confidentiel non autoris un message d erreur s affiche Condition pr alable Une liste fichier de codes confidentiels interdits doit tre enregistr e dans SafeGuard Management Center dans la zone de navigation de strat gie sous Textes La liste n est disponible qu apr s l enregistrement Taille de fichier maximale 50 Ko Format pris en charge Unicode D finition des codes confidentiels interdits Dans la liste les codes confidentiels interdits sont s par s p
454. s de service 116 18 4 Attribution d une liste de comptes de service dans une strat gie 116 18 5 Transfert de la strat gie l ordinateur d extr mit 116 18 6 Connexion un ordinateur d extr mit l aide d un compte de service 117 18 7 Journalisation des v nements 117 19 Utilisateurs de l authentification au d marrage pour connexion l authentification au d marrage Safe Guard ir tree neue mette tenue ne 118 19 1 Cr ation d utilisateurs POA iii 118 19 2 Modification du mot de passe d un utilisateur de l authentification au d marrage saint Mae DUR es RAR ME rat 119 19 3 Suppression des utilisateurs de l authentification au d marrage 119 19 4 Cr ation de groupes POA ire 120 19 5 Ajout d utilisateurs dans les groupes POA nne 120 19 6 Suppression d utilisateurs de groupes POA nne 120 19 7 Attribution d utilisateurs de l authentification au d marrage aux ordinateurs d xtr mit 23 520 nn liens in ae Line ie eee nn tn 121 19 8 Connexion un ordinateur d extr mit l aide d un utilisateur de l authentification au d marrage 123 20 Param tres de strat gie 125 20 1 Param tres g n raux sieste serein rt relaie ttntrentetee 126 20 2 lt AUthENTICATION 2272004 rh andere e nr daa a aa aea ateta diaa teid aai tel oti ten 131 20 3 Cr ation de listes de codes confidentiels interdits utiliser dans les Strategie S LR AI Ar nt etre re D te a ns te
455. s et ordinateurs pour ouvrir l affichage 12 1 Manuel d administration Les cl s d un objet s lectionn sont affich es dans la zone action et dans les vues respectives L affichage dans la zone d action d pend des s lections dans la zone de navigation Toutes les cl s attribu es l objet s lectionn sont affich es Sous Cl s disponibles toutes les cl s disponibles s affichent Les cl s d j attribu es l objet s lectionn sont gris es S lectionnez Filtre pour basculer entre des cl s d j attribu es un objet actives et des cl s non attribu es un objet inactives Apr s l importation chaque utilisateur re oit un certain nombre de cl s utilisables pour le chiffrement des donn es Cl s pour le chiffrement des donn es Des cl s sont attribu es aux utilisateurs pour le chiffrement de volumes sp cifiques lors de la d finition de strat gies du type Protection des p riph riques Dans une strat gie de type Protection des p riph riques vous pouvez sp cifier le param tre Cl utiliser pour le chiffrement pour chaque support Ici vous pouvez d cider quelles sont les cl s que l utilisateur peut ou doit utiliser pour le chiffrement Toute cl du jeu de cl s utilisateur Apr s s tre connect s Windows les utilisateurs peuvent s lectionner les cl s qu ils souhaiteraient utiliser pour chiffrer un volume particulier Une bo te de dialogue s affiche pour permettre aux utilis
456. s g n raux ou s lectionnez une strat gie existante 3 Sous Journalisation dans le champ Commentaires apr s un certain nombre d v nements sp cifiez le nombre maximum d v nements pour un fichier journal 4 Enregistrez vos param tres Apr s l attribution de la strat gie le nombre d v nements sp cifi s applique S lection des v nements 1 Dans SafeGuard Management Center s lectionnez les Strat gies 2 Cr ez une nouvelle strat gie Journalisation ou s lectionnez une strat gie existante Dans la zone d action de droite sous Journalisation tous les v nements pr d finis qui peuvent tre journalis s apparaissent Par d faut les v nements sont regroup s par Niveau par exemple Avertissement ou Erreur Vous avez la possibilit de changer la mani re de les regrouper Cliquez sur les en t tes de colonnes pour trier les v nements par ID Cat gorie etc 3 Pour indiquer qu un v nement doit tre journalis dans la base de donn es SafeGuard Enterprise s lectionnez l v nement en cliquant sur la colonne contenant l ic ne de base de donn es Consigner les v nements dans une base de donn es Pour les v nements journaliser dans l Observateur d v nements Windows cliquez dans la colonne contenant l ic ne du journal des v nements Consigner dans le journal des v nements Cliquez plusieurs fois pour dess lectionner l v nement ou le rendre nul Si vous ne d finissez pas d
457. s la zone de navigation Strat gies Vous pouvez la s lectionner lorsque vous cr ez des strat gies du type Protection des p riph riques pour le chiffrement bas sur fichier S lection de listes blanches comme cibles des strat gies de protection des p riph riques pour le chiffrement bas sur fichier Condition pr alable La liste blanche requise doit avoir t cr e dans SafeGuard Management Center 1 Dans la zone de navigation de SafeGuard Management Center cliquez sur Strat gies 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur l ments de strat gie puis s lectionnez Nouveau 149 SafeGuard Enterprise 20 9 150 3 S lectionnez Protection des p riph riques Une bo te de dialogue permettant de nommer la nouvelle strat gie s affiche 4 Saisissez un nom et ventuellement une description de la nouvelle strat gie 5 Sous Cible de protection de p riph rique s lectionnez la liste blanche correspondante a Si vous avez cr une liste blanche pour les mod les de p riph riques de stockage elle appara t sous Mod les de p riph riques de stockage a Si vous avez cr une liste blanche pour les p riph riques de stockage distincts elle appara t sous P riph riques de stockage distincts 6 Cliquez sur OK La liste blanche a t s lectionn e comme cible pour la strat gie de Protection des p riph riques Une fois que la strat gie a t transf r e
458. s le Manuel d utilisation de SafeGuard Enterprise au chapitre R cup ration avec Local Self Help D finition des param tres de Local Self Help dans une strat gie D finissez les param tres de Local Self Help dans une strat gie du type Param tres g n raux sous R cup ration de connexion Local Self Help Vous pouvez activer ici la fonction utiliser sur l ordinateur d extr mit et d finir d autres droits et param tres Activation de Local Self Help Pour activer Local Self Help et l utiliser sur l ordinateur d extr mit s lectionnez Oui dans le champ Activer Local Self Help Une fois la strat gie appliqu e aux ordinateurs d extr mit ce param tre permet l utilisateur d avoir recours Local Self Help pour r cup rer la connexion Pour pouvoir utiliser Local Self Help l utilisateur doit alors activer cette m thode de r cup ration en r pondant un nombre de questions sp cifi parmi les questions re ues ou en cr ant et en r pondant des questions personnalis es en fonction de ses autorisations cet effet l Assistant Local Self Help est disponible via une ic ne dans la barre des t ches Windows une fois la strat gie appliqu e et l ordinateur red marr Configuration de Local Self Help Vous pouvez d finir les options suivantes pour Local Self Help dans une strat gie du type Param tres g n raux Longueur minimum des r ponses 29 1 2 29 1 3 Manuel d administration D fini
459. s le champ Mode de r cursivit des strat gies d une strat gie du type Param tres g n raux et que la strat gie provient d un ordinateur R p ter les param tres machine n affecte pas les strat gies utilisateur cette strat gie est relue la fin de l analyse Ceci remplace ensuite les param tres de l utilisateur et les param tres de la machine s appliquent Tous les param tres de la machine h rit s directement ou indirectement par la machine y compris les strat gies qui n ont pas t appliqu es par le mode de r cursivit des strat gies R p ter les param tres machine sont remplac s Ignorer l utilisateur Vous pouvez trouver ce param tre sous l ments de strat gie gt strat gie du type Param tres g n raux gt Chargement de param tres gt Mode de r cursivit des strat gies Si vous s lectionnez Ignorer l utilisateur pour une strat gie d ordinateur dans le champ Mode de r cursivit des strat gies d une strat gie du type Param tres g n raux et si la strat gie provient d une machine seuls les param tres de la machine sont analys s Les param tres de l utilisateur ne sont pas analys s Aucun bouclage Vous pouvez trouver ce param tre sous l ments de strat gie gt strat gie du type Param tres g n raux gt Chargement de param tres gt Mode de r cursivit des strat gies Aucun blocage d crit le comportement standard Les strat gies de l utilisateur sont prioritaires sur ce
460. s pour tous les types de strat gie Pour les strat gies de Protection des p riph riques les strat gies de chiffrement int gral du disque cible stockage de masse Cloud Storage cible DropBox et Data Exchange cible supports amovibles sont disponibles Les options dans ces strat gies par d faut sont d finies sur les valeurs ad quates Vous pouvez modifier les param tres par d faut en fonction de vos exigences particuli res Les strat gies par d faut sont nomm es lt type de strat gie gt Par d faut Remarque les noms de ces strat gies par d faut d pendent du param tre de langue d finit au cours de l installation Si vous modifiez la langue de SafeGuard Management Center par la suite les noms de la strat gie par d faut demeurent dans le param tre de langue au cours de l installation 20 1 Param tres g n raux Param tre de strat gie Explication CHARGEMENT DE PARAM TRES Mode de r cursivit des R p ter les param tres machine Halal Si R p ter les param tres machine est s lectionn dans le champ Mode de r cursivit des strat gies et si la strat gie provient d une machine le param tre R p ter les param tres machine d une strat gie utilisateur n entra ne aucun effet cette strat gie est mise en uvre une nouvelle fois la fin Ceci remplace ensuite les param tres de l utilisateur et les param tres de la machine s appliquent Ignorer l utilisateur Si vous s lectionnez Ign
461. s pouvez galement limiter les cl s qu un utilisateur est autoris utiliser Les options suivantes sont disponibles Toute cl du jeu de cl s utilisateur 151 SafeGuard Enterprise 152 Param tre de strat gie Explication Toutes les cl s du jeu de cl s d un utilisateur sont affich es et celui ci peut s lectionner l une d entre elles Remarque cette option doit tre s lectionn e si vous d finissez une strat gie de chiffrement bas sur fichier pour un ordinateur d extr mit non administr prot g par SafeGuard Enterprise autonome Toute cl du jeu de cl s utilisateur sauf la cl utilisateur Toutes les cl s sauf celles du jeu de cl s d un utilisateur sont affich es et celui ci peut s lectionner l une d entre elles Toute cl de groupe du jeu de cl s utilisateur Toutes les cl s de groupe du jeu de cl s d un utilisateur sont affich es et celui ci peut s lectionner l une d entre elles Cl machine d finie La cl de la machine est utilis e l utilisateur ne peut PAS s lectionner de cl Remarque cette option doit tre s lectionn e si vous d finissez une strat gie de chiffrement bas sur volume pour un ordinateur d extr mit non administr prot g par SafeGuard Enterprise mode autonome Si vous s lectionnez n anmoins Toute cl du jeu de cl s utilisateur et si l utilisateur s lectionne une cl cr e localement pour le chiffrement bas sur volume l ac
462. s pr d finis Modification de l authentification suppl mentaire uniquement Condition pr alable pour attribuer une authentification suppl mentaire vous devez poss der le droit d affichage des r les du responsable de la s curit et de modification des param tres d authentification suppl mentaire 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation sous R les personnalis s cliquez sur le r le modifier Dans la zone d action de droite cliquez sur le param tre requis dans la colonne Authentification de responsable de la s curit suppl mentaire et s lectionnez un r le diff rent dans la liste Les r les pr d finis s affichent en gras 3 Cliquez sur l ic ne Enregistrer de la barre d outils pour enregistrer vos modifications dans la base de donn es L authentification responsable suppl mentaire a t modifi e pour ce r le Modification de toutes les propri t s d un r le Condition pr alable pour modifier un r le personnalis vous devez poss der le droit d affichage et de modification des r les de responsable de la s curit Pour attribuer de nouveau une authentification suppl mentaire vous devez poss der le droit de modification des param tres d authentification suppl mentaire 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation sous R les personnalis s c
463. s r serv s lt Dropbox gt comme application de synchronisation et lt Dropbox gt encrypt comme dossier de synchronisation dans la d finition Cloud Storage CSD Cloud Storage Definition Dropbox est install sur l ordinateur d extr mit a L utilisateur dispose de d aropbox configur en tant que dossier synchroniser avec Dropbox Lorsque l ordinateur d extr mit SafeGuard Enterprise re oit une strat gie avec une CSD comme celle ci il interpr te automatiquement les espaces r serv s de la CSD pour qu ils s accordent avec le chemin de Dropbox exe pour l application de synchronisation puis il lit la configuration Dropbox et d finit la strat gie de chiffrement dans le dossier d dropbox encrypt Exportation et importation des d finitions Cloud Storage En tant que responsable de la s curit vous pouvez exporter et importer des d finitions Cloud Storage CSD Cloud Storage Definitions Une CSD sera export e sous la forme d un fichier XML a Pour exporter une CSD cliquez sur Exporter une d finition de Cloud Storage dans le menu contextuel de la d finition Cloud Storage d sir e dans la zone Strat gie a Pour importer une CSD cliquez sur Importer une d finition de Cloud Storage dans le menu contextuel du n ud de la d finition Cloud Storage dans la zone Strat gie Les deux commandes sont galement disponibles dans le menu Actions de SafeGuard Management Center Cr ation d une strat gie de pr
464. s strat gies de groupes individuels vous avez besoin des droits d Acc s complet pour le groupe concern 1 Attribuez la strat gie l O U contenant le groupe 2 Les utilisateurs authentifi s et les ordinateurs authentifi s sont affich s dans la zone d activation 3 Faites glisser ces deux groupes de la zone d activation jusqu la liste des Groupes disponibles Dans cette constellation la strat gie n est efficace ni pour les utilisateurs ni pour les ordinateurs 4 pr sent faites glisser le groupe requis ou plusieurs groupes de la liste des Groupes disponibles jusqu la zone d activation Cette strat gie s applique d sormais exclusivement ce groupe Si des strat gies ont galement t attribu es l OU de niveau sup rieur cette strat gie s applique ce groupe en plus de celles d finies pour l OU tout enti re Gestion des strat gies dans Utilisateurs et ordinateurs part la zone Strat gies dans SafeGuard Management Center vous pouvez aussi afficher et modifier le contenu d une strat gie o l attribution des strat gies est effectu e dans Utilisateurs et ordinateurs 1 Cliquez sur Utilisateurs et ordinateurs 2 Dans la zone de navigation s lectionnez l objet conteneur requis 3 Vous pouvez ouvrir les strat gies pour les afficher modifier partir de deux emplacements a Passez sur l onglet Strat gies ou passez sur l onglet RSOP 4 Cliquez avec le bouton droit de la souris sur
465. s une strat gie Chaque ligne de la zone de liste de l diteur d finir une application Les noms des applications doivent se terminer par exe a Les noms des applications doivent tre indiqu s comme des chemins pleinement qualifi s avec informations sur le lecteur r pertoire par exemple c dir example exe La saisie d un nom de fichier seulement par exemple exemple exe n est pas suffisante Pour une meilleure utilisation la vue sur une ligne de la liste des applications n affiche que les noms de fichiers s par s par des points virgules Les noms d applications peuvent contenir les m mes noms d espaces r serv s pour les dossiers d environnement Windows et variables d environnement que les r gles de chiffrement dans les strat gies File Encryption Retrouvez une description des espaces r serv s disponibles la section Espaces r serv s pour les chemins des r gles File Encryption la page 187 4 Enregistrez vos modifications Remarque les param tres de strat gie Applications s curis es et Applications ignor es sont les param tres de la machine La strat gie doit donc tre attribu e aux machines pas aux utilisateurs Sinon les param tres ne sont pas activ s Configuration des p riph riques ignor s pour le Chiffrement de fichiers Vous pouvez d finir des p riph riques comme ignor s pour les exclure du processus de chiffrement des fichiers Vous pouvez seulement exclure des p riph riques en
