Manuel de PolicyServer MMC - docs.trendmicro.comdocs.trendmicro.com/all/ent/endenc/v6.0/fr-fr/tmee_6.0_psmmcg.pdf · Manuel de Trend Micro Endpoint Encryption 6.0 PolicyServer MMC

Manuel de PolicyServer MMCChiffrement complet de points finaux pour données entreposées

Trend Micro Incorporated se réserve le droit de modifier sans préavis ce document etles produit décrits dans ce document. Avant d'installer et d'utiliser le produit, veuillezconsulter les fichiers Lisez-moi, les notes de mise à jour et/ou la dernière version de ladocumentation applicable que vous trouverez sur le site Web de Trend Micro à l'adressesuivante :

http://docs.trendmicro.com/fr-fr/enterprise/endpoint-encryption.aspx

Trend Micro, le logo t-ball de Trend Micro, OfficeScan et Control Manager sont desmarques commerciales ou des marques déposées de Trend Micro Incorporated. Tous lesautres noms de produit ou de société peuvent être des marques commerciales ou desmarques déposées de leurs propriétaires respectifs.

Copyright © 2017. Trend Micro Incorporated. Tous droits réservés.

Nº de référence du document : APFM68104/171128

Date de publication : Mai 2017

Protégée par le brevet américain n° : Brevets en instance.


Cette documentation présente les principales fonctionnalités du produit et/ou fournitles instructions d'installation pour votre environnement de production. Lisezattentivement cette documentation avant d'installer ou d'utiliser le produit.

Vous trouverez des informations détaillées sur l’utilisation des fonctionnalitésspécifiques du produit dans l'aide en ligne de Trend Micro et/ou dans la Base deconnaissances de Trend Micro sur le site Web de Trend Micro.

Trend Micro cherche toujours à améliorer sa documentation. Si vous avez des questions,des commentaires ou des suggestions à propos de ce document ou de tout autredocument Trend Micro, veuillez nous contacter à l'adresse [email protected].

Veuillez évaluer cette documentation sur le site Web suivant :

http://www.trendmicro.com/download/documentation/rating.asp

mailto:[email protected]


i

Table des matières

Chapitre 1: Introduction

Chapitre 2: À propos de Trend Micro Endpoint EncryptionFonctionnalités et avantages .......................................................................... 2-3

Nouveautés ...................................................................................................... 2-4

À propos de PolicyServer .............................................................................. 2-6

Consoles d'administration ............................................................................. 2-7Trend Micro Control Manager ............................................................. 2-8À propos de PolicyServer MMC .......................................................... 2-9

Agents Endpoint Encryption ....................................................................... 2-9

Méthodes d'authentification ........................................................................ 2-11ColorCode ............................................................................................. 2-12Authentification de domaine .............................................................. 2-12Mot de passe fixe .................................................................................. 2-13Code confidentiel ................................................................................. 2-14Assistance à distance ............................................................................ 2-14Auto-assistance ..................................................................................... 2-14Carte à puce ........................................................................................... 2-15

Chapitre 3: Prise en main de PolicyServer MMCConnexion à PolicyServer MMC .................................................................. 3-3

Interface PolicyServer MMC ......................................................................... 3-4

Utilisation des groupes et des utilisateurs ................................................... 3-6Définition d'utilisateurs et de groupes ................................................ 3-7Ajouter un groupe supérieur ................................................................. 3-7Ajouter un nouvel utilisateur à un groupe .......................................... 3-9Ajout d'un nouvel utilisateur d'entreprise ......................................... 3-12Ajouter un utilisateur existant à un groupe ...................................... 3-14

Manuel de Trend Micro Endpoint Encryption 6.0 PolicyServer MMC

ii

Définition des contrôles de stratégie ......................................................... 3-16Indicateurs visuels de stratégies ......................................................... 3-17Champs et boutons de stratégie ......................................................... 3-17Modification de stratégies ................................................................... 3-18

Désactivation des agents .............................................................................. 3-20

Synchronisation d'Active Directory ........................................................... 3-22Présentation d'Active Directory ......................................................... 3-22Configuration d'Active Directory ...................................................... 3-23Importation des utilisateurs Active Directory ................................. 3-26

Chapitre 4: Stratégies dans PolicyServer MMCVue d'ensemble de l'authentification ........................................................... 4-2

Groupes ................................................................................................... 4-2Utilisateurs ............................................................................................... 4-4Périphériques ........................................................................................... 4-5

Présentation générale des stratégies ............................................................. 4-6Indicateurs visuels de stratégies ............................................................ 4-7Champs et boutons de stratégie ........................................................... 4-7Accession aux stratégies ........................................................................ 4-8Sélectionner une stratégie à modifier ................................................... 4-9Modification des stratégies à l'aide de gammes .................................. 4-9Modification des stratégies à l'aide des réponses Vrai/Faux ou Oui/Non ......................................................................................................... 4-11Modification des stratégies à l'aide d'un choix multiple / d'unesélection unique .................................................................................... 4-13Modification des stratégies à l'aide d'arguments de chaînes de texte .................................................................................................................. 4-16Modification des stratégies à l'aide de plusieurs options ................ 4-17

Synchronisation des stratégies .................................................................... 4-19

Stratégies de PolicyServer ............................................................................ 4-19Stratégies de la console de l'administrateur ...................................... 4-20Stratégies de l'administrateur .............................................................. 4-21Stratégies de l'authentificateur ............................................................ 4-22Stratégies d'alertes de journal ............................................................. 4-23Stratégies de téléchargement du Service Pack .................................. 4-24

Table des matières

iii

Stratégies du message d'accueil .......................................................... 4-25

Stratégies de Full Disk Encryption ............................................................ 4-25Stratégies d'agent .................................................................................. 4-26Stratégies de chiffrement ..................................................................... 4-28Stratégies de connexion ....................................................................... 4-29Stratégies de mots de passe ................................................................. 4-34

Stratégies de File Encryption ...................................................................... 4-35Stratégies d'agent .................................................................................. 4-35Stratégies de chiffrement ..................................................................... 4-36Stratégies de connexion ....................................................................... 4-38Stratégies de mots de passe ................................................................. 4-39

Stratégies communes .................................................................................... 4-40Stratégie d'agent .................................................................................... 4-40Stratégies d'authentification ................................................................ 4-41

Chapitre 5: Groupes dans PolicyServer MMCAdministration des groupes .......................................................................... 5-2

Ajouter un groupe supérieur ................................................................. 5-2Ajouter un sous-groupe ......................................................................... 5-4Modification d'un groupe ...................................................................... 5-5Suppression d'un groupe ....................................................................... 5-5Ajouter un nouvel utilisateur à un groupe .......................................... 5-5Ajouter un utilisateur existant à un groupe ........................................ 5-8Suppression d'utilisateurs d'un groupe .............................................. 5-10Suppression de tous les utilisateurs d'un groupe ............................. 5-11Ajouter un périphérique à un groupe ................................................ 5-12Suppression d'un périphérique du groupe ........................................ 5-13

Groupes hors ligne ....................................................................................... 5-14Création d'un groupe hors ligne ......................................................... 5-14Mise à jour d'un groupe hors ligne .................................................... 5-16

Chapitre 6: Utilisateurs dans PolicyServer MMCAjout d'utilisateurs à Endpoint Encryption ................................................ 6-2

Ajout d'un nouvel utilisateur d'entreprise ........................................... 6-2Importation des utilisateurs à partir d'un fichier CSV ...................... 6-5


iv

Importation des utilisateurs Active Directory .................................... 6-5

Gestion des utilisateurs dansEndpoint Encryption .................................. 6-7Trouver un utilisateur ............................................................................. 6-8Modification d'un utilisateur ................................................................. 6-9Affichage de l'adhésion de l'utilisateur à un groupe ........................ 6-10Ajouter un nouvel utilisateur à un groupe ........................................ 6-11Ajouter un utilisateur existant à un groupe ...................................... 6-13Modification du groupe par défaut de l'utilisateur .......................... 6-16Autoriser l'utilisateur à effectuer une installation dans ce groupe 6-16Suppression d'utilisateurs d'un groupe .............................................. 6-17Suppression de tous les utilisateurs d'un groupe ............................. 6-18Restauration d'un utilisateur supprimé .............................................. 6-19

Utilisation des mots de passe ...................................................................... 6-19Réinitialisation d'un mot de passe administrateur/authentificateurd'entreprise ............................................................................................ 6-20Réinitialisation d'un mot de passe administrateur/authentificateur degroupe .................................................................................................... 6-21Réinitialisation des mots de passe utilisateur ................................... 6-22Carte à puce ........................................................................................... 6-23Utilisation de la réinitialisation du mot de passe de l'auto-assistance .................................................................................................................. 6-27Assistance pour l'aide à distance ........................................................ 6-29Gestion des objets Paramètres de mot de passe à partir d'ActiveDirectory ................................................................................................ 6-34

Chapitre 7: Périphériques dans PolicyServer MMCAjouter un périphérique à un groupe .......................................................... 7-3

Ajouter/Supprimer des icônes de résultats de recherche ................. 7-4

Suppression d'un périphérique du groupe .................................................. 7-4

Suppression d'un périphérique au niveau de l'entreprise .......................... 7-5

Obtention d'un jeton logiciel ........................................................................ 7-6