466. sactiv Authentification Authentification Challenge cr R ponse cr e Authentification Authentification Connexion tablie chec de la connexion Authentification Authentification Utilisateur import lors de la connexion et marqu comme propri taire Utilisateur import par un propri taire et marqu comme non propri taire 297 SafeGuard Enterprise 298 Cat gorie Authentification Identifiant d v nement Description Utilisateur import par un non propri taire et marqu comme non propri taire Authentification Authentification Utilisateur supprim en tant que propri taire chec de l importation de l utilisateur lors de la connexion Authentification Authentification L utilisateur s est d connect L utilisateur a t contraint de se d connecter Authentification Authentification Action effectu e sur le p riph rique L utilisateur a initi une modification de mot de passe code confidentiel Authentification Authentification L utilisateur a modifi son mot de passe code confidentiel apr s la connexion Qualit du mot de passe code confidentiel Authentification Authentification La strat gie de mot de passe code confidentiel a t enfreinte LocalCache tait corrompu et a t restaur Authentification Authentification Configuration non valide de la liste noire des m
467. satisfait aux conditions requises pour BitLocker avec le Challenge R ponse SafeGuard S il ne satisfait pas aux conditions la gestion de SafeGuard Enterprise BitLocker s effectue sans Challenge R ponse Dans ce cas la cl de r cup ration BitLocker peut tre r cup r e l aide de SafeGuard Policy Editor 21 2 4 2125 212 51 Manuel d administration Gestion du Chiffrement de lecteur BitLocker avec SafeGuard Enterprise SafeGuard Enterprise vous permet de g rer le Chiffrement de lecteur BitLocker partir de SafeGuard Management Center pareillement un client SafeGuard Enterprise natif En tant que responsable de la s curit vous pouvez d finir des strat gies de chiffrement et d authentification et les distribuer aux ordinateurs d extr mit BitLocker Lors de l installation du client SafeGuard Enterprise sur Windows 7 la fonction BitLocker doit tre explicitement s lectionn e pour activer la gestion de BitLocker Lorsque l ordinateur d extr mit BitLocker est enregistr dans SafeGuard Enterprise les informations concernant l utilisateur l ordinateur le mode de connexion et l tat du chiffrement apparaissent Les v nements sont galement consign s dans le journal pour les clients BitLocker La gestion des clients BitLocker dans SafeGuard Enterprise est transparente ce qui signifie que les fonctions de gestion fonctionnent en g n ral de fa on identique pour les clients BitLocker et SafeGuard Enterprise
468. scription Impossible de supprimer le certificat Administration Administration chec de l extension du certificat Impossible d attribuer le certificat l utilisateur Administration Administration Impossible de supprimer l attribution du certificat l utilisateur Token connect Administration Administration Token supprim Token g n r pour l utilisateur Administration Administration Changer le code confidentiel utilisateur sur le token Changer le code confidentiel SO sur le token Administration Administration Token verrouill Token d verrouill Administration Administration Administration Administration Administration Administration Administration Administration Administration Token supprim Attribution de token supprim pour l utilisateur Impossible de g n rer un token pour l utilisateur Impossible de modifier le code confidentiel utilisateur sur le token Impossible de modifier le code confidentiel du responsable de la s curit sur le token Impossible de verrouiller le token Impossible de d verrouiller le token Impossible de supprimer le token Strat gie cr e Administration Administration Strat gie modifi e Strat gie supprim e Administration Administration Strat gie attribu e et activ e sur l OU Strat gie attribu e supprim e de l OU Cat gorie Adminis
469. sent les informations suivantes Remarque certains colonnes sont cach es par d faut Vous pouvez personnaliser l affichage pour les montrer Retrouvez plus d informations la section Affichage des colonnes cach es la page 264 Colonne Nom de la machine Indique le nom de l ordinateur Domaine Explication Indique le nom du domaine de l ordinateur Domaine pr 2000 Indique le nom du domaine avant Windows 2000 Nom d utilisateur propri taire Indique le nom utilisateur du propri taire de l ordinateur s il est disponible Pr nom Indique le pr nom du propri taire s il est disponible Nom Indique le nom de famille du propri taire s il est disponible Adresse lectronique Indique l adresse lectronique du propri taire s il est disponible Autres utilisateurs enregistr s Affiche les noms des autres utilisateurs enregistr s de l ordinateur s ils sont disponibles Syst me d exploitation Indique le syst me d exploitation de l ordinateur 265 SafeGuard Enterprise Colonne Dernier contact du serveur Explication Indique la date et l heure auxquelles l ordinateur a communiqu avec le serveur pour la derni re fois Derni re strat gie re ue Lecteurs chiffr s Indique la date et l heure auxquelles l ordinateur a re u la derni re strat gie Indique les lecteurs chiffr s de l ordinateur Lecteurs non chiffr s Type d authen
470. serv s actuellement pris en charge Fournisseur Espace r serv Utilisable dans le param tre R sultat 03S B Dropbox lt Dropbox gt Application de Pour les applications de synchronisation Dossiers synchronisation le de synchronisation chemin pleinement qualifi de l application de synchronisation utilis e par le logiciel Dropbox Pour les dossiers de synchronisation le chemin pleinement qualifi du dossier de synchronisation utilis par le logiciel Dropbox lt Egnyte gt Application de Le chemin pleinement synchronisation qualifi de l application de synchronisation utilis e par le logiciel Egnyte lt EgnytePrivate gt Dossiers de synchronisation Tous les dossiers confidentiels du stockage Cloud d Egnyte Pour les utilisateurs Egnyte classiques il s agit g n ralement d un seul dossier Pour les administrateurs Egnyte cet espace r serv consiste g n ralement en plusieurs dossiers lt EgnyteShared gt Dossiers de synchronisation Tous les dossiers partag s du stockage Cloud d Egnyte Remarque Les modifications de la structure du dossier Egnyte y compris l ajout ou la suppression de dossiers confidentiels ou partag s sont d tect es automatiquement Les strat gies affect es sont mises jour automatiquement Remarque les dossiers de synchronisation peuvent se trouver sur des emplacements du r seau Vous pouvez donc saisir les chemins r seau dans le para
471. sign s par l algorithme SHA 256 la premi re installation pour une s curit optimale Si vous avez toujours besoin de g rer des ordinateurs d extr mit utilisant SafeGuard Enterprise 6 ou une version ant rieure avec SafeGuard Management Center 7 0 veuillez s lectionner SHA 1 sous Algorithme de hachage pour les certificats g n r s Retrouvez plus d informations la section Modification de l algorithme pour les certificats autosign s L algorithme s lectionn est utilis pour signer tous les certificats g n r s par SafeGuard Enterprise II s agit de certificats d entreprise et de la machine et des certificats du responsable de la s curit et de l utilisateur 3 Cliquez sur Suivant Le nouveau certificat d entreprise est stock dans la base de donn es Cr ez une sauvegarde du certificat d entreprise et stockez le dans un emplacement s r apr s la configuration initiale Retrouvez plus d informations sur la restauration de la configuration d une base de donn es endommag e la section Restauration de la configuration d une base de donn es corrompue la page 262 Configuration initiale compl te de SafeGuard Management Center 1 Cliquez sur Terminer pour terminer la configuration initiale de SafeGuard Management Center 23 SafeGuard Enterprise 9 9 9 10 24 Un fichier de configuration a t cr a Une connexion au serveur SafeGuard Enterprise a Une base de donn es SafeGuard Enterprise
472. sonnelles pour le chiffrement de fichiers par le Chiffrement de fichiers la page 73 Le type de Syst me Windows Mac OS X ou Tous les syst mes pour les syst mes Windows et Mac OSX sera attribu automatiquement Ajoutez d autres r gles de chiffrement selon vos besoins et enregistrez vos changements Remarque toutes les r gles de Chiffrement de fichiers attribu es par des strat gies et activ es pour les utilisateurs ordinateurs des n uds diff rents dans Utilisateurs et ordinateurs sont cumul es L ordre des r gles de chiffrement dans une strat gie Chiffrement de fichiers n a pas d importance pour leur valuation sur l ordinateur d extr mit Dans une strat gie Chiffrement de fichiers vous pouvez d placer les r gles pour avoir une meilleur visibilit 23 1 1 Informations suppl mentaires sur La configuration des chemins dans les r gles File Encryption Lors de la configuration des chemins dans les r gles File Encryption veuillez prendre en compte ce qui suit Un chemin peut seulement contenir des caract res qui peuvent aussi tre utilis s dans des syst mes de fichiers Les caract res comme lt gt et ne sont pas autoris s Vous pouvez seulement saisir des espaces r serv s valides Retrouvez une liste des espaces r serv s autoris s la section Espaces r serv s pour les chemins des r gles File Encryption la page 187 Remarque les noms des variables d environnement ne sont pas v
473. ssent dans SafeGuard Management Center 1 O RS ND Dans le menu Outils de SafeGuard Management Center cliquez sur Outil de package de configuration S lectionnez Packages du client administr Cliquez sur Ajouter un package de configuration Donnez un nom au package de configuration Attribuez un serveur SafeGuard Enterprise principal le serveur secondaire n est pas n cessaire S lectionnez SSL comme Chiffrement du transport pour la connexion entre l ordinateur d extr mit et le serveur SafeGuard Enterprise Sophos en tant que Chiffrement de transport n est pas pris en charge pour Mac Indiquez un chemin de sortie pour le package de configuration ZIP Cliquez sur Cr er un package de configuration La connexion au serveur pour le mode Chiffrement du transport SSL est valid En cas d chec de la connexion un message d avertissement s affiche Le package de configuration ZIP a t cr dans le r pertoire sp cifi Vous devez maintenant distribuer et d ployer ce package sur vos Macs 293 SafeGuard Enterprise 36 36 1 36 2 294 SafeGuard Enterprise et disques durs compatibles Opal chiffrement automatique Les disques durs chiffrement automatique offrent un chiffrement de type mat riel des donn es lorsqu ils sont crits sur le disque dur Trusted Computing Group TCG a publi la norme Opal ind pendante des fournisseurs pour les disques durs chiffrement automat
474. ssez la longueur minimale en caract res des r ponses Le nombre par d faut est 1 Texte de bienvenue sous Windows Vous pouvez indiquer le texte d informations individuel afficher dans la premi re bo te de dialogue au d marrage de l Assistant Local Self Help sur l ordinateur d extr mit Avant de sp cifier le texte ici il doit tre cr et enregistr a L utilisateur peut d finir des questions personnalis es Les sc narios suivants sont possibles concernant la d finition de questions pour Local Self Help a En tant que responsable de la s curit d finissez les questions et distribuez les aux utilisateurs Les utilisateurs ne sont pas autoris s d finir des questions personnalis es a En tant que responsable de la s curit d finissez les questions et distribuez les aux utilisateurs Les utilisateurs sont galement autoris s d finir des questions personnalis es Lorsqu ils r pondent au nombre minimum de questions n cessaire pour activer Local Self Help les utilisateurs peuvent choisir entre des questions pr d finies et des questions personnalis es ou une combinaison des deux a Vous autorisez les utilisateurs d finir des questions personnalis es Les utilisateurs activent Local Self Help sur leurs ordinateurs en d finissant des questions personnalis es et en y r pondant Pour autoriser les utilisateurs d finir des questions personnalis es s lectionnez l option Oui dans le champ
475. strateur Windows et au responsable de la s curit de SafeGuard Enterprise de se connecter ou de supprimer de nouveaux volumes ou disques durs en d pit du chiffrement bas sur secteur La zone de stockage des cl s KSA Key Storage Area d un volume contient toutes les informations n cessaires c est dire La DEK Data Encryption Key cl de chiffrement des donn es g n r e al atoirement 259 SafeGuard Enterprise 29 5 1 1 260 a Un identifiant pour l algorithme de chiffrement utilis pour chiffrer le volume a La liste des GUID pour les KEK Key Encryption Keys cl s de chiffrement des cl s qui peuvent chiffrer et d chiffrer la DEK Le volume lui m me contient sa taille Un volume chiffr avec SafeGuard Enterprise est accessible partir de tous les ordinateurs d extr mit prot g s par SafeGuard Enterprise pourvu que l utilisateur ou l ordinateur poss de une KEK de la KSA du volume sur son jeu de cl s Les utilisateurs ou les ordinateurs doivent pouvoir d chiffrer la DEK chiffr e par la KEK Un grand nombre d utilisateurs et d ordinateurs peuvent acc der un volume ayant t chiffr avec une KEK distribuable tel qu une OU un groupe ou une cl de domaine car de nombreux utilisateurs ordinateurs d un domaine ont cette cl dans leurs jeux de cl s Toutefois un volume qui n est chiffr qu avec la cl de d marrage individuelle Boot_nommachine de l ordinateur prot g par SafeGua
476. stration La bo te de dialogue du code confidentiel ne s est pas termin e correctement 0x00BEB006 12496902 La bo te de dialogue de chemin d acc s ne s est pas termin e correctement 0x00BEB007 12496903 Erreur de communication entre processus dans la bo te de dialogue du code confidentiel ou de chemin d acc s 0x00BEB008 12496904 Exception non prise en charge dans la bo te de dialogue du code confidentiel ou de chemin d acc s La bo te de dialogue s est affich e mais l utilisateur s est d connect ou l a termin e l aide du Gestionnaire des t ches 0x00BEB009 12496905 L algorithme de chiffrement d fini dans la strat gie ne correspond pas celui du lecteur chiffr Par d faut s il n a pas t modifi un volume BitLocker natif utilise AES 128 tandis que les strat gies SGN d finissent AES 256 0Ox00BEBO0A 12496906 Le volume est un volume dynamique Les volumes dynamiques ne sont pas pris en charge 0x00BEB00B 12496907 Le test mat riel a chou en raison d un probl me mat riel Ox00BEB00C 0x00BEB00D 12496908 12496909 Une erreur est survenue pendant l initialisation et l activation du TPM Ily a un conflit entre l algorithme de chiffrement dans la strat gie SGN et les param tres de l algorithme de chiffrement dans l objet de strat gie de groupe GPO 0x00BEB102 0x00BEB202 12497154 12497410 La version UEFI n a pas pu
477. support de restauration partir de la fonction d authentification au d marrage SafeGuard Windows PE avec le sous syst me de chiffrement de SafeGuard Enterprise install Ces supports ont un acc s de chiffrement d chiffrement transparent aux volumes chiffr s avec SafeGuard Enterprise Il est possible de rem dier ici la cause du syst me qui ne peut tre d marr Sous syst me de chiffrement Les sous syst mes de chiffrement sont par exemple BEFLT sys effectuez la proc dure d crite dans Probl mes de d marrage de Windows et r parez le syst me Configuration de WinPE pour SafeGuard Enterprise Pour acc der aux lecteurs chiffr s avec le BOOTKEY d un ordinateur dans un environnement WinPE SafeGuard Enterprise offre WinPE avec les modules de fonction et les pilotes SafeGuard Enterprise Pour lancer SetupWinPE saisissez la commande suivante SetupWinPE pe2 lt fichier d image WinPE gt fichier d image WinPE tant le nom de chemin complet d un fichier d image WinPE SetupWinPE effectue toutes les modifications n cessaires Remarque dans ce type d environnement WinPE seuls les lecteurs chiffr s avec le BOOTKEY sont accessibles Les lecteurs chiffr s avec une cl utilisateur sont inaccessibles car les cl s ne sont pas disponibles dans cet environnement Asservissement d un disque dur SafeGuard Enterprise permet l asservissement des volumes ou des disques durs chiffr s Il permet l utilisateur final l admini
478. t toutes les cl s locales utilis es dans SafeGuard Portable L utilisateur ne saisit qu une seule phrase secr te et peut acc der tous les fichiers chiffr s dans SafeGuard Portable quelle que soit la cl locale utilis e pour le chiffrement Sur chaque ordinateur d extr mit et pour chaque p riph rique une cl de chiffrement de support unique pour le chiffrement de donn es est cr e automatiquement Cette cl est prot g e par la phrase secr te des supports et une cl de domaine groupe d finie de mani re centralis e Sur un ordinateur sur lequel SafeGuard Data Exchange est install il n est donc pas n cessaire de saisir la phrase secr te des supports pour acc der aux fichiers chiffr s contenus sur le support amovible L acc s est accord automatiquement si la cl appropri e se trouve dans le jeu de cl s de l utilisateur La cl de domaine groupe utiliser doit tre sp cifi e sous Cl d finie pour le chiffrement La fonction de phrase secr te des supports est disponible lorsque l option L utilisateur peut d finir une phrase secr te des supports pour les p riph riques est activ e dans une strat gie de type Protection des p riph riques Lorsque ce param tre est activ sur l ordinateur l utilisateur est invit automatiquement saisir une phrase secr te des supports lorsqu il connecte des supports amovibles pour la premi re fois La phrase secr te des supports est valide sur chaque ordinateur
479. t gie Protection des p riph riques avec une liste blanche cette strat gie n exclut aucun p riph rique du chiffrement si une autre strat gie est appliqu e qui sp cifie le chiffrement bas sur volume Remarque concernant les p riph riques SafeStick de BlockMaster des conditions requises particuli res s appliquent Ces p riph riques ont des identifications diff rentes pour les administrateurs et les utilisateurs sans droits administrateur Pour une gestion coh rente dans SafeGuard Enterprise vous devez ajouter les deux identifications aux listes blanches SafeGuard PortAuditor d tecte les deux identifications si un p riph rique SafeStick a t ouvert au moins une fois sur l ordinateur contr l par SafeGuard PortAuditor 20 8 1 20 8 2 Manuel d administration Cr ation de listes blanches pour les strat gies de protection des p riph riques pour le chiffrement bas sur fichier 1 Dans la zone de navigation Strat gies s lectionnez Liste blanche 2 Dans le menu contextuel Liste blanche cliquez sur Nouveau gt Liste blanche 3 S lectionnez le type de liste blanche Pour cr er une liste blanche pour des mod les de p riph riques sp cifiques s lectionnez Mod les de p riph riques de stockage a Pour cr er une liste blanche pour des p riph riques sp cifiques en fonction du num ro de s rie s lectionnez P riph riques de stockage distincts 4 Sous Source de liste blanche indiquez comment
480. t gies du m me type dans un groupe les param tres sont fusionn s automatiquement Dans ce cas vous pouvez d finir des priorit s d utilisation des param tres Les param tres d une strat gie ayant une priorit sup rieure remplacent ceux d une strat gie de priorit inf rieure Un param tre de strat gie d fini remplace les param tres des autres strat gies si la strat gie avec ce param tre a une priorit sup rieure le param tre de strat gie n a pas encore t d fini non configur Remarque les strat gies se chevauchant attribu es un groupe peuvent aboutir un calcul incorrect des priorit s Assurez vous d utiliser des param tres de strat gie disjonctifs Exception relative la protection du p riph rique Les strat gies de protection des p riph riques sont fusionn es uniquement si elles ont t d finies pour la m me cible volume de d marrage par exemple Les param tres sont ajout s si elles d signent des cibles diff rentes Combinaison de strat gies dans des groupes Condition pr alable les strat gies individuelles de diff rents types doivent tre tout d abord cr es 1 Dans la zone de navigation cliquez sur Strat gies 2 Dans la fen tre de navigation cliquez avec le bouton droit de la souris sur Groupes de strat gies et s lectionnez Nouveau 3 Cliquez sur Nouveau groupe de strat gies Une bo te de dialogue pour nommer le groupe de strat gies s affiche
481. t me l aide d outils tiers par exemple Device Tree d OSR SafeGuard Enterprise consigne dans le journal tous les p riph riques auxquels il se connecte et vous pouvez afficher une liste des p riph riques connect s et ignor s l aide des cl s de registre Affichage des p riph riques connect s et ignor s pour la configuration de SafeGuard Data Exchange Pour vous aider d finir les p riph riques ignor s vous pouvez utiliser des cl s du registre pour indiquer quels p riph riques sont consid r s pour le chiffrement p riph riques connect s et quels sont ceux qui sont ignor s La liste des p riph riques ignor s indique seulement ceux qui sont v ritablement disponibles sur l ordinateur et qui sont ignor s Si un p riph rique est param tr pour tre ignor dans une strat gie et s il n est pas disponible sur l ordinateur il n appara t pas dans la liste Utilisez les cl s de registre suivantes pour afficher les p riph riques connect s et ignor s HKIM System CurrentControlSet Control Utimaco SGLCENC Log AttachedDevices HKIM System CurrentControlSet Control Utimaco SGLCENC Log IgnoredDevices 24 1 24 8 24 9 Manuel d administration Configuration du chiffrement permanent pour SafeGuard Data Exchange Le contenu des fichiers chiffr s par SafeGuard Data Exchange est d chiffr la vol e si l utilisateur poss de la cl requise Lorsque le contenu est enregistr sous la forme d un nouv
482. t SSL Retrouvez plus d informations dans le Guide d installation de SafeGuard Enterprise Configuration de SSL Les t ches g n rales suivantes sont n cessaires pour configurer le serveur Web avec SSL Une autorit de certification doit tre install e pour g n rer des certificats utilis s pour le chiffrement SSL Un certificat doit tre g n r et le serveur des services Internet IIS configur pour utiliser SSL et s lectionner le certificat Le nom du serveur sp cifi lors de la configuration du serveur SafeGuard Enterprise doit tre identique celui sp cifi dans le certificat SSL Faute de quoi la communication entre le client et le serveur est impossible Un certificat distinct est n cessaire pour chaque serveur SafeGuard Enterprise Si vous utilisez un quilibreur de charge r seau v rifiez que la plage de ports inclut le port SSL Retrouvez plus d informations aupr s de notre support technique ou consultez http msdn2 microsoft com fr fr library ms998300 aspx http support microsoft com default aspx scid kbifr fr 316898 https blogs msdn com sql_protocols archive 2005 11 10 491563 aspx 9 2 Manuel d administration Retrouvez plus d informations dans le Guide d installation de SafeGuard Enterprise Activation du chiffrement SSL dans SafeGuard Enterprise Vous pouvez activer le chiffrement SSL dans SafeGuard Enterprise comme suit Connexion entre le serveur web et le serveur de base de
483. t SafeGuard Enterprise natifs Vous pouvez retrouver plus d informations sur le type d un ordinateur dans l inventaire d un conteneur dans Utilisateurs et ordinateurs La colonne Type de POA vous indique si l ordinateur correspondant est un client FileVault 2 Strat gies de chiffrement pour le chiffrement int gral du disque FileVault 2 Le responsable de la s curit peut cr er une strat gie de chiffrement dans SafeGuard Management Center et la distribuer aux ordinateurs d extr mit FileVault 2 sur lesquels elle sera appliqu e Les ordinateurs d extr mit FileVault 2 tant administr s de mani re transparente dans SafeGuard Management Center le responsable de la s curit n a pas besoin de proc der un param trage sp cifique de FileVault 2 pour le chiffrement SafeGuard Enterprise connait l tat du client et s lectionne en cons quence le chiffrement FileVault 2 Un ordinateur d extr mit File Vault 2 traite uniquement les strat gies de type Protection des p riph riques avec des Volumes de d marrage cibles et le Mode de chiffrement du Manuel d administration support d fini sur Volume ou sur Aucun chiffrement Tous les autres param tres de strat gie sont ignor s a Volume active FileVault 2 sur l ordinateur d extr mit a Aucun chiffrement permet l utilisateur de d chiffrer le Mac 181 SafeGuard Enterprise 22 SafeGuard Configuration Protection 182 Le module SafeGuard Configuration Protection n
484. t bas sur fichier sur les emplacements r seau dans une strat gie du type Chiffrement de fichiers Remarque lorsqu ils sont chiffr s certains dossiers par exemple c program files peut emp cher l ex cution du syst me d exploitation ou d applications Lorsque vous d finissez des r gles de chiffrement assurez vous que ces dossiers ne sont pas chiffr s 1 Dans la zone de navigation Strat gies cr ez une nouvelle strat gie du type Chiffrement de fichiers ou s lectionnez en une Le tableau des r gles de la strat gie Chiffrement de fichiers appara t Dans la colonne Chemin d finissez le chemin c est dire le dossier g rer par le Chiffrement de fichiers a Cliquez sur le bouton d roulant et s lectionnez un espace r serv de nom de dossier dans la liste des espaces r serv s disponibles Remarque en faisant passer votre curseur sur les entr es de la liste vous pouvez afficher des infobulles qui vous indiquent comment un espace r serv est g n ralement pr sent sur un ordinateur d extr mit Vous pouvez seulement saisir des espaces r serv s valides Retrouvez une description de tous les espaces r serv s disponibles la section Espaces r serv s pour les chemins des r gles de Chiffrement de fichiers la page 187 Remarque le chiffrement int gral du profil utilisateur l aide de l espace r serv lt Profil utilisateur gt peut entra ner une instabilit du bureau Windows sur l ordin
485. t de chiffrement des p riph riques de SafeGuard Enterprise natif restent lisibles Les param tres du registre obtenus c t client sont comme suit HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft FVE RDVConfigureBDE dword 00000001 RDVAllowBDE dword 00000000 RDVDisableBDE dword 00000001 Ces cl s de registre sont aussi param tr es lors de l installation des composants du client de chiffrement des p riph riques de SafeGuard Enterprise afin que BitLocker To Go soit aussi d sactiv sur les ordinateurs sans gestion de domaines comme les ordinateurs de groupe de travail ou autonomes Journalisation Les v nements signal s par le client BitLocker sont consign s dans le journal de la m me mani re que pour tout autre client SafeGuard Enterprise Il n est pas express ment indiqu que l v nement est li un client BitLocker Les v nements signal s sont identiques pour tout client SafeGuard Enterprise 179 SafeGuard Enterprise 21 3 2lad 21 3 2 21 3 3 180 Chiffrement int gral du disque FileVault 2 FileVault 2 est une technologie de chiffrement int gr e OS X qui prot ge un volume tout entier et qui peut tre g r e par SafeGuard Enterprise Gestion du chiffrement int gral du disque FileVault 2 avec SafeGuard Enterprise SafeGuard Enterprise vous permet de g rer le chiffrement int gral du disque FileVault 2 partir de SafeGuard Management Center pareillement un client SafeGuard Ent
486. t de passe de longueur 3 s applique cet utilisateur sur un ordinateur appartenant ce groupe d ordinateurs Exemple 2 Si un intervalle de connexion au serveur de 1 minute est d fini pour un groupe d utilisateurs et si la valeur 3 est d finie pour un groupe de machines la valeur 3 est utilis e car la valeur 1 minute est un param tre machine ayant t d fini dans une strat gie pour les utilisateurs 93 SafeGuard Enterprise 14 9 8 14 9 9 14 9 10 14 9 11 94 Strat gies de chiffrement contradictoires Deux strat gies P1 et P2 sont cr es Le chiffrement bas sur fichier du lecteur E a t d fini pour P1 et le chiffrement bas sur volume du lecteur E a t d fini pour P2 P1 se voit attribuer l UO FBE User et P2 l UO VBE User Cas 1 un utilisateur de l UO FBE User se connecte le premier au client W7 100 ordinateur du conteneur Le chiffrement du lecteur E est bas sur les fichiers Si un utilisateur de l UO VBE User se connecte ensuite au client W7 100 le chiffrement du lecteur E est bas sur les volumes Si les deux utilisateurs ont la m me cl tous deux peuvent acc der aux lecteurs ou aux fichiers Cas 2 un utilisateur de l OU VBE User se connecte le premier l ordinateur XP 100 ordinateur du conteneur Le chiffrement du lecteur est bas sur les volumes Si pr sent un utilisateur de l UO FBE User se connecte et a la m me cl que les utilisateurs de l UO VBE User le
487. t technique Lors de la r cup ration d un mot de passe oubli via la proc dure Challenge R ponse une r initialisation de mot de passe est requise 1 La proc dure Challenge R ponse permet l ordinateur de d marrer partir de l authentification au d marrage SafeGuard 2 Dans la bo te de dialogue de connexion Windows l utilisateur ne connait pas le mot de passe correct Le mot de passe doit tre red fini au niveau de Windows Cela n cessite d autres actions de r cup ration sortant du p rim tre de SafeGuard Enterprise via des moyens Windows standard Remarque nous vous conseillons d viter la r initialisation centralis e du mot de passe avant la proc dure Challenge R ponse Ceci vous garantit que le mot de passe reste synchronis entre Windows et SafeGuard Enterprise Assurez vous que le support Windows en a bien connaissance Nous conseillons les m thodes de r initialisation de mot de passe Windows suivantes l aide d un compte de service ou administrateur disponible sur l ordinateur d extr mit avec les droits Windows requis l aide d un disque de r initialisation de mot de passe Windows sur l ordinateur d extr mit 253 SafeGuard Enterprise 29 2 7 2 254 En tant que responsable du support vous pouvez informer l utilisateur de la proc dure appliquer et lui fournir les codes d acc s Windows suppl mentaires ou le disque requis 3 L utilisateur saisit le nouveau mot de passe q
488. t un aper u des t ches planifi es S lectionnez la t che requise et cliquez sur le bouton Propri t s La bo te de dialogue Propri t s de lt nom t che gt appara t avec les propri t s de la t che Cliquez sur le bouton Exporter pr s du champ Script Une bo te de dialogue Enregistrer sous appara t S lectionnez l emplacement du fichier pour l enregistrement du script et cliquez sur Enregistrer Le script est enregistr l emplacement de fichier sp cifi 34 5 4 34 5 4 1 Manuel d administration Scripts pr d finis pour les t ches p riodiques Les scripts pr d finis suivants sont disponibles avec SafeGuard Enterprise ActiveDirectorySynchronization vbs Vous pouvez utiliser ce script pour la synchronisation automatique entre Active Directory et SafeGuard Enterprise EventLogDeletion vbs Vous pouvez utiliser ce script pour supprimer automatiquement les journaux d v nements Les scripts sont install s automatiquement dans le sous dossier Script Templates de l installation du SafeGuard Management Center Pour utiliser ces scripts lors de t ches quotidiennes importez les dans le Planificateur de t ches et apportez les changements de param tres n cessaires avant de les utiliser Script pr d fini pour la synchronisation avec Active Directory Vous pouvez importer une structure organisationnelle existante dans la base de donn es SafeGuard Enterprise depuis un Active Directory Retr