Utilisation de la clé de restauration .............................................................. 7-7

Affichage des attributs du périphérique ...................................................... 7-8Attributs du périphérique ...................................................................... 7-9

Table des matières

v

Affichage de la liste de répertoires ............................................................. 7-12

Affichage de l'adhésion au groupe ............................................................. 7-12

Élimination d'un périphérique .................................................................... 7-13

Verrouillage d'un périphérique ................................................................... 7-14

Réinitialisation d'un périphérique ............................................................... 7-14

Restauration d'un périphérique supprimé ................................................. 7-15

Chapitre 8: Fonctionnalités d'entreprise avancéesMaintenance de l'entreprise ........................................................................... 8-2

Supprimer les utilisateurs inactifs ......................................................... 8-2Supprimer les périphériques inactifs .................................................... 8-4Purge de journaux .................................................................................. 8-7

Restauration des utilisateurs et des périphériques supprimés .................. 8-9Restauration d'un utilisateur supprimé ................................................ 8-9Restauration d'un périphérique supprimé ........................................... 8-9

Journaux d'événements de l'entreprise ...................................................... 8-10Gestion des journaux d'événements .................................................. 8-10Alertes .................................................................................................... 8-11Activation de PolicyServer pour l'envoi des SMS et des e-mails ... 8-13

Rapports de l'entreprise ............................................................................... 8-15Options du rapport .............................................................................. 8-16Icônes des rapports .............................................................................. 8-16Types de rapports ................................................................................. 8-17Affichage des rapports ......................................................................... 8-20Programmation de rapports ............................................................... 8-21Affichage des erreurs de rapports ...................................................... 8-21

Outils de maintenance ................................................................................. 8-22Utilisation du moniteur de diagnostics ............................................. 8-23Utilisation de l'outil Serveur de journaux ......................................... 8-26Utilisation de l'outil de modification des paramètres de PolicyServer .................................................................................................................. 8-27Utilisation de l'outil de renouvellement de licence .......................... 8-29Utilisation de l'outil Aide de ligne de commande ............................ 8-33


vi

Chapitre 9: Assistance techniqueRessources de dépannage .............................................................................. 9-2

Utilisation du portail d'assistance ......................................................... 9-2Encyclopédie des menaces .................................................................... 9-2

Comment contacter Trend Micro ................................................................ 9-3Optimisation de la demande d'assistance ........................................... 9-4

Envoi de contenu suspect à Trend Micro ................................................... 9-4services de réputation de messagerie (Email Reputation Services) .................................................................................................................... 9-5Services de File Reputation ................................................................... 9-5Services de Web Reputation ................................................................. 9-5

Autres ressources ............................................................................................ 9-5Centre de téléchargement ...................................................................... 9-6Commentaires relatifs à la documentation ......................................... 9-6

AnnexesAnnexe A: ID de messages de PolicyServer

Annexe B: Services Endpoint Encryption

Annexe C: Mappage de stratégies entre des consolesd'administration

Annexe D: Glossaire

IndexIndex .............................................................................................................. IN-1

1-1

Chapitre 1

IntroductionCe manuel a été conçu pour aider les administrateurs de sécurité et IT à gérer lesutilisateurs de Endpoint Encryption, les périphériques, les stratégies, les journaux et lesrapports à l'aide de PolicyServer Microsoft Management Console (MMC). Cettedocumentation implique une connaissance générale des méthodes de chiffrement, duformatage et du partitionnement de périphérique et de l'architecture client-serveur.

Cette aide est un manuel supplémentaire pour les administrateurs qui requièrent uneconfiguration de stratégie avancée. Pour la gestion et l'assistance générales relatives àEndpoint Encryption à l'aide de Trend Micro Control Manager, consultez le Manuel del'administrateur Endpoint Encryption.

2-1

Chapitre 2

À propos de Trend Micro EndpointEncryption

Trend Micro™ Endpoint Encryption™ assure la confidentialité en chiffrant les donnéesstockées sur des points finaux, dans des fichiers et dossiers et sur les supports amoviblesgrâce à un éventail d'options de plate-forme. Endpoint Encryption fournit descommandes de stratégie granulaire et s'intègre de manière flexible aux autres outils degestion de Trend Micro, notamment Control Manager et OfficeScan. Desfonctionnalités de déploiement innovantes vous aident à déployer facilement le logicielagent en utilisant le chiffrement matériel ou logiciel FIPS qui est entièrement transparentpour les utilisateurs finaux, sans altérer la productivité. Une fois qu'il est déployé, lagénération automatisée de rapports et d'audits et la synchronisation des stratégies avecEndpoint Encryption PolicyServer simplifie la gestion de la sécurité des points finaux.

Endpoint Encryption dispose de fonctionnalités pour déployer des commandes àdistance, récupérer des données perdues et protéger l'identité des utilisateurs, tout enmaintenant une synchronisation des stratégies en temps réel. Au cas ou un point final estperdu ou volé, lancez à distance une commande de réinitialisation ou une commande« kill » afin de protéger immédiatement les informations de l'entreprise. Plusieurs outilsde récupération sont également disponibles afin d'aider les utilisateurs finaux à réparerles données d'un disque dur endommagé. En s'intégrant dans les commandes existantesd'identité de l'entreprise, Endpoint Encryption dispose d'un grand nombre de méthodesd'authentification, notamment l'intégration d'Active Directory et des ressources pour lesutilisateurs finaux ayant perdu leurs informations d'authentification.

Les rubriques sont les suivantes:


2-2

• Fonctionnalités et avantages à la page 2-3

• Nouveautés à la page 2-4

• À propos de PolicyServer à la page 2-6

• Consoles d'administration à la page 2-7

• Agents Endpoint Encryption à la page 2-9

• Méthodes d'authentification à la page 2-11

À propos de Trend Micro Endpoint Encryption

2-3

Fonctionnalités et avantagesLe tableau suivant répertorie les fonctionnalités et avantages d'Endpoint Encryption.

Tableau 2-1. Fonctionnalités principales d'Endpoint Encryption

Fonction Avantages

Chiffrement • Protection de l'intégralité du disque, y compris du MBR(enregistrement de démarrage principal), du systèmed'exploitation et de tous les fichiers système.

• Chiffrement matériel et logiciel pour les environnementsmixtes.

• Protection complète des données des fichiers, des dossierset des supports amovibles

Authentification • Méthodes d'authentification flexibles, à facteur unique etmultifactorielles

• Vérification de l'efficacité et de la régularité d'un mot depasse lors des changements de mot de passe

• Mises à jour des stratégies avant authentification etdémarrage du système

• Actions configurables lorsque le nombre de tentatives desaisie du mot de passe a été dépassé

Gestion despériphériques

• Stratégies pour protéger les données sur les points finauxet les supports amovibles

• Possibilité de verrouiller, réinitialiser, nettoyer ou éliminer àdistance un périphérique


2-4

Fonction Avantages

Administrationcentralisée

• Utilisation flexible de PolicyServer MMC ou ControlManager pour gérer le serveur PolicyServer

• Déployer les agents Endpoint Encryption sur des pointsfinaux déjà gérés par OfficeScan

• Mettre en œuvre des stratégies de sécurité pour lesutilisateurs individuels et les groupes de stratégies à partird'un serveur à stratégie unique

• Protéger instantanément les données des utilisateursfinaux en envoyant des commandes de verrouillage oud'effacement vers les périphériques Endpoint Encryptionperdus ou volés

• Automatiser l'application des stratégies avec actionscorrectives pour remédier aux événements de sécurité.

• Mise à jour des stratégies de sécurité en temps réel, avantl'authentification, afin de révoquer les informationsd'identification de l'utilisateur avant le démarrage dusystème d'exploitation

Conservation desinformations,génération derapports et d'audits.

• Génération avancée de rapports et d'audits en temps réelafin d'assurer la conformité de la sécurité

• Analyser les statistiques d'utilisation via des rapportsprogrammés et des notifications d'alerte

NouveautésTrend Micro Endpoint Encryption La version 6.0 présente les nouvelles fonctionnalitéset les améliorations suivantes.


2-5

Tableau 2-2. Nouveautés de Endpoint Encryption 6.0

Fonctionnalités /Améliorations Description

Prise en charge dumicroprogramme UEFI

Endpoint Encryption prend désormais en chargel'amorçage des points finaux à l'aide du microprogrammeUEFI.

Performances des disquesaméliorées grâce au modede chiffrement AES-XTS

Pour les nouvelles installations, Endpoint Encryptionutilise la méthode AES-XTS par défaut. Toutefois, lesagents existants mis à niveau vers cette versionconservent le mode de chiffrement AES-CBC. De plus,Endpoint Encryption peut gérer des points finaux surlesquels les modes de chiffrement AES-XTS et AES-CBCsont tous deux utilisés.

Prise en charge dessystèmes dotés deplusieurs disquesphysiques

Endpoint Encryption chiffre tous les disques fixes lors deson installation. En outre, les utilisateurs ont la possibilitéde chiffrer manuellement tout disque fixe ajoutéultérieurement à l'installation.

Stratégies d'authentificationpré-amorçage Wi-Fi

Les paramètres Wi-Fi peuvent être personnalisésdavantage par le biais de nouvelles stratégies disponiblesdans PolicyServer. Ces paramètres de stratégie autorisentou limitent l'accès aux paramètres Wi-Fi au cours del'authentification pré-amorçage.