489. tTable_ uninstall sql permettent d installer une proc dure enregistr e ainsi qu une t che planifi e sur le serveur de la base de donn es La t che planifi e ex cut la proc dure enregistr e des intervalles r guliers d finis La proc dure enregistr e d place des v nements du tableau EVENT dans le tableau de sauvegarde EVENT _BACKUP tout en conservant un nombre pr d fini d v nements r cents dans le tableau EVENT Les deux scripts spShrinkEventTable_ uninstall sqlet ScheduledShrinkEventTable uninstall sql permettent de d sinstaller la proc dure enregistr e ainsi que la t che planifi e Ces deux scripts suppriment galement le tableau EVENT BACKUP Remarque si vous utilisez la proc dure enregistr e pour d placer des v nements du tableau EVENT dans le tableau de sauvegarde la connexion des v nements ne s applique plus L activation de la connexion tout en utilisant par ailleurs la proc dure enregistr e pour le nettoyage des v nements est inutile Retrouvez plus d informations la section Connexion des v nements journalis s la page 277 Cr ation de la proc dure enregistr e Le script spShrinkEventTable_install sql permet de cr er une proc dure enregistr e qui d place des donn es du tableau EVENT dans un tableau de sauvegarde EVENT BACKUP Le tableau EVENT BACKUP est cr automatiquement s il n existe pas La premi re ligne est USE SafeGuard Si vous avez donn un autre nom v
490. taire et d tat des lecteurs sur l ordinateur concern Colonne Explication Nom du lecteur Indique le nom du lecteur 266 Manuel d administration Colonne Explication Indique le type de lecteur par exemple Fixe Support amovible ou CD ROM DVD Indique l tat de chiffrement d un lecteur Remarque si la gestion de SafeGuard BitLocker est install e sur un ordinateur d extr mit il se peut que l tat de chiffrement d un lecteur indique Non pr par Ceci signifie que le lecteur ne peut actuellement pas tre chiffr avec BitLocker car les pr parations d usage n ont pas encore t effectu es Ceci s applique uniquement aux ordinateurs d extr mit administr s En effet les ordinateurs d extr mit non administr s ne sont pas en mesure de cr er des rapports sur les donn es d inventaire Retrouvez plus d informations sur les conditions pr alables requises pour g rer et chiffrer les lecteurs BitLocker la section Conditions pr alables la gestion de BitLocker sur les ordinateurs d extr mit la page 173 L tat de chiffrement d un ordinateur d extr mit non administr peut tre v rifi l aide de l outil de ligne de commande SGNState Retrouvez plus d informations dans le Guide des outils de SafeGuard Enterprise Algorithme Pour les lecteurs chiffr s ce champ indique l algorithme utilis pour le chiffrement 32 8 Onglet Utilisateurs L onglet Utilisateurs indique les donn
491. tervention de l utilisateur doit tre minimale Selon ces conditions le responsable de la s curit choisit les param tres d authentification suivants il s agit des param tres par d faut Mode de connexion BitLocker pour les volumes de d marrage TPM PIN Mode de connexion de secours BitLocker pour volumes de d marrage Mot de passe ou cl de d marrage Mode de connexion BitLocker pour volumes non d marrables Auto d verrouiller Mode de connexion de secours BitLocker pour volumes non d marrables Mot de passe ou cl de d marrage Le responsable de la s curit cr e une strat gie de protection des p riph riques ayant pour objet le Stockage interne et r gle le mode de chiffrement sur Bas sur le volume Les deux strat gies vont tre appliqu es aux ordinateurs d extr mit chiffrer Pour les utilisateurs SafeGuard Enterprise BitLocker les cas de figure suivants sont possibles Cas de figure 1 un utilisateur se connecte un ordinateur d extr mit l aide d un TPM 1 L utilisateur est invit saisir son code confidentiel pour le volume de d marrage par exemple lecteur C 2 L utilisateur saisit le code confidentiel et clique sur Red marrer et chiffrer 3 Le syst me teste le mat riel et s assure que l utilisateur peut saisir correctement son code confidentiel red marre et invite l utilisateur saisir son code confidentiel Si l utilisateur saisit son code confidentie
492. tes de service sur l ordinateur d extr mit ce moment pr cis ajoutez une strat gie de type Authentification lors de la cr ation du package de configuration initiale pour pouvoir configurer l ordinateur d extr mit apr s l installation 18 6 18 7 Manuel d administration Vous pouvez tout moment changer les param tres de la liste des comptes de service cr er une nouvelle strat gie et la transf rer sur les ordinateurs d extr mit Connexion un ordinateur d extr mit l aide d un compte de service Lors de la premi re connexion Windows apr s le red marrage de l ordinateur un utilisateur figurant sur une liste de comptes de service se connecte l ordinateur en tant qu utilisateur invit SafeGuard Enterprise Cette premi re connexion Windows l ordinateur d extr mit ne d clenche pas de proc dure d authentification au d marrage SafeGuard de m me qu elle n ajoute pas l utilisateur l ordinateur L infobulle de l ic ne de la barre d tat syst me SafeGuard Enterprise Synchronisation utilisateur initiale termin e ne s affiche pas Affichage de l tat du compte de service sur l ordinateur d extr mit L tat de connexion de l utilisateur invit est galement disponible via l ic ne de la barre d tat syst me Retrouvez plus d informations dans le Manuel d utilisation de SafeGuard Enterprise au chapitre Ic ne de la barre d tat syst me et infobulle description du champ sur l tat de
493. teur a t verrouill Un utilisateur a oubli ou perdu le token carte puce Le cache local de l authentification au d marrage SafeGuard est partiellement endommag Si un utilisateur est absent ses coll gues doivent pouvoir acc der aux donn es de son ordinateur Un utilisateur souhaite acc der un volume chiffr l aide d une cl qui n est pas disponible sur l ordinateur SafeGuard Enterprise propose diff rents flux de travail de r cup ration pour ces sc narios types ce qui permet aux utilisateurs d acc der de nouveau leurs ordinateurs Flux de travail Challenge R ponse La proc dure Challenge R ponse repose sur les deux composants suivants L ordinateur d extr mit sur lequel le code de challenge est g n r SafeGuard Management Center o en tant que responsable du support poss dant les droits correspondants vous cr ez un code de r ponse qui autorisera l utilisateur effectuer l action requise sur l ordinateur Remarque pour une proc dure Challenge R ponse vous avez besoin des droits d Acc s complet pour les ordinateurs utilisateurs concern s Sur l ordinateur d extr mit l utilisateur demande le code de challenge En fonction du type de r cup ration cette op ration s effectue soit dans l authentification au d marrage SafeGuard soit dans l outil de r cup ration de cl KeyRecovery Un code de challenge sous la forme d une cha ne de caract res ASCII est g n r puis
494. teur apr s l installation de SafeGuard Enterprise est saisi dans l AUM en tant que propri taire de cet ordinateur Cet attribut permet l utilisateur s tant identifi l authentification au d marrage SafeGuard d autoriser d autres utilisateurs se connecter cet ordinateur Retrouvez plus d informations la section Enregistrement d utilisateurs SafeGuard Enterprise suppl mentaires la page 103 Ils seront galement ajout s l AUM pour cet ordinateur Une liste automatique est g n r e et d termine quel utilisateur est autoris se connecter quel ordinateur Cette liste peut tre modifi e dans SafeGuard Management Center Attribution utilisateur machine dans SafeGuard Management Center Les utilisateurs peuvent tre affect s des ordinateurs sp cifiques du SafeGuard Management Center Si un utilisateur est affect un ordinateur dans SafeGuard Management Center ou r ciproquement cette affectation est int gr e l AUM Les donn es de l utilisateur certificat cl etc sont dupliqu es sur cet ordinateur et l utilisateur peut s y connecter Lorsqu un utilisateur est supprim de l AUM toutes ses donn es utilisateur sont automatiquement supprim es de l authentification au d marrage SafeGuard L utilisateur ne peut plus se connecter l authentification au d marrage SafeGuard avec son nom et son mot de passe Remarque dans Utilisateurs et ordinateurs pour visualiser l attribution des utilisate
495. teur peut d finir des questions personnalis es Challenge R ponse C R En tant que responsable de la s curit vous pouvez d finir de mani re centralis e les questions auxquelles r pondre et les distribuer sur l ordinateur d extr mit dans la strat gie Toutefois vous pouvez galement accorder aux utilisateurs le droit de d finir des questions personnalis es Pour autoriser les utilisateurs d finir leurs propres questions s lectionnez Oui Activer la r cup ration de la connexion via C R D termine si un utilisateur est autoris g n rer un challenge dans l authentification au d marrage SafeGuard afin de pouvoir acc der de nouveau son ordinateur avec une proc dure Challenge R ponse Param tre de strat gie Manuel d administration Explication Oui L utilisateur est autoris g n rer un challenge Dans ce cas l utilisateur peut de nouveau acc der son ordinateur avec une proc dure C R en cas d urgence Non L utilisateur n est pas autoris g n rer un challenge Dans ce cas l utilisateur ne peut pas ex cuter une proc dure C R pour acc der de nouveau son ordinateur en cas d urgence Autoriser la connexion automatique vers Windows Permet l utilisateur de se connecter automatiquement Windows apr s s tre authentifi avec la proc dure Challenge R ponse Oui l utilisateur est automatiquement connect Windows Non l cran de connexion Windo
496. teurs 91 14 8 D sactivation du d ploiement de strat gies 91 14 9 R gles d attribution et d analyse des strat gies 92 15 Utilisation des packages de configuration 97 15 1 Cr ation d un package de configuration pour les ordinateurs administr s 98 15 2 Cr ation d un package de configuration pour les ordinateurs non AAMS ES 2 25 ren M A A mt mt in nn Mi 99 15 3 Cr ation d un package de configuration pour les Macs 100 16 Authentification au d marrage de SafeGuard 101 16 1 Connexions nier nd Te deals ete da ane dti arrete d sire tee an 101 16 2 Enregistrement d utilisateurs SafeGuard Enterprise suppl mentaires 103 16 3 Types d utilisateur usine 103 16 4 Configuration de l authentification au d marrage SafeGuard 104 16 5 Raccourcis clavier pris en charge dans l authentification au d marrage SAleQUAr rt nd Te Da de a da Rad ae ee a 109 16 6 Authentification au d marrage SafeGuard d sactiv e et Lenovo Rescue and ROCOVET Y ena EERE EEE E a E NR 111 17 Acc s administratif aux ordinateurs d extr mit Windows 112 18 Listes de comptes de service pour la connexion Windows 113 18 1 Cr ation de listes de comptes de service et ajout d utilisateurs 114 18 2 Informations suppl mentaires pour la saisie de noms d utilisateur et de d MAINEE ss re ele lee a E ne me ec R e a aaraa a dt he An 114 18 3 Modification et suppression des listes de compte
497. teurs peuvent se connecter de diff rentes mani res Par exemple a utilisateur test domaine monentreprise ou a utilisateur test domaine monentreprise com tant donn que les sp cifications de domaine dans les listes de comptes de service ne sont pas automatiquement r solues trois m thodes possibles servant indiquer correctement le domaine sont disponibles m Vous savez exactement comment l utilisateur va se connecter et saisir le domaine en cons quence a Vous cr ez plusieurs entr es de liste de comptes de service a Vous utilisez les caract res g n riques pour couvrir l ensemble des cas utilisateur test domaine monentreprise Remarque afin d viter les probl mes li s au fait que Windows peut utiliser des noms tronqu s et non la m me s quence de caract res nous vous recommandons de saisir le NomComplet et le nom NetBIOS voire d utiliser des caract res g n riques Restrictions Un ast risque ne peut remplacer que le premier signe le dernier signe ou tre le seul signe autoris Voici quelques exemples de cha nes valides et non valides concernant l utilisation des ast risques k OX Exemples de cha nes valides admin strateur minis Exemple de cha nes non valides Admin trateur Ad minst En outre les restrictions suivantes s appliquent a Le caract re n est pas autoris dans les noms de connexion utilisateur Les caract res
498. thentification Utilisateurs d ordinateurs d extr mit administr s Responsables de la s curit de SafeGuard Management Center 1 Initialisez les tokens vides Retrouvez plus d informations la section Initialisation d un token la page 222 2 Installez le middleware Retrouvez plus d informations la section Installation du middleware la page 222 3 Activez le middleware Retrouvez plus d informations la section Activation du middleware la page 222 4 G n rez des tokens pour les utilisateurs et les responsables de la s curit Retrouvez plus d informations la section G n ration d un token la page 223 5 Configurez le mode de connexion Retrouvez plus d informations la section Configuration du mode de connexion la page 225 6 Configurez d autres param tres de token comme par exemple les r gles de syntaxe des codes confidentiels Retrouvez plus d informations la section Gestion des codes confidentiels la page 229 et la section Gestion des tokens et des cartes puce la page 230 7 Attribuez des certificats et des cl s aux tokens utilisateurs Retrouvez plus d informations la section Attribution de certificats la page 226 Vous pouvez galement utiliser des tokens dont les donn es proviennent d une application diff rente pour l authentification condition qu ils disposent de suffisamment d espace de stockage pour les certificats et les informations de connexion Po
499. tiers 1 Dans la zone de navigation Strat gies cr ez une nouvelle strat gie du type Param tres g n raux ou s lectionnez en une Sous Chiffrement de fichiers cliquez sur le bouton d roulant du champ P riph riques ignor s Dans la zone de liste de l diteur a S lectionnez R seau si vous ne voulez pas chiffrer les donn es sur le r seau b Saisissez les noms de p riph riques requis pour exclure des p riph riques donn s du chiffrement Ceci peut tre utile lorsque vous avez besoin d exclure les syst mes des fournisseurs tiers Remarque vous pouvez afficher les noms des p riph riques en cours d utilisation dans le syst me l aide d outils tiers par exemple Device Tree d OSR SafeGuard Enterprise consigne dans le journal tous les p riph riques auxquels il se connecte et vous pouvez afficher une liste des p riph riques connect s et ignor s l aide des cl s de registre Retrouvez plus d informations la section Affichage des p riph riques ignor s et connect s pour la configuration du Chiffrement de fichiers la page 192 Vous pouvez exclure des lecteurs de disque r seau individuels du chiffrement en cr ant une r gle de Chiffrement de fichiers dans une strat gie Chiffrement de fichiers et en param trant le Mode de chiffrement sur Ignorer Vous pouvez uniquement appliquer ce param tre aux lecteurs administr s par Windows et pas aux volumes Mac OS X 191 SafeGuard Enterprise 22241
500. tification au d marrage Retrouvez plus d informations la section Utilisateurs de l authentification au d marrage pour connexion l authentification au d marrage SafeGuard la page 118 16 4 Configuration de l authentification au d marrage 104 SafeGuard La bo te de dialogue de l authentification au d marrage SafeGuard comporte les composants suivants mage de connexion a Texte des bo tes de dialogue Langue de la disposition du clavier SafeGuard Logon O Nom d utilisateur john Mot de passe EEE TEET EEE Domaine my_company z SOPHOS ok R cup ration Arr ter Options gt gt Manuel d administration Vous pouvez modifier l apparence de la bo te de dialogue de l authentification au d marrage SafeGuard selon vos pr f rences l aide des param tres de strat gie de SafeGuard Management Center 16 4 1 Image d arri re plan et de connexion Par d faut les images d arri re plan et de connexion qui s affichent dans l authentification au d marrage SafeGuard sont con ues selon SafeGuard Vous pouvez changer ces images pour afficher par exemple un logo d entreprise Les images d arri re plan et de connexion sont d finies dans une strat gie du type Param tres g n raux Utilis es dans SafeGuard Enterprise les images d arri re plan et de connexion doivent respecter certaines conditions Image d arri re plan Taille de fichier maximale pour toutes