Personnalisation de l'écrand'authentification pré-amorçage

PolicyServer prend désormais en charge lapersonnalisation de l'écran d'authentification pré-amorçage.

Chiffrement de l'espacedisque utilisé pour Full DiskEncryption

Full Disk Encryption chiffre uniquement l'espace disqueutilisé, ce qui accélère le processus de chiffrement.

Vérification de sécurité Endpoint Encryption effectue une vérification de sécuritéaprès l'installation afin de s'assurer que celle-ci a eu lieucorrectement. Si c'est le cas, Endpoint Encryption chargel'écran d'authentification pré-amorçage et lance lechiffrement. Toutefois, si l'installation a échoué (ou si unarrêt forcé a été détecté), Endpoint Encryption ne chargepas l'écran d'authentification pré-amorçage.


2-6

Fonctionnalités /Améliorations Description

Synchronisation deplusieurs domaines ActiveDirectory avec PolicyServer

Endpoint Encryption prend en charge la synchronisationde plusieurs domaines Active Directory avec PolicyServer

À propos de PolicyServerTrend Micro PolicyServer gère les clés de chiffrement et synchronise les stratégies surtous les points finaux de l'organisation. PolicyServer applique également uneauthentification sécurisée et fournit des outil d'audit et de génération de rapports entemps réel afin de garantir la conformité aux réglementations. Vous pouvez gérerPolicyServer de manière flexible avec PolicyServer MMC ou avec Trend Micro ControlManager. D'autres fonctionnalités de gestion des données sont notamment les actionsd'auto-assistance basées sur l'utilisateur et les actions sur les périphériques permettant deréinitialiser ou d'« éliminer » à distance un périphérique perdu ou volé.

Le tableau suivant décrit les composants de PolicyServer que vous pouvez déployer surun ou plusieurs serveurs, selon les besoins de votre environnement.

Tableau 2-3. Composants de PolicyServer

Composant Description

Entreprise Entreprise Endpoint Encryption est l'identifiant unique del'organisation dans la base de données PolicyServer configuréelors de l'installation de PolicyServer. Une base de donnéesPolicyServer ne doit avoir qu'une seule configuration d'entreprise.

Base de données La base de données Microsoft SQL PolicyServer stocke demanière sécurisée toutes les données relatives aux utilisateurs,aux périphériques et aux journaux. La base de données estconfigurée sur un serveur dédié ou ajoutée à un cluster SQLexistant. Les bases de données des journaux et des autreséléments peuvent se trouver dans des endroits différents.


2-7

Composant Description

Service WindowsPolicyServer

Le service Windows PolicyServer gère toutes les transactions decommunication entre le système d'exploitation hôte, le serviceEndpoint Encryption, le service Web hérité, le proxy Web client etles bases de données SQL.

Service EndpointEncryption

À partir de Endpoint Encryption 5.0, tous les agents utilisent leservice Endpoint Encryption pour communiquer avec le serveurPolicyServer. Le service Endpoint Encryption utilise une API WebRESTful (Representational State Transfer) avec un algorithme dechiffrement AES-GCM. Lorsqu'un utilisateur s'authentifie,PolicyServer génère un jeton lié à la configuration de stratégiespécifique. Tant que l'utilisateur Endpoint Encryption ne s'est pasauthentifié, le service refuse toutes les transactions de stratégie.

Service Web hérité Tous les agents Endpoint Encryption 3.1.3 et les agents plusanciens utilisent le protocole SOAP (Simple Object AccessProtocol) pour communiquer avec le serveur PolicyServer. Danscertaines situations, SOAP peut autoriser des transactions destratégie non sécurisées sans authentification de l'utilisateur. Leservice Web hérité filtre les appels SOAP en exigeant uneauthentification et en limitant les commandes que SOAP peutaccepter. Ce service est facultatif et peut être installé sur le mêmepoint final que le service Endpoint Encryption à l'aide duprogramme d'installation du proxy Endpoint Encryption.

Consoles d'administrationGérez Endpoint Encryption de manière flexible en utilisant uniquement PolicyServerMMC ou gérez Endpoint Encryption en utilisant Control Manager pour les stratégies,les utilisateurs et les périphériques et en utilisant PolicyServer MMC pour la gestionavancée des journaux et l'établissement de rapports.

L'illustration suivante montre comment déployer Endpoint Encryption en utilisantControl Manager pour gérer le serveur PolicyServer. Dans un déploiement ControlManager, les administrateurs utilisent Control Manager pour tous les contrôles portantsur les stratégies, les utilisateurs et les périphériques Endpoint Encryption et n'utilisentPolicyServer MMC que pour la maintenance avancée de l'entreprise.


2-8

Remarque

Dans les environnements qui utilisent Control Manager, changez en PolicyServer lesstratégies qui sont toujours contrôlées par Control Manager. Toutes les modificationsapportées en utilisant PolicyServer MMC seront remplacées la prochaine fois que ControlManager synchronisera les stratégies avec la base de données PolicyServer.

Trend Micro Control ManagerTrend Micro™ Control Manager™ est une console d'administration centralisée qui gèreles produits et services Trend Micro au niveau de la passerelle, du serveur de messagerie,du serveur de fichiers et des postes de travail de l'entreprise. La console d'administrationà interface Web de Control Manager fournit un point de surveillance unique pour lesproduits et les services gérés sur tout le réseau.


2-9

Control Manager permet aux administrateurs système de surveiller et de signaler desactivités telles que des infections, des violations de sécurité ou des points d'entrée devirus. Les administrateurs système peuvent télécharger et déployer des composants sur leréseau, contribuant ainsi à garantir une protection homogène et actualisée. ControlManager permet d'effectuer à la fois des mises à jour manuelles et programmées, ainsique de configurer et de gérer des produits, en groupe ou séparément, pour une flexibilitéaccrue.

À propos de PolicyServer MMC

Le plugiciel PolicyServer Microsoft Management Console (PolicyServer MMC)représente la console d'administration native pour l'administration des stratégies, desutilisateurs et des périphériques d'Endpoint Encryption.

Utilisez PolicyServer MMC pour gérer de manière centrale :

• Tous les utilisateurs, périphériques et groupes d'Endpoint Encryption

• Toutes les stratégies, y compris le chiffrement, la complexité des mots de passe etl'authentification

• Les actions à distance sur le périphérique, notamment l'élimination d'unpériphérique, l'effacement des données ou la mise en attente de l'authentification

• Les journaux des événements concernant les événements d'authentification et degestion, l'état du chiffrement des périphériques et les violations de sécurité

• Processus de réinitialisation de mot de passe de Remote Help

• Les options d'audit et d'établissement de rapports

Agents Endpoint EncryptionLe tableau suivant décrit les agents Endpoint Encryption disponibles pour desenvironnements divers.


2-10

Agent Description

Full Disk Encryption Agent Endpoint Encryption pour le chiffrement matériel etlogiciel avec authentification préalable au démarrage. FullDisk Encryption sécurise les fichiers de données, lesapplications, les paramètres de registre, les fichierstemporaires, les fichiers d'échange, les spouleursd'impression et les fichiers supprimés sur un point finalWindows. Une authentification pré-amorçage forte limitel'accès aux vulnérabilités jusqu'à ce que l'utilisateur soitvalidé.

L'agent Full Disk Encryption peut être installé sur le mêmepoint final que l'agent File Encryption. L'agent Full DiskEncryption ne peut pas être installé sur le même pointfinal que les agents Encryption Management for MicrosoftBitLocker ou Encryption Management for Apple FileVault.

Encryption Management forMicrosoft BitLocker

Agent Endpoint EncryptionFull Disk Encryption pour lesenvironnements Microsoft Windows qui ont simplementbesoin d'activer Microsoft BitLocker sur le point finald'hébergement.

L'agent Encryption Management for Microsoft BitLockerpeut être installé sur le même point final que l'agent FileEncryption.

Encryption Management forApple FileVault

Agent Endpoint Encryption Full Disk Encryption pour lesenvironnements Mac OS qui ont simplement besoind'activer Apple FileVault sur le point final d'hébergement.

File Encryption Agent Endpoint Encryption pour le chiffrement de fichierset de dossiers sur les disques locaux et les supportsamovibles. File Encryption protège les fichiers et lesdossiers se trouvant virtuellement sur tout périphériqueapparaissant comme disque sur le système d'exploitationhôte.

L'agent File Encryption peut être installé sur le mêmepoint final que les agents Full Disk Encryption ouEncryption Management for Microsoft BitLocker.


2-11

Méthodes d'authentificationLes administrateurs et les utilisateurs Endpoint Encryption disposent de plusieursméthodes d'authentification pour se connecter aux périphériques Endpoint Encryption.Les méthodes disponibles sont déterminées par la configuration de la stratégie duserveur PolicyServer.

Remarque

Vous devez utiliser PolicyServer MMC pour configurer les méthodes d'authentificationdisponibles pour les utilisateurs Endpoint Encryption. Il n'est pas possible d'utiliserControl Manager pour configurer les méthodes d'authentification autorisées. Toutefois,vous pouvez configurer Control Manager pour l'authentification de domaine.

Tableau 2-4. Méthodes d'authentification prises en charge

Méthoded'authentificati

onDescription

ColorCode à lapage 2-12

Séquence unique de couleurs.

Authentification dedomaine à la page2-12

Synchronisation LDAP d'Active Directory pour l'authentificationunique (SSO).

Mot de passe fixe àla page 2-13

Une chaîne de caractères, nombres et symboles.

Code confidentiel àla page 2-14

Numéro d'identification personnel (PIN) standard.

Assistance àdistance à la page2-14

Authentification interactive pour les utilisateurs ayant oublié leursinformations d'identification ou pour les périphériques sur lesquelsles stratégies n'ont pas été synchronisées avant un délaiprédéterminé.

Auto-assistance àla page 2-14

Combinaisons de questions et de réponses permettant auxutilisateurs de réinitialiser un mot de passe oublié, sans avoir àcontacter l'assistance technique.


2-12

Méthoded'authentificati

onDescription

Carte à puce à lapage 2-15

Utilisation conjointe d'une carte physique à un code confidentielou un mot de passe fixe.

ColorCodeColorCode™ est une méthode d'authentification unique, conçue pour un accès rapide etune mémorisation facile. Plutôt que d'utiliser des caractères alphanumériques ou dessymboles comme mot de passe, l'authentification ColorCode consiste en une séquencede couleurs créée par l'utilisateur (par exemple : rouge, rouge, bleu, jaune, bleu, vert).

Figure 2-1. Écran Authentification de ColorCode

Authentification de domaineEndpoint Encryption s'intègre à Active Directory via LDAP configuré dansPolicyServer. L'authentification de domaine Endpoint Encryption permet auxutilisateurs Endpoint Encryption d'appliquer la fonction d'authentification unique SSO


2-13

(single sign-on) entre le système d'exploitation et l'agent Endpoint Encryption. Parexemple, les utilisateurs Endpoint Encryption avec une authentification de domaine nedoivent fournir leurs informations d'identification qu'une seule fois pour pré-amorcerFull Disk Encryption, se connecter à Windows et accéder aux fichiers protégés par FileEncryption.

Pour une intégration harmonieuse d'Active Directory, assurez-vous que les conditionsrequises suivante sont remplies :

• PolicyServer a rejoint le domaine.

• Tous les périphériques Endpoint Encryption se trouvent dans le mêmeActive Directory et le même domaine que PolicyServer.

• Les noms d'utilisateurs configurés dans Active Directory correspondentexactement aux noms d'utilisateurs configurés dans PolicyServer (y compris lacasse).

• Les noms d'utilisateurs se trouvent à l'intérieur d'un groupe PolicyServer et lastratégie Authentification de domaine est activée.

• Le nom d'hôte et le nom de domaine sont configurés correctement en fonction desparamètres du serveur LDAP ou Active Directory.

Remarque

Pour plus d'informations sur la configuration LDAP et les paramètres Active Directory,consultez le Endpoint EncryptionGuide d'installation disponible à l'adresse :


Mot de passe fixe

L'authentification par mot de passe fixe est la méthode d'authentification la pluscourante. Le mot de passe fixe est créé par utilisateur et peut consister en presquen'importe quelle de chaînes de nombres, caractères ou symboles. Vous pouvez imposerdes restrictions sur les mots de passe fixes afin de s'assurer qu'ils ne puissent pas êtrecompromis facilement.



2-14

Code confidentiel

L'utilisation d'un numéro d'identification personnel (PIN) est une méthoded'identification courante qui nécessite une séquence des chiffres unique. Le numérod'identification personnel est créé par l'utilisateur et peut consister en presque n'importequoi. Comme pour les mots de passe fixes, vous pouvez imposer des restrictions sur lacombinaison du numéro identification personnel.

Assistance à distance

L'aide à distance permet aux authentificateurs de groupe ou d'entreprise d'aider lesutilisateurs Endpoint Encryption qui sont verrouillés ou qui ne peuvent pas se connecteraux périphériques Endpoint Encryption après un trop grand nombre de tentativesinfructueuses, ou lorsque la période entre la dernière synchronisation du serveurPolicyServer a été trop longue.

Remarque

L'authentification Aide à distance est déclenchée par les règles de stratégie du périphériqueEndpoint Encryption. Les règles de stratégie Aide à distance peuvent être configurées dansPolicyServer MMC et dans Control Manager.

Auto-assistance

L'authentification Auto-assistance permet aux utilisateurs Endpoint Encryption qui ontoublié leurs informations d'identification de répondre à des questions de sécurité et dese connecter à des périphériques Endpoint Encryption sans passer par l'assistance dusupport technique. Le service Auto-assistance oblige l'utilisateur Endpoint Encryption àapporter des réponses à des questions de stimulation personnelles définies. L'Auto-assistance peut remplacer un mot de passe fixe ou d'autres méthodes d'authentification.

Tenez compte des éléments suivants lors du choix de la méthode d'authentification oulors de la configuration de l'auto-assistance :

• L'auto-assistance n'est pas disponible pour les comptes d'administrateur etd'authentificateur.


2-15

• L'auto-assistance n'est pas disponible pour les comptes qui utilisentl'authentification de domaine. Le serveur PolicyServer n'est pas en mesure demodifier ou de supprimer d'anciens mots de passe de domaine.

• L'auto-assistance contient un maximum de six questions pour chaque compted'utilisateur. Il est possible que les utilisateurs ne puissent pas se connecter à l'aidede l'auto-assistance si plus de six questions sont configurées.

• L'Auto-assistance n'est configurable qu'avec PolicyServer MMC.

Carte à puce

L'authentification par carte à puce nécessite à la fois un numéro d'identificationpersonnel et un jeton physique pour confirmer l'identité de l'utilisateur. Les certificats decarte à puce sont associés au compte d'utilisateur et au groupe affecté à l'utilisateur. Unefois enregistré, l'utilisateur peut utiliser l'authentification par carte à puce à partir d'unpériphérique Endpoint Encryption quelconque dans ce groupe. Les utilisateurs sontlibres d'utiliser un périphérique Endpoint Encryption quelconque dans leur groupe etn'ont pas besoin de demander un autre mot de passe à usage unique.

Pour utiliser l'authentification par carte à puce, assurez-vous que les conditions requisessuivantes sont remplies :

• Le lecteur de carte à puce est connecté au point final et la carte à puce est inséréedans le lecteur de carte à puce.

• ActivClient 6.2 est installé, ainsi que tous les Service Packs et mises à jour.

Remarque

ActivClient 7.0 et les versions ultérieures ne sont pas pris en charge.

• Indiquez le code confidentiel de la carte à puce dans le champ du mot de passe.

AVERTISSEMENT!

Si un mot de passe incorrect est saisi, une erreur de mot de passe est envoyée et peutentraîner le verrouillage de la carte à puce.


2-16

Remarque

• L'authentification par carte à puce n'est configurable qu'avec PolicyServer MMC.

• Le passage de la méthode d'authentification par carte à puce à l'authentification dedomaine peut entraîner des problèmes pour les utilisateurs de domaine ajoutés viaADSync ou via l'option Importer des utilisateurs Active Directory. Pour résoudre ceproblème, supprimez le compte d'utilisateur de domaine de l'entreprise et redémarrezles services PolicyServer pour lancer la synchronisation avec le serveur AD. Leprocessus de synchronisation rajoute l'authentification de domaine comme méthoded'authentification pour l'utilisateur. Vous pouvez également rajouter le compted'utilisateur de domaine via l'option Importer des utilisateurs Active Directory.

3-1

Chapitre 3

Prise en main de PolicyServer MMCLe plugiciel PolicyServer Microsoft Management Console (PolicyServer MMC)représente la console d'administration native pour l'administration des stratégies, desutilisateurs et des périphériques d'Endpoint Encryption.

Gérez Endpoint Encryption de manière flexible en utilisant uniquement PolicyServerMMC ou gérez Endpoint Encryption en utilisant Control Manager pour les stratégies,les utilisateurs et les périphériques et en utilisant PolicyServer MMC pour la gestionavancée des journaux et l'établissement de rapports.

Utilisez PolicyServer MMC pour gérer de manière centrale :

• Tous les utilisateurs, périphériques et groupes d'Endpoint Encryption

• Toutes les stratégies, y compris le chiffrement, la complexité des mots de passe etl'authentification

• Les actions à distance sur le périphérique, notamment l'élimination d'unpériphérique, l'effacement des données ou la mise en attente de l'authentification

• Les journaux des événements concernant les événements d'authentification et degestion, l'état du chiffrement des périphériques et les violations de sécurité

• Processus de réinitialisation de mot de passe de Remote Help

• Les options d'audit et d'établissement de rapports

Avant de configurer PolicyServer MMC pour gérer PolicyServer, veillez à installer et àconfigurer les services et bases de données de PolicyServer.


3-2

RemarquePour plus d'informations sur l'installation et la configuration de PolicyServer MMC,consultez le Guide d'installation Endpoint Encryption.

La rubrique contient :

• Connexion à PolicyServer MMC à la page 3-3

• Interface PolicyServer MMC à la page 3-4

• Utilisation des groupes et des utilisateurs à la page 3-6

• Définition des contrôles de stratégie à la page 3-16

• Désactivation des agents à la page 3-20

• Synchronisation d'Active Directory à la page 3-22

Prise en main de PolicyServer MMC

3-3

Connexion à PolicyServer MMC

Procédure

1. Pour ouvrir PolicyServer MMC, effectuez l'une des opérations suivantes :

• Double-cliquez sur le raccourci PolicyServer MMC sur le poste de travail.