501. tification au d marrage Indique les lecteurs non chiffr s de l ordinateur Indique si l ordinateur est un ordinateur d extr mit SafeGuard Enterprise natif un ordinateur d extr mit BitLocker avec Challenge R ponse SafeGuard un ordinateur d extr mit BitLocker avec m canisme de r cup ration natif un ordinateur d extr mit FileVault 2 ou un ordinateur d extr mit avec un lecteur de disque dur conforme la norme d auto chiffrement Opal Authentification au d marrage POA veil par appel r seau Indique si l authentification au d marrage SafeGuard est activ e pour l ordinateur Indique si l veil par appel r seau est activ pour l ordinateur Date de modification Actualisation demand e Indique la date laquelle les donn es d inventaire ont chang en raison d une demande d actualisation de l inventaire ou de l envoi de l ordinateur de nouvelles donn es d inventaire Indique la date de la derni re demande d actualisation La valeur affich e dans ce champ sera supprim e une fois la demande trait e par l ordinateur DSN parent Indique le nom distinctif de l objet conteneur auquel l ordinateur est subordonn Cette colonne ne s affiche que si le champ Sous conteneurs inclus a t activ dans la zone Filtre Certificat d entreprise actuel Indique si l ordinateur utilise le certificat d entreprise actuel 32 7 Onglet Lecteurs L onglet Lecteurs indique les donn es d inven
502. tilisateur saisi comme propri taire ne peut pas ajouter d autres utilisateurs l AUM L option permettant un propri taire d ajouter d autres utilisateurs est d sactiv e Propri taire param tre par d faut Remarque un responsable de la s curit peut toujours ajouter des utilisateurs dans SafeGuard Management Center Tout le monde L ve la restriction selon laquelle les utilisateurs ne peuvent tre ajout s que par le propri taire Remarque pour les ordinateurs d extr mit sur lesquels le module Protection des p riph riques n est pas install le param tre Autoriser l enregistrement de nouveaux utilisateurs SGN pour doit tre d fini sur Tout le monde s il est possible d ajouter plusieurs utilisateurs l Attribution utilisateur machine avec acc s leur jeu de cl s Autrement les utilisateurs peuvent uniquement tre ajout s dans SafeGuard Management Center Ce param tre est uniquement valu sur les ordinateurs d extr mit administr s Retrouvez plus d informations la section Les nouveaux utilisateurs de SafeGuard Enterprise Data Exchange ne re oivent pas de certificat suite la connexion aux clients SafeGuard Enterprise Data Exchange Activer l enregistrement des utilisateurs Windows de SGN Si vous s lectionnez Oui les utilisateurs Windows de SGN peuvent tre enregistr s sur l ordinateur d extr mit Un utilisateur Windows de SGN n est pas ajout l authentification au d marrage SafeGua
503. tion des certificats g n r s par token cryptographique a Passage de certificats g n r s automatiquement des certificats g n r s par token 227 SafeGuard Enterprise 27 1 4 228 a Passage d une authentification par nom utilisateur mot de passe une authentification par token cryptographique Kerberos Conditions pr alables a Le nouveau token a t g n r Seul un certificat est attribu l utilisateur a Vous avez besoin des droits d Acc s complet pour l utilisateur correspondant Pour changer le certificat d un utilisateur pour la connexion par token 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Connectez le token dans l interface USB SafeGuard Enterprise lit le token 3 S lectionnez l utilisateur dont vous voulez changer le certificat et ouvrez l onglet Certificat dans la zone de travail droite Dans la barre d outils cliquez sur l ic ne appropri e pour l action que vous voulez ex cuter S lectionnez le certificat concern et saisissez le code confidentiel du token Cliquez sur OK Fournissez le nouveau token l utilisateur N o on 8 Le certificat est attribu l utilisateur sous la forme d un certificat de veille Ceci est indiqu par une coche dans la colonne Veille de l onglet Certificats de l utilisateur Apr s la synchronisation entre l ordinateur d extr mit et le serveur SafeGuard Enterprise la bo te de dialogue d t
504. tons suivants apparaissent Bouton Description Cliquez sur ce bouton pour cr er une nouvelle t che Cliquez sur ce bouton pour supprimer une t che s lectionn e Propri t s Cliquez sur ce bouton pour afficher la bo te de dialogue Propri t s de lt nom de t che gt d une t che s lectionn e Dans cette bo te de dialogue vous pouvez modifier la t che ou importer exporter et modifier des scripts Cliquez sur ce bouton pour rafra chir la liste des t ches dans la bo te de dialogue Planificateur de t ches Si un autre utilisateur a entre temps ajout ou supprim des t ches la liste est mise jour Tous les serveurs utilisent l heure courante du serveur de base de donn es pour d terminer quand d marrer les t ches Ainsi pour une meilleure surveillance des t ches l heure du serveur de base de donn es appara t ici I appara t avec l heure locale de l ordinateur sur lequel fonctionne SafeGuard Management Center 34 3 Modification de t ches Pour modifier des t ches dans le Planificateur de t ches vous avez besoin des droits du responsable de la s curit Utiliser le planificateur de t ches et G rer les t ches 1 Dans la barre de menus de SafeGuard Management Center s lectionnez Outils gt Planificateur de t ches La bo te de dialogue Planificateur de t ches appara t montrant un aper u des t ches planifi es 2 S lectionnez la t che requise et cliquez sur le bouton Propri t s
505. tration Autorisation suppl mentaire refus e 299 SafeGuard Enterprise 300 Cat gorie Administration Identifiant d v nement Description Importation de donn es depuis le r pertoire men e bien Administration Administration Importation de donn es depuis le r pertoire annul e Impossible d importer des donn es depuis le r pertoire Administration Administration Utilisateur cr Utilisateur modifi Administration Administration Utilisateur supprim chec de l application de l utilisateur Administration Administration Impossible de supprimer l utilisateur Machine appliqu e Administration Administration Machine supprim e chec de l application de la machine Administration Administration Administration Administration Administration Administration Administration Administration Administration Impossible de supprimer la machine OU appliqu OU supprim chec de l application de l OU chec de l importation de l OU chec de suppression de l OU Groupe appliqu Groupe modifi Groupe renomm Administration Administration Groupe supprim chec de l application du groupe Administration Administration Impossible de modifier le groupe Impossible de renommer le groupe Cat gorie Administration Identifiant d v nement Manuel d ad
506. tration Identifiant d v nement Manuel d administration Description Impossible de cr er la strat gie Administration Administration Impossible de modifier la strat gie chec d attribution et d activation d une strat gie dans l OU Administration Administration chec de la suppression de la strat gie attribu e de l OU Groupe de strat gies cr Administration Administration Groupe de strat gies modifi Groupe de strat gies supprim Administration Administration Impossible de cr er le groupe de strat gies Impossible de modifier le groupe de strat gies Administration Administration La strat gie suivante a t ajout e au groupe de strat gies La strat gie suivante a t supprim e du groupe de strat gies Administration Administration Administration Administration Administration Administration Administration Administration Administration Administration Administration Impossible d ajouter la strat gie au groupe de strat gies Impossible de supprimer la strat gie du groupe de strat gies v nement enregistr export chec d exportation des v nements enregistr s v nements enregistr s supprim s Impossible de supprimer les v nements enregistr s Le responsable de la s curit autorise le renouvellement du certificat Le responsable de la s curit refuse le renouvellement du certi
507. tri me tentative verrouille l ordinateur D finit le niveau de d tail des messages d chec de connexion Standard affiche une br ve description D taill affiche des informations plus d taill es OPTIONS DE TOKEN Action si l tat de connexion du token est perdu D finit le comportement apr s suppression du token de l ordinateur Les actions possibles sont les suivantes Verrouiller l ordinateur Ouvrir la bo te de dialogue du code confidentiel Aucune action 137 SafeGuard Enterprise 20 3 138 Param tre de strat gie Explication Autoriser le d blocage du token D termine si le token peut tre d bloqu lors de la connexion OPTIONS DE VERROUILLAGE Verrouiller l cran apr s X minutes D termine la dur e apr s laquelle un poste de travail non utilis d inactivit est automatiquement verrouill La valeur par d faut est 0 minutes Le poste de travail ne sera pas verrouill si cette valeur reste inchang e Verrouiller l cran au retrait du D termine si l cran est verrouill lorsqu un token est retir au token cours d une session Verrouiller l cran apr s mise en D termine si l cran est verrouill quand l ordinateur est r activ veille du mode veille Cr ation de listes de codes confidentiels interdits utiliser dans les strat gies Pour les strat gies de type Code confidentiel une liste de codes confidentiels int
508. ttre de lecteur attribu e Si une strat gie de chiffrement existe pour un volume ou un type de volume et si le chiffrement du volume choue l utilisateur n est pas autoris y acc der Les ordinateurs d extr mit peuvent tre teints et red marr s lors du chiffrement d chiffrement a Sile d chiffrement est suivi d une d sinstallation nous conseillons de ne pas suspendre ni de mettre en veille l ordinateur d extr mit lors du d chiffrement Si apr s le chiffrement d un volume une nouvelle strat gie est appliqu e un ordinateur d extr mit qui autorise le d chiffrement les conditions suivantes s appliquent une fois termin le chiffrement bas sur volume l ordinateur d extr mit doit tre red marr au moins une fois avant que le d chiffrement puisse tre lanc Remarque la diff rence du Chiffrement de lecteur BitLocker SafeGuard le chiffrement de volume SafeGuard ne prend pas en charge les disques de tables de partitions GPT L installation sera abandonn e si ce disque est d tect Si un disque GPT est ajout au syst me ult rieurement les volumes pr sents sur ce disque seront chiffr s Veuillez noter que les outils de r cup ration SafeGuard comme par exemple BE_Restore exe et recoverkeys exe ne peuvent pas g rer ces volumes Sophos d conseille vivement de chiffrer les disques GPT Pour d chiffrer les volumes accidentellement chiffr s veuillez changer les strat gies SGN e
509. ualifi s Applications ignor es Pour le chiffrement bas sur fichier par File Encryption et SafeGuard Data Exchange vous pouvez indiquer des applications comme ignor es pour les exempter du chiffrement d chiffrement des fichiers transparents Par exemple si vous d finissez un programme de sauvegarde comme une application ignor e les donn es chiffr es sauvegard es par le programme restent chiffr es Saisissez les applications que vous voulez d finir comme ignor es dans la zone de liste d dition de ce champ Les applications doivent tre saisies comme des chemins pleinement qualifi s P riph riques ignor s Pour le chiffrement bas sur fichier par File Encryption et SafeGuard Data Exchange vous pouvez exclure des p riph riques entiers par exemple des disques du chiffrement bas sur fichier Dans la zone de liste d dition s lectionnez R seau pour s lectionner un p riph rique pr d fini ou saisissez les noms de p riph riques requis pour exclure des p riph riques donn es du chiffrement Manuel d administration Param tre de strat gie Explication Activer le chiffrement Pour le chiffrement bas sur fichier par File Encryption et permanent SafeGuard Data Exchange vous pouvez configurer le chiffrement permanent Avec le chiffrement permanent les copies des fichiers chiffr s seront chiffr es m me lorsqu elles sont enregistr es dans un emplacement non couvert par une r gle de chi
510. uard Enterprise offre le chiffrement de fichiers des donn es stock es dans le Cloud Cela ne change pas la fa on dont les utilisateurs exploitent les donn es stock es dans le Cloud Les utilisateurs utilisent toujours les m mes applications de synchronisation sp cifiques aux fournisseurs pour envoyer des donn es au Cloud ou en recevoir depuis celui ci Le but de Cloud Storage est de s assurer que les copies locales des donn es stock es dans le Cloud sont chiffr es de mani re transparente et qu elles seront donc toujours stock es dans le Cloud sous une forme chiffr e Dans SafeGuard Management Center cr ez des D finitions Cloud Storage CSD Cloud Storage Definitions et utilisez les dans les strat gies Protection des p riph riques Les d finitions Cloud Storage pr d finies de diff rents fournisseurs de stockage dans le Cloud sont disponibles Par exemple Dropbox ou Egnyte Apr s attribution d une strat gie Cloud Storage aux ordinateurs d extr mit les fichiers pr sents dans les emplacements couverts par la strat gie sont chiffr s de mani re transparente sans interaction avec l utilisateur a Les fichiers chiffr s seront synchronis s dans le Cloud a Les fichiers chiffr s re us du Cloud peuvent comme d habitude tre modifi s par les applications Pour acc der aux fichiers chiffr s Cloud Storage sur les ordinateurs d extr mit sans Cloud Storage de SafeGuard Enterprise SafeGuard Portable peut tre uti
511. ue le support a r initialis au niveau de Windows L utilisateur doit ensuite modifier ce mot de passe imm diatement en choisissant une valeur connue de lui seul Un nouveau certificat d utilisateur est cr en fonction du nouveau choix de mot de passe Windows L utilisateur peut donc se reconnecter l ordinateur ainsi qu l authentification au d marrage SafeGuard l aide du nouveau mot de passe Remarque Cl s pour SafeGuard Data Exchange Lorsqu un mot de passe est r initialis et qu un nouveau certificat est cr les cl s locales pr c demment cr es pour SafeGuard Data Exchange peuvent tre encore utilis es si l ordinateur d extr mit est membre d un domaine Si l ordinateur d extr mit est membre d un groupe de travail l utilisateur doit se rappeler de la phrase secr te SafeGuard Data Exchange pour r activer ces cl s locales Le cache local doit tre r par Le cache local stocke toutes les cl s et strat gies ainsi que les certificats utilisateur et les fichiers d audit Lorsque le cache local est corrompu la r cup ration de connexion est d sactiv e par d faut c est dire que sa restauration s effectue automatiquement partir de la sauvegarde Aucune proc dure Challenge R ponse n est donc requise pour r parer le cache local En revanche la r cup ration de connexion peut tre activ e par strat gie si le cache local doit effectivement tre r par avec une proc dure Challenge R ponse D
512. uer des cl s En plus vous avez besoin des droits d Acc s complet pour les objets en question Pour remplacer des cl s personnelles actives existantes vous avez besoin du droit G rer les cl s personnelles 1 Dans SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la zone de navigation cliquez avec le bouton droit de la souris sur le n ud pour lequel vous voulez cr er des cl s personnelles un n ud de domaine le n ud Enregistr automatiquement la racine ou dans les domaines ou a un n ud Unit Organisationnelle 3 Dans le menu contextuel s lectionnez Cr er des cl s personnelles pour les utilisateurs 4 Dans la bo te de dialogue Cr er des cl s personnelles pour les utilisateurs a Saisissez une description pour les cl s personnelles b Pour cacher les cl s personnelles dans les jeux de cl s des utilisateurs s lectionnez Masquer la cl c Pour remplacer les cl s personnelles actives existantes par les nouvelles s lectionnez Remplacer les cl s personnelles actives existantes 5 Cliquez sur OK Les cl s personnelles sont cr es comme pour tous les utilisateurs du n ud s lectionn Dans l ongletCl les cl s apparaissent comme des Cl s personnelles actives pour les utilisateurs Si les utilisateurs avaient d j des cl s personnelles actives et si vous avez s lectionn Remplacer les cl s personnelles actives existantes les cl s existantes sont r trog