• Accédez au dossier spécifié pendant l'installation, puis double-cliquez surPolicyServerMMC.msc.

L'écran d'authentification de PolicyServer MMC s'affiche.

2. Spécifiez les paramètres suivants :

Option Description

Entreprise Spécifiez l'entreprise.


3-4

Option Description

Nom d'utilisateur Spécifiez le nom d'utilisateur d'un compte d'administrateur del'entreprise.

Mot de passe Spécifiez le mot de passe du nom d'utilisateur.

Serveur Spécifiez l'adresse IP ou le nom d'hôte du serveur PolicyServeret incluez le numéro de port attribué à cette configuration.

3. Facultatif : Pour utiliser une carte à puce pour l'authentification, sélectionnezUtiliser la carte à puce.

4. Cliquez sur Connexion.

PolicyServer MMC s'ouvre.

Interface PolicyServer MMCL'interface PolicyServer MMC contient les volets suivants :

Figure 3-1. Interface PolicyServer MMC


3-5

Tableau 3-1. Description de l'interface de PolicyServer MMC

Volet Description

Gauche (1) Utilisez le volet de gauche pour afficher les utilisateurs, groupes,stratégies, périphériques et agents. Développez un nœud pourgérer les éléments imbriqués dans l'arborescence. L'ouverture d'unélément met à jour le contenu du volet de droite.

Droite (2) Utilisez le volet de droite pour modifier les stratégies, mettre à jourles informations sur les utilisateurs et les groupes, afficher desrapports et gérer d'autres fonctions. Le format exact desinformations affichées dans le volet de droite dépend du volet degauche.

L'arborescence du volet de gauche montre un certain nombre de nœuds différents. Letableau suivant décrit chaque nœud :

Tableau 3-2. Description de l'arborescence de PolicyServer MMC

Nœud Description

Utilisateurs del'entreprise

Afficher tous les comptes d'utilisateur et d'administrateur del'entreprise. Pour consulter l'affiliation de groupe, ouvrez legroupe, puis cliquez sur Utilisateurs.

Périphériques del'entreprise

Afficher toutes les instances des agents Endpoint Encryptionet le périphérique Endpoint Encryption depuis lequel ils seconnectent. Pour consulter l'affiliation de groupe, ouvrez legroupe, puis cliquez sur Périphériques.

Stratégies del'entreprise

Vérifier si les agents peuvent se connecter à PolicyServer.Elles permettent en outre de gérer toutes les stratégies del'entreprise. Les stratégies de groupe remplacent lesstratégies de l'entreprise.

Journaux d'événementsde l'entreprise

Afficher toutes les entrées du journal de l'entreprise.

Rapports de l'entreprise Gère différents rapports et alertes. Aucun rapport ne serapportant qu'à un groupe n'est disponible.

Maintenance del'entreprise

Gérer les plugiciels de l'application PolicyServer MMC.


3-6

Nœud Description

Corbeille Afficher les utilisateurs et les périphériques EndpointEncryption supprimés.

Groupes Gérer les utilisateurs, périphériques, stratégies et journauxd'événements Endpoint Encryption pour un ensembled'utilisateurs.

Utilisation des groupes et des utilisateursCette section explique comment démarrer l'utilisation des groupes et utilisateurs dePolicyServer MMC. Définissez d'abord les utilisateurs et les groupes, puis affectez lesutilisateurs aux groupes. Il est également possible d'ajouter directement de nouveauxutilisateurs à un groupe. Au moins un groupe supérieur est requis.

Recommandations pour les utilisateurs et les groupes :

• Respectez la structure d'Active Directory

• Créez un nouveau groupe à chaque fois qu'il y a une différence de stratégie entreles groupes d'utilisateurs. Si un groupe requiert l'authentification de domaine et unautre nécessite le mot de passe fixe, deux groupes distincts sont nécessaires.

• Créez plusieurs groupes afin de minimiser l'accès. Tous les membres d'un groupesont autorisés à accéder à tout périphérique Endpoint Encryption au sein de cegroupe.


• Définition d'utilisateurs et de groupes à la page 3-7

• Ajouter un groupe supérieur à la page 3-7

• Ajouter un nouvel utilisateur à un groupe à la page 3-9

• Ajout d'un nouvel utilisateur d'entreprise à la page 3-12

• Ajouter un utilisateur existant à un groupe à la page 3-14


3-7

Définition d'utilisateurs et de groupesDéfinissez tous les rôles et les affiliations de groupe avant d'ajouter un utilisateur ou ungroupe.

1. Identifiez les comptes d'administrateur/authentificateur d'entreprise.

2. Créez les comptes d'administrateur/authentificateur d'entreprise.

3. Identifiez les groupes.

4. Créez les groupes.

5. Identifiez les comptes d'administrateur/authentificateur de groupe.

6. Créez les comptes d'administrateur/authentificateur de groupe.

7. Identifiez les utilisateurs à affecter à chaque groupe.

8. Importez ou créez les utilisateurs de chaque groupe.

Ajouter un groupe supérieurLes groupes simplifient la gestion des agents, utilisateurs, stratégies, sous-groupes etpériphériques Endpoint Encryption. Un groupe supérieur est un groupe du plus hautniveau.

Remarque

Il est possible que les administrateurs et les authentificateurs d'entreprise ne soient pasajoutés aux groupes, car leurs autorisations sont prioritaires sur tous les groupes. Si vousajoutez un administrateur ou un authentificateur à un groupe, ce compte sera d'unadministrateur ou d'un authentificateur de groupe.

Pour plus d'informations, consultez la section Modification d'un utilisateur à la page 6-9.

Procédure

1. Effectuez un clic droit sur l'entreprise dans le volet de gauche, puis cliquez surAjouter le premier groupe.


3-8

L'écran Ajouter un nouveau groupe s'ouvre.

2. Spécifiez le nom et la description du groupe.

3. Si vous utilisez des périphériques Endpoint Encryption qui ne prennent pas encharge le codage Unicode, sélectionnez Prise en charge des périphériqueshérités.

RemarqueCertains périphériques hérités peuvent avoir des problèmes de communication avecPolicyServer lorsqu'ils utilisent l'unicode. Attribuez Unicode et les périphériquesEndpoint Encryption hérités à des groupes différents.


3-9

4. Cliquez sur Appliquer.

5. Cliquez sur OK dans le message de confirmation.

Le nouveau groupe est ajouté à l'arborescence dans le volet de gauche.

Ajouter un nouvel utilisateur à un groupe

Remarque

L'ajout d'un utilisateur à l'entreprise n'attribue l'utilisateur à aucun groupe.

L'ajout d'un utilisateur à un groupe ajoute l'utilisateur au groupe et à l'entreprise.

Procédure

1. Développez le groupe et ouvrez Utilisateurs.

2. Dans le volet de droite, cliquez avec le bouton droit de la souris sur un espace videet sélectionnez Ajouter un nouvel utilisateur.


3-10

L'écran Ajouter un nouvel utilisateur s'ouvre.

Figure 3-2. Écran Ajouter un nouvel utilisateur

3. Spécifiez les options suivantes :

Option Description

Nom d'utilisateur Spécifiez le nom d'utilisateur du nouveau compte d'utilisateur(requis).

Prénom Spécifiez le prénom du nouveau compte d'utilisateur (requis).

Nom Spécifiez le nom du nouveau compte d'utilisateur (requis).

ID de l'employé Spécifiez l'ID d'employé du nouveau compte d'utilisateur(facultatif).

Geler Spécifiez s'il faut désactiver temporairement le nouveaucompte d'utilisateur (facultatif). Dans cet état « Gelé »,l'utilisateur ne peut plus se connecter aux périphériques.


3-11

Option Description

Type de grouped'utilisateurs

Sélectionnez les privilèges du nouveau compte.

RemarquePour plus d'informations sur les rôles de compte, consultezla section Utilisateurs à la page 4-4.

Les options comprennent :

• Utilisateur

• Authentificateur

• Administrateur

RemarqueDonner des privilèges à un administrateur ou à unauthentificateur de groupe lui octroie uniquement cesprivilèges au sein de ce groupe. Il sera considéré comme unadministrateur ou un authentificateur de groupe. Ajoutez unadministrateur ou un authentificateur à l'entreprise, endehors du groupe, pour lui octroyer des privilèges au niveaude l'entreprise.

Un groupe Sélectionnez si le nouveau compte d'utilisateur est autorisé àêtre membre de plusieurs stratégies de groupe.

Méthoded'authentification

Sélectionnez la méthode utilisée par le nouveau compted'utilisateur pour se connecter aux périphériques EndpointEncryption. Les options comprennent :

RemarqueLa méthode d'authentification par défaut de l'utilisateur estdéfinie sur Aucune.

Pour plus d'informations sur les rôles de compte, consultezla section Utilisateurs à la page 4-4.

4. Cliquez sur OK.


3-12

Le nouvel utilisateur est ajouté au groupe sélectionné et à l'entreprise. L'utilisateurpeut désormais se connecter à des périphériques Endpoint Encryption.

Ajout d'un nouvel utilisateur d'entrepriseLa procédure suivante explique comment ajouter de nouveaux utilisateurs de EndpointEncryption à l'entreprise.

RemarqueL'ajout d'un nouvel utilisateur Endpoint Encryption à l'entreprise ne l'affecte à aucungroupe.

L'ajout d'un nouvel utilisateur Endpoint Encryption à un groupe ajoute cet utilisateur augroupe et à l'entreprise.

Procédure

1. Pour accéder aux utilisateurs de l'entreprise, effectuez l'une des opérationssuivantes :

• Développez l'entreprise, puis ouvrez Utilisateurs de l'entreprise.

• Développez l'entreprise, développez le groupe, puis ouvrez Utilisateurs.

2. Effectuez un clic droit sur l'espace vide dans le volet de droite et sélectionnezAjouter un utilisateur.


3-13




Option Description

Nom d'utilisateur Spécifiez le nom d'utilisateur du nouveau compted'utilisateur (requis).

Prénom Spécifiez le prénom du nouveau compte d'utilisateur(requis).



Geler Spécifiez s'il faut désactiver temporairement le nouveaucompte d'utilisateur (facultatif). Dans cet état « Gelé »,l'utilisateur ne peut plus se connecter sur des périphériques.


3-14

Option Description


Sélectionnez les privilèges du nouveau compte. Pour plusd'informations sur les rôles de compte, consultez la sectionVue d'ensemble de l'authentification à la page 4-2.


• Utilisateur


• Administrateur

RemarqueIl n'est pas possible d'ajouter des comptes d'administrateurou d'authentificateur d'entreprise à des groupes.

Un groupe Sélectionnez si le nouveau compte d'utilisateur est autoriséà être membre de plusieurs stratégies de groupe.


Sélectionnez la méthode utilisée par le nouveau compted'utilisateur pour se connecter aux périphériques EndpointEncryption. Pour plus d'informations sur les méthodesd'authentification, consultez la section Vue d'ensemble del'authentification à la page 4-2.


4. Cliquez sur OK.

Le nouvel utilisateur Endpoint Encryption est ajouté à l'entreprise. L'utilisateur nepeut pas se connecter aux périphériques Endpoint Encryption tant qu'il n'est pasajouté à un groupe.

Ajouter un utilisateur existant à un groupe

Un utilisateur peut être membre de plusieurs groupes.


3-15

Procédure

1. Développez le groupe dans le volet de gauche, puis cliquez sur Utilisateurs.

2. Accédez au volet de droite et effectuez un clic droit sur l'espace vide, puissélectionnez Ajouter un utilisateur existant.

L'écran Ajouter les utilisateurs au groupe s'ouvre.

Figure 3-4. Écran Ajouter les utilisateurs au groupe

3. Saisissez les informations relatives à l'utilisateur, puis cliquez sur Rechercher.

Le champ Source se remplit avec tous les comptes qui correspondent aux critèresde recherche.

4. Sélectionnez les utilisateurs dans la liste Source et cliquez sur la flèche bleue pourles ajouter.


3-16

Pour plus d'informations sur les icônes de recherche, consultez la section Ajouter/Supprimer des icônes de résultats de recherche à la page 6-15.

L'utilisateur sélectionné se déplace vers la liste Destination.

5. Pour modifier un mot de passe d'utilisateur :

a. Dans la liste Destination, sélectionnez l'utilisateur.

b. Cliquez sur Entrer le mot de passe utilisateur au bas de la fenêtre.

c. Dans la fenêtre qui s'ouvre, spécifiez la méthode d'authentification del'utilisateur.

d. Cliquez sur Appliquer pour fermer la fenêtre Modifier le mot de passe.

6. Cliquez sur Appliquer pour enregistrer les modifications.

L'utilisateur est ajouté au groupe. S'il s'agit de la seule attribution de groupes,l'utilisateur peut alors se connecter maintenant à des périphériques EndpointEncryption.

Définition des contrôles de stratégieAprès avoir ajouté et configuré les utilisateurs et les groupes, définissez les stratégies del'entreprise ou du groupe. Chaque groupe (que ce soit un groupe supérieur ou un sous-groupe) contient un nœud « Stratégies » avec des stratégies spécifiques à chaque agent etd'autres stratégies communes qui affectent tous les agents et l'authentification.

Remarque

Pour désactiver ou les stratégies au niveau de l'entreprise ou du groupe, consultez la sectionAccession aux stratégies à la page 4-8.

Pour plus d'informations sur l'interface PolicyServer MMC, consultez la section InterfacePolicyServer MMC à la page 3-4.



3-17

• Indicateurs visuels de stratégies à la page 3-17

• Champs et boutons de stratégie à la page 3-17

• Modification de stratégies à la page 3-18

Indicateurs visuels de stratégies

Les petits cercles situé à gauche de chaque stratégie indiquent l'un des états suivants :

• Niveau de stratégie

• État de modification du groupe

• Un ou plusieurs tableaux de valeurs

• Présence ou non de sous-stratégies dans la stratégie

Tableau 3-3. Indicateurs de stratégies

Indicateur Description

Un seul cercle jaune indique que la Valeur de la stratégie est héritée dugroupe parent ou de l'Entreprise.

Un seul cercle bleu indique qu'une stratégie a été modifiée pour le groupe.

Trois cercles bleus indiquent que la stratégie peut avoir des tableaux devaleurs multiples.

Trois cercles multicolores (rouge, bleu, vert) indiquent que la stratégie auratoujours une ou plusieurs sous-stratégies.

Champs et boutons de stratégie

Le tableau suivant explique les champs et les boutons permettant de contrôler lesstratégies dans PolicyServer MMC. Toutes les valeurs modifiées sont propagées vers lessous-groupes d'un groupe. Seuls les champs et boutons pertinents s'affichent dans unestratégie sélectionnée.


3-18

Tableau 3-4. Champs et boutons de stratégie

Champ/Bouton Description Modifiable?

OK Enregistre les changements dans la stratégiesélectionnée

N/A

Description Explique la stratégie sélectionnée Non

Gamme des stratégies Affiche la plage des valeurs dans laquelle lastratégie sélectionnée peut s'intégrer

Oui

Valeur de la stratégie En fonction de la stratégie, la valeur actuellede la stratégie sélectionnée est affichée,qu'elle contienne une chaîne, un nombre ouune série d'entrées

Oui

Valeurs multiples de lastratégie

Spécifie si cette stratégie peut être utiliséeplusieurs fois pour différents paramètres(multiples chaînes « Si trouvé »).

Non

Nom de la stratégie Affiche le nom de la stratégie sélectionnée Non

Type de stratégie Spécifie la catégorie de la stratégiesélectionnée

Non

Entreprise contrôlée Change la stratégie du miroir pour la mêmestratégie au niveau de l'entreprise

Oui

Enregistrer dans dessous-groupes

Transmet les paramètres de stratégie vers lamême stratégie dans tous les sous-groupes

Oui

Modification de stratégiesPolicyServer MMC dispose d'un ensemble commun de fenêtres pour modifier lesstratégies. Différents types d'entrées sont disponibles en fonction de ce que la stratégiecontrôle et des paramètres qui sont requis. Cette tâche donne un aperçu général de lamodification d'une stratégie. Les étapes requises pour modifier une stratégie diffèrent decelles destinées à modifier une autre stratégie.


3-19

RemarquePour plus d'informations sur la modification des stratégies, y compris des explications sur laconfiguration de différents types de stratégies, consultez Accession aux stratégies à la page4-8.

Procédure

1. Développez l'Entreprise.

2. Sélectionnez le niveau de la stratégie à modifier.

• Pour les stratégies d'entreprise, développez Stratégies de l'entreprise.

• Pour les stratégies de groupe, développez le Nom du groupe, puis lesStratégies.

3. Développez l'application spécifique ou sélectionnez Commun.

La liste des stratégies s'affiche dans les fenêtres de résultats.

Figure 3-5. Modification d'une stratégie

4. Accédez à une stratégie et double-cliquez dessus pour ouvrir la fenêtre de l'éditeur.


3-20

Par exemple, la stratégie « Délai de la console » :

Figure 3-6. Fenêtre de l'éditeur de la stratégie « Délai de la console »

5. Spécifiez les modifications appropriées à la stratégie, puis cliquez sur OK.

Désactivation des agentsTous les agents Endpoint Encryption sont activés par défaut.


3-21

Procédure

1. Connectez-vous à PolicyServer MMC.

Consultez la section Connexion à PolicyServer MMC à la page 3-3.

2. Effectuez l'une des actions suivantes :

• Pour désactiver l'agent au sein de l'entreprise, cliquez sur Stratégies del'entreprise.

• Pour désactiver l'agent uniquement pour les utilisateurs du groupe, développezle groupe puis cliquez sur Stratégies.

Toutes les applications apparaissent dans le volet de droite.

3. Effectuez un clic droit sur l'application, puis sélectionnez Désactiver.

Figure 3-7. Activation/désactivation des agents

L'agent Endpoint Encryption est désactivé. les utilisateurs de Endpoint Encryption nepeuvent pas se connecter aux périphériques en utilisant cet agent.