513. uez sur OK L utilisateur est d sormais promu et appara t dans la zone Responsables de la s curit avec son nom d utilisateur Leurs propri t s peuvent tre affich es en s lectionnant le responsable concern dans la fen tre de navigation La cl priv e de l utilisateur est stock e dans la base de donn es et l option Aucun token est activ e L option Facultatif est activ e si la cl priv e de l utilisateur est sur le token ou sur la carte puce Si n cessaire vous pouvez faire glisser le responsable de la s curit la position requise dans l arborescence Responsables de la s curit LLILLS 11 12 LES Manuel d administration Le responsable de la s curit peut se connecter SafeGuard Management Center avec le nom affich Promotion d un responsable de la s curit au rang de responsable principal de La s curit Condition pr alable pour promouvoir un responsable de la s curit vous devez poss der le droit d affichage et de modification de responsables de la s curit 1 Dans SafeGuard Management Center s lectionnez Responsables de la s curit 2 Dans la fen tre de navigation cliquez avec le bouton droit sur le responsable de la s curit promouvoir et s lectionnez Promouvoir au rang de responsable principal de la s curit 8 Sile responsable promu poss de des enfants vous tes invit s lectionner un nouveau n ud parent pour les enfants Le responsable de la s cur
514. uis l Active Directory s il n existe pas encore dans la base de donn es SafeGuard Enterprise Des droits d Acc s complet au nouveau domaine seront accord s automatiquement vous et votre responsable de la s curit Si vous s lectionnez un sous conteneur pour la synchronisation celle ci doit tre effectu e jusqu la racine Dans l arborescence de synchronisation tous les conteneurs correspondants sont s lectionn s automatiquement m me s il y a des conteneurs au dessus du sous conteneur qui sont en Lecture seule ou Refus s en fonction de vos droits d acc s Si vous dess lectionnez un sous conteneur vous allez galement devoir en fonction de vos droits d acc s dess lectionner les conteneurs jusqu la racine Si un groupe avec un acc s en Lecture seule ou Refus est inclus dans un processus de synchronisation voici ce qui se passe Les appartenances du groupe ne sont pas mises jour a Sile groupe a t supprim dans l Active Directory il ne sera pourtant pas supprim de la base de donn es SafeGuard Enterprise Si par contre le groupe a t d plac dans l Active Directory il sera d plac dans la structure SafeGuard Enterprise m me dans un conteneur pour lequel vous n avez pas les droits d Acc s complet Si un conteneur avec un acc s en Lecture seule ou Refus est inclus la synchronisation parce qu il se trouve la racine et s il contient un groupe avec Acc s complet ce groupe s
515. uite La fonction ou le mode n est pas pris en charge chec de la d sinstallation Une erreur d exception s est produite Le secteur MBR du disque dur n a pas pu tre remplac Arr t du service Planificateur de t ches en raison d une exception Succ s de l ex cution de la t che du Planificateur de t ches chec de la t che du planificateur 313 SafeGuard Enterprise 314 Identifiant de l erreur Affichage La t che du Planificateur de t ches a t cr e ou modifi e La t che du Planificateur de t ches a t supprim e Inconnu Processus termin Fichier non v rifi Strat gie non valide Impossible d ouvrir la commande M moire insuffisante chec g n ral de la communication de traitement Une ressource est temporairement indisponible Cet tat est temporaire Des tentatives d acc s ult rieures peuvent fonctionner normalement chec g n ral de communication Valeur renvoy e inattendue Aucun lecteur de carte n est connect D passement de m moire tampon La carte n est pas aliment e Un d passement de d lai s est produit Type de carte incorrect La fonctionnalit demand e n est pas prise en charge l heure actuelle par ce SE dans cette situation etc Pilote non valide Ce logiciel ne peut pas utiliser le microprogramme du mat riel connect
516. uite la corruption du cache local Ceci signifie que le cache local sera restaur automatiquement partir de sa sauvegarde Aucune proc dure Challenge R ponse n est donc requise pour r parer le cache local Windows Si le cache local Windows doit tre r par explicitement via une proc dure Challenge R ponse d finissez ce champ sur Oui Local Self Help Activer Local Self Help D termine si les utilisateurs sont autoris s se connecter leurs ordinateurs avec Local Self Help en cas d oubli de leur mot de passe Avec Local Self Help l utilisateur peut se connecter en r pondant un nombre sp cifique de questions pr d finies dans l authentification au d marrage SafeGuard Il peut de nouveau acc der son ordinateur m me si aucune connexion t l phonique ou Internet n est disponible Remarque la connexion automatique Windows doit tre activ e pour que l utilisateur puisse utiliser Local Self Help Dans le cas contraire Local Self Help ne fonctionne pas Longueur minimum des r ponses Texte de bienvenue sous Windows D finit la longueur minimale de caract res pour les r ponses Local Self Help Indique le texte personnalis afficher dans la premi re bo te de dialogue au d marrage de l assistant de Local Self Help sur l ordinateur d extr mit Avant de pouvoir indiquer le texte ici veuillez le saisir et l enregistrer dans la zone de navigation Strat gies sous Textes L utilisa
517. ul e par l utilisateur 805306376 Le token n est pas attribu un utilisateur sp cifique 805306377 Le token est attribu plusieurs utilisateurs 805306378 Le token est introuvable dans la base de donn es 805306379 Le token a t supprim et retir de la base de donn es 805306380 Impossible d identifier le token dans la base de donn es 321 SafeGuard Enterprise 322 Identifiant de l erreur 805306381 Affichage La strat gie est attribu e un groupe de strat gies Supprimez l attribution avant de supprimer la strat gie 805306382 La strat gie est attribu e une OU Supprimez d abord l attribution 805306383 Le certificat n est pas valide pour ce responsable 805306384 Le certificat a expir pour ce responsable 805306385 Le responsable est introuvable dans la base de donn es 805306386 Le responsable s lectionn n est pas unique 805306387 Le responsable est bloqu et ne peut pas tre authentifi 805306388 Le responsable n est plus ou n est pas encore valide 805306389 Impossible d autoriser le responsable requ te en dehors des heures de bureau 805306390 Une partie responsable ne peut pas se supprimer 805306391 Le responsable principal de la s curit ne peut pas tre supprim car un second responsable principal de la s curit est n cessaire pour une authentification suppl me
518. un commentaire et cliquez sur Cr er 4 Lorsque vous y tes invit veuillez confirmer que vous tes bien conscient que ce changement ne peut pas tre annul et que tous les packages de configuration cr s apr s la mise jour de ce certificat d entreprise ont besoin que ce CCO soit inclus pour tre utilis s sur les ordinateurs d extr mit d j install s 5 Lorsque vous y tes invit veuillez confirmer que la mise jour a r ussi et qu un CCO inclure dans tous les packages de configuration a t cr Cliquez sur OK 6 Dans le menu Outils cliquez sur Outil de package de configuration 7 S lectionnez le type de package de configuration des ordinateurs d extr mit Packages du client administr ou Packages du client autonome 8 Cliquez sur Ajouter un package de configuration et saisissez un nom pour le package de configuration 9 S lectionnez le CCO que vous aviez cr auparavant 10 Proc dez toutes les autres s lections de votre choix 11 Indiquez un chemin de sortie pour le package de configuration MSI 12 Cliquez sur Cr er un package de configuration Le package de configuration MSI a t cr dans le r pertoire sp cifi 13 Red marrez tous les serveurs base de donn es SafeGuard Enterprise 14 Distribuez et d ployez ce package aux ordinateurs d extr mit prot g s par SafeGuard Enterprise Tous les certificats g n r s par SafeGuard Enterprise sont sign s avec
519. un nom et un emplacement de fichier puis cliquez sur OK Ouverture d un fichier de sauvegarde 1 Dans SafeGuard Management Center cliquez sur Rapports 2 Dans la barre de menus de SafeGuard Management Center s lectionnez Actions gt Ouvrir le fichier de sauvegarde La fen tre Ouvrir une sauvegarde d v nement appara t 3 S lectionnez le fichier de sauvegarde ouvrir et cliquez sur Ouvrir scale 33 13 1 Manuel d administration Le fichier de sauvegarde et les v nements apparaissent dans l Observateur d v nements de SafeGuard Management Center Pour revenir une vue standard de l Observateur d v nements cliquez de nouveau sur l ic ne Ouvrir le fichier de sauvegarde dans la barre d outils Nettoyage d v nement planifi par script Remarque SafeGuard Management Center contient le Planificateur de t ches pour cr er et planifier des t ches p riodiques bas es sur des scripts Les t ches sont automatiquement ex cut es par un service sur le serveur SafeGuard Enterprise pour ex cuter les scripts sp cifi es Quatre scripts SQL sont disponibles dans le r pertoire tools du produit SafeGuard Enterprise livr pour le nettoyage automatique et efficace du tableau EVENT spShrinkEventTable install sql ScheduledShrinkEventTable install sql spShrinkEventTable uninstall sql ScheduledShrinkEventTable uninstall sql Les deux scripts spShrinkEventTable_ uninstall sqlet ScheduledShrinkEven
520. un texte d v nement description de l v nement Cat gorie Classification de l v nement selon la source Chiffrement Authentification Syst me par exemple Application Affiche la zone logicielle d o l v nement provient SGMAuth SGBaseENc SGMAS par exemple Ordinateur Affiche le nom de l ordinateur sur lequel l v nement journalis s est produit Domaine de l ordinateur Affiche le domaine de l ordinateur sur lequel l v nement journalis s est produit Utilisateur Affiche l utilisateur connect lorsque l v nement s est produit Domaine utilisateur Affiche le domaine de l utilisateur connect lorsque l v nement s est produit Heure de connexion Affiche la date et l heure syst me auxquelles l v nement a t journalis sur l ordinateur d extr mit Cliquez sur les en t tes de colonnes pour trier les v nements par Niveau Cat gorie etc Le menu contextuel des colonnes propose galement de nombreuses fonctions de tri de regroupement et de personnalisation de la Visionneuse des v nements Cliquez deux fois sur une entr e de l Observateur d v nements pour afficher des d tails sur l v nement journalis 33 5 1 Application de filtres dans l Observateur d v nements SafeGuard Enterprise SafeGuard Management Center propose des fonctions de filtrage compl tes Gr ce ces fonctions vous pouvez r cup rer rapidement les v nements appropri s parmi ceux affich
521. ur a L emplacement de la KSA principale et de sauvegarde dans les clusters et les secteurs en relation au d but de la partition a La taille de la KSA M me si le secteur de d marrage de SafeGuard Enterprise est endommag les volumes chiffr s sont inaccessibles L utilitaire BE_Restore peut restaurer le secteur de d marrage endommag Retrouvez plus d informations dans le Guide des outils de SafeGuard Enterprise 29 5 4 2 20 918 29 5 5 1 29 56 29 5 Manuel d administration Secteur de d marrage original Le secteur de d marrage original est celui qui est ex cut apr s le d chiffrement de la DEK Data Encryption Key cl de chiffrement de donn es et apr s que l algorithme et la cl ont t charg s dans le pilote du filtre BE Si ce secteur de d marrage est d fectueux Windows n a pas acc s au volume Normalement le message d erreur habituel Le disque n est pas format Voulez vous le formater maintenant Oui Non est affich SafeGuard Enterprise charge n anmoins la DEK pour ce volume L outil utilis pour r parer le secteur de d marrage doit tre compatible avec le filtre de volume sup rieur de SafeGuard Enterprise Probl mes de d marrage de Windows Sa conception cryptographique de la cl sp cifique du volume secteur de d marrage zone de stockage des cl s KSA conf re SafeGuard Enterprise une tr s grande souplesse Vous pouvez sauver un syst me endommag en d marrant un
522. ur ce faire l utilisateur doit au pr alable tre autoris cr er des cl s locales param tre par d faut dans SafeGuard Enterprise Configuration des applications fiables et ignor es pour SafeGuard Data Exchange Vous pouvez d finir des applications comme s curis es pour leur accorder l acc s aux fichiers chiffr s Ceci s av re utile par exemple pour activer le logiciel antivirus afin de contr ler les fichiers chiffr s Vous pouvez d finir des applications comme ignor es pour les exempter du chiffrement d chiffrement transparent des fichiers Par exemple si vous d finissez un programme de sauvegarde comme une application ignor e les donn es chiffr es sauvegard es par le programme restent chiffr es Remarque les processus enfants ne seront pas fiables ignor s 1 Dans la zone de navigation Strat gies cr ez une nouvelle strat gie du type Param tres g n raux ou s lectionnez en une 201 SafeGuard Enterprise 24 6 24 6 1 202 2 Sous Chiffrement de fichiers cliquez sur le bouton d roulant du champ Applications fiables ou Application ignor es 3 Dans la zone de liste de l diteur saisissez les applications d finir comme s curis es ignor es a Vous pouvez d finir plusieurs applications s curis es ignor es dans une strat gie Chaque ligne de la zone de liste de l diteur d finir une application Les noms des applications doivent se terminer par exe a Les noms des ap
523. ur ces proc dures Dans l Observateur d v nements Windows un code d erreur s affiche la place d un texte descriptif de l v nement Remarque une condition pr alable l affichage des v nements SafeGuard Enterprise dans l Observateur d v nements Windows consiste avoir install un package de configuration client sur l ordinateur d extr mit Remarque ce chapitre d crit les processus d affichage de gestion et d analyse des journaux d v nements dans SafeGuard Management Center Retrouvez plus d informations sur l Observateur d v nements Windows dans votre documentation Microsoft Base de donn es SafeGuard Enterprise Les v nements pour lesquels vous d finissez la base de donn es SafeGuard Enterprise comme destination dans la strat gie de journalisation sont collect s dans un fichier journal local dans le cache local de l ordinateur d extr mit concern dans le r pertoire suivant auditing SGMTranslog Les fichiers journaux sont soumis un m canisme de transport qui les transf re dans la base de donn es via le serveur SafeGuard Enterprise Par d faut le fichier est soumis d s que le m canisme de transport a tabli une connexion avec le serveur Pour limiter la taille d un fichier journal vous pouvez d finir un nombre maximal d entr es du journal dans une strat gie du type Param tres g n raux Le fichier journal est soumis dans la file d attente de transport du serveur SafeGuard Enterprise une
524. ur des donn es incorrecte 536870923 Signature incorrecte 536870924 M canisme de chiffrement appliqu incorrect 317 SafeGuard Enterprise 318 Identifiant de l erreur 536870925 Affichage Cette version n est pas prise en charge 536870926 Erreur de remplissage 536870927 Indicateurs non valides 536870928 Le certificat a expir et n est plus valide 536870929 Heure saisie incorrecte Le certificat n est pas encore valide 536870930 Le certificat a t retir 536870931 La cha ne de certificat est non valide 536870932 Impossible de cr er la cha ne de certificat 536870933 Impossible de contacter CDP 536870934 Un certificat pouvant tre utilis uniquement comme unit de donn e finale a t utilis comme CA ou r ciproquement 536870935 Probl mes de validit de la longueur du certificat dans la cha ne 536870936 Erreur d ouverture d un fichier 536870937 Erreur de lecture d un fichier 536870938 Un ou plusieurs param tres attribu s la fonction sont incorrects 536870939 Le r sultat de la fonction d passe la taille du cache 536870940 Probl me de token et ou de connecteur rompu 536870941 Le token n a pas suffisamment de m moire pour effectuer la fonction demand e 536870942 Le token a t retir du connecteur alors que la fonction tait en cours
525. ur une administration simplifi e des tokens SafeGuard Enterprise propose les fonctions suivantes a Affichage et filtrage des informations du token a Initialisation modification r initialisation et blocage des codes confidentiels a Lecture et suppression des donn es du token a Blocage des tokens Remarque pour g n rer et g rer des tokens ou modifier des donn es sur les tokens g n r s vous avez besoin des droits d Acc s complet pour les utilisateurs concern s La vue Tokens g n r s n affiche que les tokens des utilisateurs pour qui vous avez des droits en Lecture seule ou d Acc s complet 221 SafeGuard Enterprise 27 4 27 4 1 27 4 2 27 4 3 222 Pr paration l utilisation d un token Pour pr parer la prise en charge d un token ou d une carte puce dans SafeGuard Enterprise veuillez Initialiser les tokens vides Installer le middleware Activer le middleware Initialisation d un token Avant qu un token vide non format puisse tre g n r il doit tre pr par pour l utilisation c est dire initialis conform ment aux instructions fournies par son fabricant Lorsqu il est initialis des informations de base par exemple le code confidentiel standard sont crites dessus Cette op ration s effectue avec le logiciel d initialisation du fabricant de tokens Retrouvez plus d informations chez le fabricant de tokens concern Installation du middleware Veu
526. urs Changer de code confidentiel apr s un max de jours L utilisateur doit d finir un nouveau code confidentiel une fois la p riode d finie expir e Si la p riode est d finie sur 999 jours aucun changement de code confidentiel n est requis Avertir d un changement obligatoire avant jours Un message d avertissement s affiche n jours avant l expiration du code confidentiel pour rappeler l utilisateur de changer son code confidentiel dans n jours L utilisateur peut galement le changer imm diatement G N RAL Masquer le code confidentiel dans l authentification au d marrage Indique si les chiffres sont masqu s lors de la saisie des mots de passe Si cette option est activ e vous ne verrez rien s afficher lors de la saisie du code confidentiel l authentification au d marrage En cas contraire les codes confidentiels sont cach s par des ast risques Longueur de l historique du code confidentiel D termine quel moment des codes confidentiels d j utilis s peuvent l tre nouveau Il convient de d finir la longueur d historique avec le param tre Changer de code confidentiel apr s un max de jours Exemple La longueur d historique du code confidentiel pour l utilisateur Bertrand est d finie 4 et le nombre de jours l issue desquels 141 SafeGuard Enterprise Param tre de strat gie Explication l utilisateur doit changer son code confid
527. urs Chemin type C Documents and Settings All Users Documents My Videos R pertoire du syst me de fichiers qui sert de d p t commun pour les cookies Internet Chemin type C Documents and Settings username Cookies lt Favorites gt lt Local Application Data gt Windows Windows R pertoire du syst me de fichiers qui sert de d p t commun pour les l ments pr f r s de l utilisateur Chemin type Documents and Settings username Favorites R pertoire du syst me de fichiers qui sert de d p t de donn es pour les applications locales non itin rantes Chemin type C Documents and Settings username Local Settings Application Data lt Program Data gt lt Program Files gt Windows Windows R pertoire du syst me de fichier contenant les donn es d application de tous les utilisateurs Chemin type C Documents and Settings All Users Application Data Dossier Program Files Chemin type Program Files Pour les syst mes 64 bits celui ci sera tendu en deux r gles une pour les applications 32 bits et une pour les applications 64 bits lt Public Music gt lt Public Pictures gt Windows Windows R pertoire du syst me de fichiers qui sert de d p t commun pour les fichiers musique de tous les utilisateurs Chemin type C Documents and Settings All Users Documents My Music R pertoire du syst me de fichiers qui sert de d p t commun pour les fichiers im
528. urs et des ordinateurs vous avez besoin au moins de droits d acc s en Lecture seule pour l un des objets utilisateur ou ordinateur en question Pour d finir ou changer l attribution vous avez besoin des droits d Acc s complet pour les deux objets en question L affichage AUM montrant les utilisateurs machines disponibles est filtr en fonction de vos droits d acc s Dans l affichage de la grille AUM qui montre les utilisateurs attribu s aux ordinateurs et vice versa les objets pour lesquels vous n avez pas les droits d acc s requis apparaissent pour information mais l attribution ne peut pas tre modifi e Lorsque vous attribuez un utilisateur un ordinateur vous pouvez aussi sp cifier qui peut autoriser d autres utilisateurs se connecter cet ordinateur Sous Type SafeGuard Management Center indique la m thode selon laquelle l utilisateur a t ajout la base de donn es SafeGuard Enterprise Adopt signifie que l utilisateur a t ajout l AUM sur un ordinateur d extr mit Remarque si personne n est attribu dans SafeGuard Management Center et si aucun utilisateur n est sp cifi comme propri taire le premier utilisateur se connecter l ordinateur Manuel d administration apr s l installation de SafeGuard Enterprise est saisi en tant que propri taire Cet utilisateur peut ensuite autoriser d autres utilisateurs se connecter cet ordinateur Retrouvez plus d informations la section Enr
529. us les composants et ordinateurs d extr mit SafeGuard Enterprise ont t mis niveau la version en cours SHA 256 n est pas pris en charge dans les environnements mixtes Par exemple les ordinateurs d extr mit SafeGuard Enterprise 6 sont administr s par SafeGuard Management Center 7 Si vous avez un environnement mixte vous devez effectuer cette t che et ne pas modifier l algorithme sur SHA 256 La modification de l algorithme pour les certificats autosign s s effectue de la mani re suivante a Modification de l algorithme a Cr ation d un ordre de modification du certificat CCO Certificate Change Order a Cr ation d un package de configuration contenant le CCO a Red marrage des serveurs base de donn es SafeGuard Enterprise a Distribution et d ploiement des packages de configuration sur les ordinateurs d extr mit Pour modifier l algorithme pour les certificats autosign s 1 Dans la barre de menus de SafeGuard Management Center s lectionnez Outils gt Options 2 Dans l onglet G n ral sous Certificats s lectionnez l algorithme n cessaire dans Algorithme de hachage pour les certificats g n r s et cliquez sur OK 3 Dans l onglet Certificats sous Demander cliquez sur Mettre jour Dans la bo te de dialogue Mettre jour le certificat d entreprise saisissez un nom de CCO et indiquez un chemin de sauvegarde Saisissez un mot de passe pour le fichier P12 et retapez le En option saisissez
530. us pouvez importer exporter et modifier des scripts Retrouvez plus d informations la section Utilisation de scripts dans le Planificateur de t ches la page 287 S lectionnez le script que vous voulez ex cuter avec la t che et cliquez sur OK Si le script s lectionn est vide le bouton OK dans la bo te de dialogue reste d sactiv e et un avertissement appara t Dans le champ Heure de d but sp cifiez quand la t che doit tre ex cut e sur le serveur s lectionn e L heure de d but affich e est rendue l aide de l heure locale de l ordinateur sur lequel fonctionne SafeGuard Management Center En interne l heure de d but est stock e en temps universel coordonn UTC Coordinated Universal Time Ceci permet l ex cution de t ches au m me moment m me si les serveurs sont dans diff rents fuseaux horaires Tous les serveurs utilisent l heure courante du serveur de base de donn es pour d terminer quand d marrer les t ches Pour permettre une meilleure surveillance des t ches l heure de r f rence de la base de donn es appara t dans la bo te de dialogue Planificateur de t ches Sous P riodicit sp cifiez quelle fr quence la t che doit tre ex cut e sur le serveur s lectionn a Pour ex cuter la t che une fois s lectionnez Une seule fois et sp cifiez la Date requise Pour ex cuter la t che tous les jours s lectionnez Quotidien suivi de Chaque jour y compris le samedi
531. uvable Entr e introuvable Plus de sections Fin du fichier atteinte L l ment sp cifi existe d j Le mot de passe fourni est trop court 315 SafeGuard Enterprise 316 Identifiant de l erreur Affichage Le mot de passe fourni est trop long Un l ment par ex un certificat a expir Le mot de passe n est pas verrouill Chemin introuvable Le r pertoire n est pas vide Aucune donn e suppl mentaire Le disque est plein 30097 Une op ration a t annul e Donn es en lecture seule une op ration d criture a chou 12451840 12451842 La cl n est pas disponible La cl n est pas d finie 12451842 12451843 Acc s refus au support non chiffr Acc s refus au support non chiffr sauf s il est vide 352321637 Le fichier n est pas chiffr 352321638 La cl n est pas disponible 352321639 352321640 352321641 La cl correcte n est pas disponible Erreur de la somme de contr le dans l en t te du fichier Erreur de la fonction CBI 352321642 Nom de fichier non valide 352321643 Erreur de lecture criture du fichier temporaire 352321644 L acc s aux donn es non chiffr es n est pas autoris 352321645 Zone de stockage des cl s KSA satur e 352321646 352321647 Le fichier est d j chiffr avec un autre algorithme Le fi
532. uveaux sujets de question propos de th mes diff rents Vous pouvez ainsi proposer aux utilisateurs un choix de sujets de question qui pourraient leur convenir 1 Dans la zone de navigation Strat gies s lectionnez Questions Local Self Help 2 Cliquez avec le bouton droit de la souris sur Questions Local Self Help puis s lectionnez Nouveau gt Sujet de la question 3 Saisissez un nom pour le sujet de question et cliquez sur OK 4 Dans la zone de navigation Strat gies s lectionnez le nouveau sujet de question sous Questions Local Self Help 5 Cliquez avec le bouton droit de la souris dans la zone d action pour ouvrir le menu contextuel du sujet de question Dans le menu contextuel s lectionnez Ajouter Une nouvelle ligne de question est ajout e 6 Saisissez votre question et appuyez sur Entr e R p tez cette tape pour ajouter d autres questions 7 Pour enregistrer vos modifications cliquez sur l ic ne Enregistrer dans la barre d outils Votre sujet de question est enregistr Il est automatiquement transf r avec la strat gie du type Param tres g n raux activant Local Self Help sur les ordinateurs d extr mit Modification de sujets de question 1 Dans la zone de navigation Strat gies s lectionnez le sujet de question souhait sous Questions Local Self Help 2 Vous pouvez maintenant ajouter modifier ou supprimer des questions a Pour ajouter des questions cliquez avec le bouton droit de l
533. uvent tre administr s normalement Script pr d fini pour la suppression automatique des journaux d v nements Les v nements journalis s dans la base de donn es SafeGuard Enterprise sont stock s dans le tableau EVENT Retrouvez plus d informations sur la journalisation la section Rapports la page 270 Avec le Planificateur de t ches vous pouvez cr er une t che p riodique pour supprimer automatiquement les journaux d v nements Pour cette t che vous pouvez utiliser le script pr d fini EventLogDeletion vbs Le script supprime les v nements du tableau EVENT Si vous sp cifiez le param tre appropri il d place par ailleurs les v nements dans le tableau de journalisation de sauvegarde EVENT BACKUP en laissant un nombre pr d fini d v nements r cents dans le tableau EVENT Avant que nous n utilisiez le script dans une t che p riodique vous pouvez modifier les param tres suivants Param tre Description maxDuration Avec ce param tre indiquez combien de temps en jours les v nements doivent tre conserv s dans le tableau EVENT Le nombre par d faut est 0 Si ce param tre est d fini sur O il n y a pas de d lai pour les v nements conserv s dans le tableau EVENT maxCount Avec ce param tre indiquez combien d v nements doivent rester dans le tableau EVENT Le nombre par d faut est 5000 Si ce param tre est d fini sur O il n y a pas de limite au nombre d v nements c
534. uvent pas non plus tre d plac s manuellement Lorsque l unit organisationnelle OU est synchronis e avec le contact suivant dans la base de donn es SafeGuard Enterprise l objet est d plac vers l unit organisationnelle respective Autrement il reste sous le r pertoire Enregistr automatiquement de son domaine groupe de travail En tant que responsable de la s curit vous pouvez alors g rer les objets enregistr s automatiquement comme vous le faites habituellement Remarque les utilisateurs locaux ne peuvent pas se connecter SafeGuard Enterprise avec un mot de passe vide Les utilisateurs locaux qui se connectent SafeGuard Enterprise avec un mot de passe vide restent des invit s et ne sont pas enregistr s dans la base de donn es Si l ouverture de session automatique Windows est activ e pour ces utilisateurs la connexion est refus e Pour se connecter SafeGuard Enterprise un nouveau mot de passe doit tre cr et l ouverture de session automatique Windows doit tre d sactiv e dans le registre de l ordinateur d extr mit Remarque les comptes Microsoft sont toujours consid r s comme des utilisateurs invit s de SafeGuard Enterprise Exemples d enregistrement automatique Vous trouverez ci apr s deux exemples de comportement d objets enregistr s automatiquement Utilisateurs ordinateurs ne faisant pas partie d Active Directory Dans une entreprise tous les objets utilisateur ou ordinateur ne fo
535. vent uniquement tre utilis s pour le Chiffrement int gral du disque SafeGuard avec authentification au d marrage SafeGuard Les clients virtuels sont des fichiers de cl s sp cifiques pouvant tre utilis s pour la r cup ration lors d une proc dure Challenge R ponse lorsque les informations requises sur l utilisateur ne sont pas disponibles et lorsque la proc dure Challenge R ponse n est g n ralement pas prise en charge par exemple lorsque l authentification au d marrage SafeGuard est corrompue Pour activer une proc dure Challenge R ponse dans cette situation de r cup ration complexe des fichiers sp cifiques appel s clients virtuels peuvent tre cr s Ils doivent tre distribu s l utilisateur avant que la session Challenge R ponse ne soit ex cut e l aide de clients virtuels la proc dure Challenge R ponse peut tre lanc e avec un outil de r cup ration de cl sur l ordinateur d extr mit Il suffit ensuite l utilisateur d informer le responsable support de la ou des cl s requises et de saisir le code de r ponse afin de pouvoir acc der nouveau aux volumes chiffr s La r cup ration est possible l aide soit d une seule cl soit d un fichier de cl chiffr contenant plusieurs cl s La zone Cl s et certificats de SafeGuard Management Center vous permet d effectuer les t ches suivantes a Cr er et exporter des clients virtuels Cr er et exporter des fichiers de cl s chiffr
536. vent utiliser l option M moriser le param tre et ne plus afficher cette bo te de dialogue pour que leurs choix soient conserv s pour le p riph rique correspondant Dans ce cas la bo te de dialogue ne r appara tra pas pour le p riph rique correspondant Si l utilisateur s lectionne Non dans la bo te de dialogue sur l ordinateur d extr mit aucun chiffrement initial ou transparent n a lieu 20 10 Param tres de machine sp cifiques Param tres de base Param tres de strat gie Explication AUTHENTIFICATION AU D MARRAGE POA Activer l authentification au d marrage D finit si l authentification au d marrage SafeGuard est activ e ou d sactiv e Important pour des raisons de s curit nous vous conseillons fortement de conserver l authentification au d marrage SafeGuard activ e La d sactivation de l authentification au d marrage SafeGuard r duit la s curit du syst me de connexion Windows et accro t le risque d acc s non autoris s aux donn es chiffr es Refuser l acc s en cas d absence de connexion Refuse la connexion l authentification au au serveur jours 0 pas de v rification d marrage SafeGuard si l ordinateur d extr mit n a pas t connect au serveur pendant une p riode sup rieure la p riode d finie VEIL PAR APPEL R SEAU S CURIS WOL Gr ce aux param tres d veil par appel r seau s curis WOL vous pouvez pr parer les ordinateurs d extr mit