3-22

Synchronisation d'Active DirectoryPolicyServer prend en charge la synchronisation Active Directory (AD) pour un groupePolicyServer configuré. La synchronisation ajoutera et supprimera automatiquement lesutilisateurs AD des groupes PolicyServer configurés.


• Présentation d'Active Directory à la page 3-22

• Configuration d'Active Directory à la page 3-23

• Importation des utilisateurs Active Directory à la page 3-26

Présentation d'Active DirectoryTrois éléments sont requis pour activer la synchronisation AD de PolicyServer :

1. Un domaine AD configuré.

2. Un groupe PolicyServer configuré pour pointer vers une ou plusieurs unitésd'organisation AD.

3. Des informations d'identification adéquates pour accéder au domaine ADcorrespondant au nom unique du groupe PolicyServer.

Lorsqu'il est configuré correctement, le système de synchronisation créeautomatiquement des utilisateurs PolicyServer et les déplace vers les groupes couplésappropriés sur PolicyServer. Pendant la synchronisation, PolicyServer est mis à jour pourrefléter les utilisateurs et les attributions de groupes actuels des groupes couplés.

Tout nouvel utilisateur ajouté au domaine et placé dans une unité organisationnelle estmarqué, de sorte que, lors de la prochaine synchronisation, AD le crée dans PolicyServeret le déplace dans le groupe PolicyServer couplé approprié.

La suppression d'un utilisateur d'AD entraînera la suppression automatique de cetutilisateur du groupe PolicyServer couplé et de l'entreprise.

Pour ajouter des utilisateurs ne faisant pas partie du domaine à des groupes synchronisésavec le domaine, vous pouvez créer des utilisateurs Endpoint Encryption uniques, puis


3-23

les ajouter aux groupes PolicyServer couplés, sans que ces utilisateurs soient modifiéspar le système de synchronisation.

Si vous supprimez l'utilisateur Endpoint Encryption d'un groupe couplé surPolicyServer, cet utilisateur du domaine ne sera pas ajouté de nouveau automatiquementpar le système de synchronisation. Cela empêche votre action d'être remplacée pour cetutilisateur Endpoint Encryption. Si vous replacez manuellement un utilisateur dudomaine synchronisé dans un groupe couplé, le système de synchronisationrecommence à gérer automatiquement cet utilisateur au sein du groupe.

Configuration d'Active DirectoryCette tâche implique que le contrôleur de domaine est configuré sur WindowsServer 2012 et qu'Active Directory est installé.

Procédure

1. Accédez à Démarrer > Outils d'administration > Utilisateurs et ordinateursActive Directory.

L'écran Utilisateurs et ordinateurs Active Directory s'affiche.


3-24

Figure 3-8. Utilisateurs et ordinateurs Active Directory

2. Créez vos unités d'organisation.

Pour chaque unité d'organisation que vous voulez créer, appliquez les instructionssuivantes :

a. Cliquez avec le bouton droit de la souris sur le domaine créé lors del'installation d'AD, puis sélectionnez Nouveau.

b. Sélectionnez Unité d'organisation.

c. A partir de l'écran Nouvel objet - Unité d'organisation, indiquez lenouveau nom et cliquez sur OK.

Le nouveau groupe apparaît dans le volet gauche de navigation, sous le nomde domaine. Appliquez cette instruction à toutes les unités d'organisation quevous voulez utiliser avec PolicyServer.


3-25

ImportantEndpoint Encryption prend en charge jusqu'à 12 unités organisationnelles parstratégie.

Les nouveaux groupes seront utilisés pour effectuer la synchronisation avec ungroupe PolicyServer. Avant d'effectuer la synchronisation, les utilisateurs doiventêtre ajoutés aux groupes.

3. Ajoutez de nouveaux utilisateurs à vos unités d'organisation.

Pour chaque utilisateur que vous voulez créer, appliquez les instructions suivantes :

a. Effectuez un clic droit sur l'unité d'organisation voulue et accédez à Nouveau> Utilisateur.

b. À partir de l'écran Nouvel objet - Utilisateur, indiquez les informations decompte du nouvel utilisateur et cliquez sur Suivant.

c. Indiquez et confirmez le mot de passe du domaine du nouvel utilisateur, puiscliquez sur Suivant.

RemarqueDésactivez l'option L'utilisateur doit modifier son mot de passe lors de laprochaine connexion et sélectionnez Le mot de passe n'expire jamais afinde simplifier les tests ultérieurs.

d. Lorsque vous êtes invité à terminer l'opération, cliquez sur Terminer.

Ce contrôleur de domaine est configuré avec une nouvelle unité d'organisationet un utilisateur dans ce groupe. Afin de synchroniser ce groupe avecPolicyServer, installez PolicyServer et créez un groupe pour lasynchronisation. Cette section présume que PolicyServer est déjà installé.


3-26

Importation des utilisateurs Active Directory

Procédure


2. Définissez votre entreprise comme groupe de niveau supérieur.

a. Effectuez un clic droit sur l'entreprise et sélectionnez Créer un groupe deniveau supérieur.

b. Spécifiez le nom et la description du groupe.

c. Cliquez sur Appliquer.

3. Pour configurer la stratégie de synchronisation, ouvrez le groupe et accédez àStratégies d'entreprise > Commun > Authentification > Connexion auréseau > Authentification de domaine > Synchronisation Active Directory.

4. Ajoutez le nom unique de chaque unité d'organisation que vous voulezsynchroniser.

Pour chaque unité d'organisation à synchroniser, appliquez les instructionssuivantes :

a. Effectuez un clic droit sur Nom unique et cliquez sur Ajouter.


3-27

b. Dans la section Valeur de la stratégie, spécifiez l'unité d'organisation enindiquant sa séquence de noms uniques relatifs séparés par une virgule.

Exemple : OU=TW, DC=masociété, DC=com

c. Après avoir saisi le nom unique de l'unité organisationnelle, cliquez sur OK.

5. Ouvrez Nom de domaine et indiquez le nom de domaine NetBIOS utilisé pourconfigurer le serveur AD.

6. Ouvrez Nom de l'hôte et indiquez le nom de l'hôte du serveur Active Directory.

La synchronisation entre AD et PolicyServer est terminée. La synchronisations'effectue automatiquement toutes les 45 minutes (il s'agit de l'intervalle desynchronisation par défaut utilisé par les contrôleurs de domaine Microsoft). Vouspouvez forcer la synchronisation en arrêtant et en redémarrant le service WindowsPolicyServer. La synchronisation du domaine s'effectue peu de temps après ledémarrage du service Windows PolicyServer. Ensuite, elle s'effectue toutes les45 minutes.

4-1

Chapitre 4

Stratégies dans PolicyServer MMCCe chapitre explique comment gérer et configurer les stratégies d'Endpoint Encryptionavec PolicyServer MMC.

Remarque

Pour plus d'informations sur le mappage des stratégies entre PolicyServer MMC et ControlManager, consultez la section Mappage de stratégies entre des consoles d'administration à la pageC-1.


• Vue d'ensemble de l'authentification à la page 4-2

• Présentation générale des stratégies à la page 4-6

• Synchronisation des stratégies à la page 4-19

• Stratégies de PolicyServer à la page 4-19

• Stratégies de Full Disk Encryption à la page 4-25

• Stratégies de File Encryption à la page 4-35

• Stratégies communes à la page 4-40


4-2

Vue d'ensemble de l'authentificationLa principale forme de protection fournie par Endpoint Encryption est la préventiond'accès non autorisé aux points finaux et aux périphériques chiffrés. Une configurationcorrecte des périphériques , des utilisateurs et des groupes de stratégies EndpointEncryption évite les risques de perte de données suite à une divulgation d'informationsaccidentelle ou à un sabotage délibéré.

Groupes à la page4-2

Les groupes agissent comme un conteneur pour les utilisateursde la gestion des stratégies. Les administrateurs et lesauthentificateurs d'un groupe disposent de privilèges spéciaux surce groupe uniquement, mais les administrateurs et lesauthentificateurs non attribués ont ce rôle pour toute l'entreprise.

Utilisateurs à lapage 4-4

Endpoint Encryption compte le nombre de tentatives deconnexion consécutives à un périphérique par un compted'utilisateur spécifique. Si cet utilisateur viole les critères destratégie, Endpoint Encryption peut réinitialiser, verrouiller oueffacer le disque.

Périphériques à lapage 4-5

Endpoint Encryption compte le nombre de tentatives deconnexion consécutives à un périphérique donné et le laps detemps écoulé depuis la dernière communication de l'agent avecPolicyServer. Si un périphérique viole les critères de stratégie,Endpoint Encryption peut réinitialiser, verrouiller ou effacer ledisque.

Pour obtenir une liste complète des méthodes de configuration permettant d'authentifierles utilisateurs et les périphériques, consultez la section Méthodes d'authentification à la page2-11.

GroupesEndpoint Encryption gère les stratégies par groupes d'utilisateurs. La gestion desgroupes est différente entre PolicyServer MMC et Control Manager. Une fois que lesstratégies et les groupes sont modifiés, le serveur PolicyServer synchronise les groupesdans les deux consoles.

Stratégies dans PolicyServer MMC

4-3

ImportantControl Manager est toujours prioritaire sur PolicyServer MMC pour l'attribution destratégie et de groupe. Toutes les modifications apportées à l'attribution de groupes dansPolicyServer MMC sont remplacées automatiquement lors la synchronisation suivante deControl Manager avec PolicyServer.