537. veur SafeGuard Enterprise sur un ordinateur diff rent la page 37 39 SafeGuard Enterprise 40 9 S curisation des connexions de transport avec SSL g1 Pour renforcer la s curit SafeGuard Enterprise prend en charge le chiffrement des connexions de transport avec SSL entre ses composants La connexion entre le serveur de base de donn es et le serveur Web ainsi que la connexion entre le serveur de base de donn es et l ordinateur sur lequel se trouve SafeGuard Management Center peuvent tre chiffr es avec SSL La connexion entre le serveur SafeGuard Enterprise et l ordinateur administr par SafeGuard Enterprise peut tre prot g e via SSL ou par un chiffrement exclusif SafeGuard Le protocole SSL pr sente l avantage d tre standard et de permettre d tablir une connexion plus rapidement qu en utilisant le chiffrement de transport SafeGuard Mac SSL doit tre utilis pour s curiser la connexion entre le serveur SafeGuard Enterprise Server et les ordinateurs d extr mit Mac Remarque nous vous conseillons vivement d utiliser la communication chiffr e SSL dans ce cas sauf pour des configurations de d monstration ou de test Si pour quelque raison que ce soit vous ne pouvez pas le faire et que le chiffrement SafeGuard est utilis la connexion une instance unique du serveur est limit 1000 clients maximum Avant d activer SSL dans SafeGuard Enterprise il est n cessaire de configurer un environnemen
538. vous disposez de droits d acc s en tant que responsable de la s curit Seul un Responsable principal de la s curit peut effectuer une recherche sur la racine Dans Utilisateurs et ordinateurs vous pouvez rechercher des objets l aide de diff rents filtres Par exemple vous pouvez facilement identifier les doubles qui peuvent avoir t provoqu s par un processus de synchronisation AD avec le filtre Utilisateurs et ordinateurs dupliqu s Ce filtre affiche tous les ordinateurs portant le m me nom dans un domaine et tous les utilisateurs avec le m me nom nom de connexion ou nom de connexion avant 2000 dans un domaine 10 4 Manuel d administration Pour rechercher les objets 1 Dans la zone de navigation de SafeGuard Management Center cliquez sur Utilisateurs et ordinateurs 2 Dans la zone de navigation Utilisateurs et ordinateurs s lectionnez le conteneur requis 3 Dans la barre de menus de SafeGuard Management Center cliquez sur dition gt Rechercher La bo te de dialogue Rechercher des utilisateurs ordinateurs et groupes s affiche 4 S lectionnez le filtre requis dans la liste d roulante Rechercher 5 Dans le champ Dans le conteneur s lectionn appara t Vous pouvez changer ceci en s lectionnant une option diff rente de la liste d roulante 6 Si vous recherchez un objet sp cifique entrez le nom recherch dans le champ Rechercher le nom 7 Avec la case cocher Supprimer les r sultats apr
539. vous pouvez d finir des r gles de chiffrement qui utilisent l espace r serv Cl personnelle au lieu d un nom de cl Pour de telles r gles la cl de chiffrement utiliser est la cl personnelle active de l utilisateur Lorsque vous d finissez une r gle de chiffrement pour que le chemin C lencrypt soit chiffr avec la cl personnelle des cl s diff rentes sont utilis es pour diff rents utilisateurs Vous pouvez ainsi vous assurer que les informations dans les dossiers sp cifiques sont priv es pour les utilisateurs Retrouvez plus d informations la section Chiffrement de fichiers la page 183 Si une File Encryption d finit une cl personnelle utiliser pour le chiffrement des cl s personnelles sont cr es automatiquement pour les utilisateurs correspondants s ils n ont pas encore de cl s personnelles actives En tant que responsable de la s curit avec les droits requis vous pouvez cr er des cl s personnelles pour des utilisateurs s lectionn s ou pour tous les utilisateurs de groupes s lectionn s dans SafeGuard Management Center Vous pouvez aussi r trograder des cl s personnelles actives par exemple lorsqu un utilisateur quitte la soci t Cr ation automatique de cl s personnelles Si une r gle de chiffrement File Encryption d finit une cl personnelle utiliser pour le chiffrement et si l utilisateur n a pas encore de cl personnelle active le serveur SafeGuard Enterprise la cr e automat
540. vous voulez cr er la liste blanche Pour saisir manuellement les p riph riques s lectionnez Cr er manuellement une liste blanche Lorsque vous cliquez sur OK une liste blanche vide s ouvre dans SafeGuard Management Center Dans cette liste blanche vide vous pouvez cr er manuellement des entr es Pour ajouter une nouvelle entr e cliquez sur l ic ne verte Ajouter Ins rer dans la barre d outils de SafeGuard Management Center Remarque pour r cup rer les cha nes correspondantes d un p riph rique dans le Gestionnaire de p riph riques Windows ouvrez la fen tre Propri t s du p riph rique et observez les valeurs des propri t s Num ros d identification du mat riel et Chemin d acc s l instance du p riph rique Seules les interfaces suivantes sont prises en charge USB 1394 PCMCIA et PCI a Gi vous voulez utiliser le r sultat d un contr le des ordinateurs d extr mit par SafeGuard PortAuditor comme source s lectionnez Importer le r sultat de SafeGuard PortAuditor Les r sultats de l analyse SafeGuard PortAuditor doivent tre disponibles fichier XML si vous voulez cr er la liste blanche avec cette source Pour s lectionner le fichier cliquez sur le bouton Retrouvez plus d informations dans le Guide d utilisation de SafeGuard PortAuditor Cliquez sur OK pour afficher le contenu du fichier import dans SafeGuard Management Center La liste blanche appara t sous Listes blanches dan
541. ws appara t Exemple un utilisateur a oubli son mot de passe Apr s la proc dure Challenge R ponse SafeGuard Enterprise connecte l utilisateur l ordinateur sans mot de passe SafeGuard Enterprise Dans ce cas la connexion automatique Windows est d sactiv e et l cran de connexion Windows s affiche L utilisateur ne peut pas se connecter car il ne conna t pas le mot de passe SafeGuard Enterprise mot de passe Windows Le param tre Oui autorise la connexion automatique l utilisateur n est pas bloqu au niveau de l cran de connexion Windows IMAGES Affiche un texte d informations lorsqu une proc dure Challenge R ponse est lanc e dans l authentification au d marrage SafeGuard Par exemple Veuillez contacter le bureau de support en appelant le 03 20 90 27 29 Avant d ins rer un texte ici veuillez le cr er sous forme de fichier texte dans la zone de navigation Strat gies sous Textes Image d arri re plan dans l authentification au d marrage Image d arri re plan dans l authentification au d marrage basse r solution Condition pr alable Les nouvelles images doivent tre enregistr es dans la zone de navigation Strat gies de SafeGuard Management Center sous Images Les images ne sont disponibles qu une fois enregistr es Formats pris en charge BMP PNG JPEG Remplace l arri re plan SafeGuard Enterprise bleu par une image d arri re plan personnalis e Par exemple les cl
542. ws gt Windows R pertoire Windows ou SYSROOT Ceci correspond aux variables d environnement wWindir ou SYSTEMROOT Chemin type C Windows lt Amovibles gt Mac OS X Dirige vers les dossiers racine de tous les supports amovibles Mac OS X lt Racine gt Mac OS X Le dossier racine Mac OS X Il est d conseill d appliquer des strat gies au dossier racine m me si ceci est techniquement possible Remarque veuillez toujours utiliser les barres obliques inverses pour s parer les chemins m me lorsque vous cr er des r gles File Encryption pour Mac OS X De cette mani re vous pouvez appliquer les r gles aux deux syst mes d exploitation Windows et Mac OS X Remarque sur le client Mac OS X les barres obliques inverses vont automatiquement tre transform es en barres obliques afin de correspondre aux conditions requises du syst me d exploitation Mac OS X Toutes erreurs dans les espaces r serv s sont consign es dans le 189 SafeGuard Enterprise 23 2 23 2 1 190 journal Les r gles de chiffrement File Encryption incorrectes sont consign es dans le journal puis ignor es sur l ordinateur d extr mit Exemple d une conversion de chemin Le chemin Windows suivant lt Profil utilisateur gt Dropbox personnel est converti sur le Mac en Utilisateurs lt Nom d utilisateur gt Dropbox personnel Configuration des param tres de chiffrement des fichiers dans les strat gies Param tres g n raux
543. xion appara t 2 Connectez vous en tant que responsable principal de la s curit MSO et saisissez le mot de passe du magasin de certificats sp cifi pendant la configuration initiale Cliquez sur OK SafeGuard Management Center est ouvert Remarque si vous saisissez un mot de passe incorrect un message d erreur s affiche et un d lai sera impos avant la tentative de connexion suivante Le d lai augmente chaque chec de tentative de connexion Les tentatives rat es de connexion sont consign es dans le journal 15 SafeGuard Enterprise 4 3 Connexion en mode mutualis Le processus de connexion SafeGuard Management Center est tendu lorsque plusieurs bases de donn es ont t configur es mode mutualis Retrouvez plus d informations la section Utilisation de plusieurs configurations de bases de donn es la page 32 1 D marrez SafeGuard Management Center partir du dossier des produits dans le menu D marrer La bo te de dialogue S lection d une configuration s affiche 2 S lectionnez la configuration de base de donn es que vous souhaitez utiliser dans la liste d roulante et cliquez sur OK La configuration de base de donn es s lectionn e est reli e SafeGuard Management Center et devient active 8 Pour vous authentifier dans SafeGuard Management Center vous tes invit s lectionner le nom du responsable de la s curit de cette configuration et saisir son mot de passe de m
544. xporter la configuration pour exporter cette configuration vers un fichier 5 Saisissez et confirmez un mot de passe pour le fichier de configuration 6 Saisissez un nom de fichier et sp cifiez un emplacement de stockage 1 1 1 8 Manuel d administration 7 D ployez ce fichier de configuration sur les ordinateurs des responsables de la s curit Fournissez leur le mot de passe de ce fichier et du magasin de certificats n cessaires pour s authentifier dans SafeGuard Management Center 8 Les responsables de la s curit cliquent simplement deux fois sur le fichier de configuration 9 Ils sont invit s saisir le mot de passe du fichier de configuration 10 Pour s authentifier dans SafeGuard Management Center ils sont invit s saisir leur mot de passe de magasin de certificats SafeGuard Management Center d marre avec la configuration import e Cette configuration est la nouvelle configuration par d faut Basculement rapide entre les configurations de base de donn es Pour simplifier la gestion de plusieurs titulaires SafeGuard Management Center permet de basculer rapidement entre les configurations de base de donn es Remarque cette t che est galement disponible en mode Ind pendant 1 Dans SafeGuard Management Center s lectionnez Changer la configuration dans le menu Fichier 2 Dans la liste d roulante s lectionnez la base de donn es laquelle vous souhaitez basculer et cliquez sur OK SafeGua
545. xtes d v nement peuvent tre modifi s et trait s l aide de requ tes SQL par exemple Pour cela vous pouvez g n rer une table contenant tous les mod les de texte des messages d v nement Vous pouvez ensuite personnaliser les mod les en fonction de vos exigences particuli res Pour cr er une table contenant les mod les de texte des identifiants d v nement individuels 1 Dans la barre de menus de SafeGuard Management Center s lectionnez Outils gt Options 281 SafeGuard Enterprise 282 2 Dans la fen tre Options acc dez l onglet Base de donn es 3 Dans la zone Mod les de messages de rapport cliquez sur Cr er une table La table contenant les mod les de l identifiant d v nement est cr e dans la langue syst me en cours et peut tre personnalis e Remarque la table doit tre effac e avant la g n ration des mod les Si les mod les ont t g n r s tel que d crit pour une langue sp cifique et si un utilisateur g n re les mod les d une autre langue les mod les de la premi re langue sont supprim s 34 34 1 Manuel d administration Planification des t ches SafeGuard Management Center contient le Planificateur de t ches pour cr er et planifier des t ches p riodiques bas es sur des scripts Les t ches sont automatiquement ex cut es par un service sur le serveur SafeGuard Enterprise pour ex cuter les scripts sp cifi es Les t ches p riodiques sont par exem
546. ynchronisation AD fonctionne doit soit faire partie du domaine soit pouvoir r soudre le nom DNS vers le contr leur de domaine cible 43 SafeGuard Enterprise 10 1 3 Droits d acc s du responsable de la s curit et importation Active Directory La r gle suivante s applique pour importer la structure organisationnelle depuis un Active Directory pour ce qui concerne les droits d acc s requis Pour la gestion des connexion Active Directory la r gle suivante s applique si vous ajoutez une connexion Active Directory un domaine qui existe d j a Si vous avez les droits d Acc s complet pour le domaine DNS les codes d acc s de connexion au r pertoire sont mises jour a Si vous avez des droits Lecture seule ou moins pour le domaine DNS les codes d acc s ne sont pas mis jour mais vous pouvez utiliser des codes d acc s existants des fins de synchronisation Pour l importation et la synchronisation Active Directory les droits d acc s un conteneur ou un domaine englobent l arborescence de domaine que vous pouvez importer ou synchroniser Si vous n avez pas les droits Acc s complet pour une arborescence secondaire il ne peut pas tre synchronis Si une sous arborescence ne peut pas tre modifi e elle n appara t pas dans l arborescence de synchronisation Quels que soient les droits d acc s aux objets du r pertoire de votre responsable de la s curit vous pouvez importer un nouveau domaine dep
547. ypt 536870988 Le module Cryptoki PKCS 11 n a pas t initialis 536870989 Le module Cryptoki PKCS 11 a t initialis 536870990 Impossible de charger le module Cryptoki PKCS 11 536870991 Certificat introuvable 536870992 Non approuv Identifiant de l erreur 536870993 Manuel d administration Affichage Cl non valide 536870994 La cl ne peut pas tre export e 536870995 L algorithme sp cifi n est pas pris en charge temporairement 536870996 Le mode de d chiffrement saisi n est pas pris en charge 536870997 Erreur de compilation GSENC 536870998 Le format de requ te de donn es n est pas reconnu 536870999 Le certificat n a pas de cl priv e 536871000 Param tre syst me incorrect 536871001 Une op ration est active 536871002 Un certificat de la cha ne n est pas correctement imbriqu 536871003 La CRL n a pas pu tre remplac e 536871004 Le code confidentiel de l utilisateur a d j t initialis 805306369 Vous ne disposez pas des droits permettant d effectuer cette op ration Acc s refus 805306370 Op ration non valide 805306371 Param tre utilis non valide 805306372 L objet existe d j 805306373 L objet est introuvable 805306374 Exception de la base de donn es 805306375 L op ration a t ann
548. z deux fois sur un r le dans la liste R les attribu s avec l action s lectionn e La bo te de dialogue lt Nom du responsable de la s curit gt Propri t s se ferme et les propri t s du r le s affichent Affichage des propri t s du r le Les informations g n rales et de modification relatives au r le s affichent 1 Dans Propri t s s lectionnez l onglet Attribution afin d afficher les responsables de la s curit attribu s ce r le Affichage de l attribution du r le 1 Dans lt Nom du r le gt Propri t s dans l onglet Attribution cliquez deux fois sur un responsable de la s curit La bo te de dialogue Propri t s se ferme et les donn es g n rales et les r les du responsable de la s curit s affichent Modification d un r le Vous pouvez effectuer les tapes suivantes a Modifier l authentification suppl mentaire uniquement a Modifier toutes les propri t s du r le L ic ne en regard des r les affiche l action disponible LEE 1152 Manuel d administration Description Le r le peut tre modifi ajouter supprimer des actions L authentification suppl mentaire peut tre modifi e Les deux types de modification sont disponibles Remarque vous ne pouvez pas modifier les r les pr d finis et les actions qui leur sont attribu es Si une authentification suppl mentaire est activ e celle ci peut tre modifi e pour tous les r les m me les r le
Download Pdf Manuals
Related Search