Console Administration des groupes

ControlManager

Endpoint Encryption crée automatiquement un groupe lors de chaquedéploiement d'une stratégie avec des cibles spécifiques. Après ledéploiement, modifiez les groupes dans lesquels se trouve unutilisateur dans le widget Utilisateurs d'Endpoint Encryption etmodifiez les utilisateurs de la stratégie dans l'écran Gestion desstratégies.

PolicyServerMMC

Ajoutez et modifiez des groupes directement dans le panneau degauche de PolicyServer MMC. Les groupes qui se trouvent dansPolicyServer MMC peuvent être attribués comme suit :

• Groupe supérieur : Les groupes supérieurs sont les groupes duplus haut niveau dans l'entreprise. Chaque groupe supérieurdispose d'un nœud unique dans l'entreprise.

• Sous-groupe : Les sous-groupes sont créés au sein des groupessupérieurs. Les sous-groupes héritent des stratégies du groupesupérieur lors de leur création, mais ils n'héritent pas desmodifications apportées au groupe supérieur. Les sous-groupesne peuvent pas être plus tolérants que les groupes supérieurs.

RemarqueVous devez attribuer manuellement les périphériques et lesutilisateurs à chaque sous-groupe Ajouter des utilisateursEndpoint Encryption à un sous-groupe ne les ajoute pasautomatiquement au groupe supérieur. Toutefois, vouspouvez ajouter des utilisateurs à un groupe supérieur ainsiqu'à un sous-groupe.


4-4

RemarquePour configurer les utilisateurs dans un groupe de stratégie sur PolicyServer MMC,consultez la section Groupes dans PolicyServer MMC à la page 5-1.

Pour configurer les utilisateurs dans un groupe de stratégie sur Control Manager, consultezle Manuel de l'administrateur Endpoint Encryption.

UtilisateursLes utilisateurs Endpoint Encryption sont tous les comptes d'utilisateurs ajoutésmanuellement à PolicyServer ou synchronisés avec Active Directory.

Endpoint Encryption dispose de plusieurs rôles de compte et méthodes d'identificationpermettant une authentification et une gestion complètes basées sur l'identité. AvecControl Manager ou PolicyServer MMC, vous pouvez ajouter ou importer des comptesd'utilisateurs, contrôler l'authentification, effectuer la synchronisation avec ActiveDirectory et gérer l'appartenance aux groupes de stratégies, si nécessaire.

Le tableau suivant décrit les rôles d'utilisateur de Endpoint Encryption :

Rôle Description

Administrateur Les administrateurs peuvent accéder aux consolesd'administration et effectuer des configurations dans leurdomaine. Ce rôle dispose de différents droits en fonction duniveau auquel le rôle d'administrateur est ajouté :

• Administrateur de l'entreprise : ces administrateurs contrôlentles stratégies, les groupes, les utilisateurs et lespériphériques de l'entreprise.

• Administrateur de groupe : ces administrateurs contrôlent lesutilisateurs et les périphériques qui s'authentifient auprès d'ungroupe spécifique. Étant donné que Control Manager crée ungroupe pour chaque stratégie, ces administrateurs peuventégalement être des « administrateurs de stratégie ».


4-5

Rôle Description

Authentificateur Les authentificateurs fournissent une assistance à distancelorsque les utilisateurs oublient leur mot de passe EndpointEncryption ou sont confrontés à un problème technique. Ce rôledispose de différents droits en fonction du niveau auquel le rôled'authentificateur est ajouté :

• Authentificateur de l'entreprise : ces authentificateurspeuvent aider tous les utilisateurs de l'entreprise.

• Authentificateur de groupe : ces authentificateurs peuventaider tous les utilisateurs d'un groupe spécifique. Étant donnéque Control Manager crée un groupe pour chaque stratégie,ces authentificateurs peuvent également être des« authentificateurs de stratégie ».

Utilisateur Les utilisateurs finaux de base ne disposent pas de privilègesspéciaux. Le rôle utilisateur ne peut pas se connecter auxconsoles d'administration Endpoint Encryption. Il ne peut pas nonplus utiliser les outils de restauration, à moins qu'il ne soit autoriséà le faire par le serveur PolicyServer.

Remarque

Pour configurer les utilisateurs d'Endpoint Encryption, voir Utilisateurs dans PolicyServerMMC à la page 6-1.

Périphériques

Les périphériques Endpoint Encryption sont des agents Endpoint Encryptionenregistrés sur PolicyServer. L'installation d'un agent Endpoint Encryption enregistreautomatiquement le point final sur PolicyServer en tant que nouveau périphériqueEndpoint Encryption. Étant donné que plusieurs agents Endpoint Encryption peuventprotéger un point final donné, un point final unique peut apparaître comme plusieurspériphériques Endpoint Encryption sur PolicyServer.

Selon les paramètres de la stratégie, si un certain nombre de tentatives d'authentificationsuccessives sur les périphériques Endpoint Encryption sont infructueuses, un délai estimposé avant la prochaine tentative de connexion, le périphérique Endpoint Encryption


4-6

est verrouillé ou toutes les données contrôlées par l'agent Endpoint Encryption associéssont effacées.

Remarque

Pour configurer les périphériques Endpoint Encryption, consultez la section Périphériquesdans PolicyServer MMC à la page 7-1.

Présentation générale des stratégiesCette section explique comment utiliser plusieurs fenêtres pour modifier une stratégiemais ne reprend pas le processus de modification de chaque stratégie. PolicyServerMMC dispose d'un ensemble commun de fenêtres pour modifier une stratégie. Unestratégie peut disposer d'une fenêtre d'édition pour modifier les nombres, les plages etles valeurs qui lui sont associées, alors qu'une autre stratégie peut disposer d'une fenêtrepour modifier les chaînes de texte.

Pour la gestion des stratégies, notez ce qui suit :

• Les stratégies sont configurable par l'agent au sein de chaque groupe.

• Seule l'existence d'un sous-groupe entraîne un héritage de stratégies. Pour plusd'informations sur les autorisations de groupe, consultez la section Groupes à la page4-2.

• Chaque stratégie possède une valeur par défaut.


• Indicateurs visuels de stratégies à la page 3-17

• Champs et boutons de stratégie à la page 3-17

• Accession aux stratégies à la page 4-8

• Sélectionner une stratégie à modifier à la page 4-9

• Modification des stratégies à l'aide de gammes à la page 4-9

• Modification des stratégies à l'aide des réponses Vrai/Faux ou Oui/Non à la page 4-11


4-7

• Modification des stratégies à l'aide d'un choix multiple / d'une sélection unique à la page 4-13

• Modification des stratégies à l'aide d'arguments de chaînes de texte à la page 4-16

• Modification des stratégies à l'aide de plusieurs options à la page 4-17

Indicateurs visuels de stratégies

Les petits cercles situé à gauche de chaque stratégie indiquent l'un des états suivants :

• Niveau de stratégie

• État de modification du groupe

• Un ou plusieurs tableaux de valeurs

• Présence ou non de sous-stratégies dans la stratégie

Tableau 4-1. Indicateurs de stratégies

Indicateur Description

Un seul cercle jaune indique que la Valeur de la stratégie est héritée dugroupe parent ou de l'Entreprise.

Un seul cercle bleu indique qu'une stratégie a été modifiée pour le groupe.

Trois cercles bleus indiquent que la stratégie peut avoir des tableaux devaleurs multiples.

Trois cercles multicolores (rouge, bleu, vert) indiquent que la stratégie auratoujours une ou plusieurs sous-stratégies.

Champs et boutons de stratégie

Le tableau suivant explique les champs et les boutons permettant de contrôler lesstratégies dans PolicyServer MMC. Toutes les valeurs modifiées sont propagées vers lessous-groupes d'un groupe. Seuls les champs et boutons pertinents s'affichent dans unestratégie sélectionnée.


4-8

Tableau 4-2. Champs et boutons de stratégie

Champ/Bouton Description Modifiable?

OK Enregistre les changements dans la stratégiesélectionnée

N/A

Description Explique la stratégie sélectionnée Non

Gamme des stratégies Affiche la plage des valeurs dans laquelle lastratégie sélectionnée peut s'intégrer

Oui

Valeur de la stratégie En fonction de la stratégie, la valeur actuellede la stratégie sélectionnée est affichée,qu'elle contienne une chaîne, un nombre ouune série d'entrées

Oui

Valeurs multiples de lastratégie

Spécifie si cette stratégie peut être utiliséeplusieurs fois pour différents paramètres(multiples chaînes « Si trouvé »).

Non

Nom de la stratégie Affiche le nom de la stratégie sélectionnée Non

Type de stratégie Spécifie la catégorie de la stratégiesélectionnée

Non

Entreprise contrôlée Change la stratégie du miroir pour la mêmestratégie au niveau de l'entreprise

Oui

Enregistrer dans dessous-groupes

Transmet les paramètres de stratégie vers lamême stratégie dans tous les sous-groupes

Oui

Accession aux stratégies

Chaque groupe de PolicyServer MMC contient un ou plusieurs dossiers de stratégies. Levolet de droite affiche la fenêtre des résultats, qui fournit les commandes pour :

• Afficher une liste des stratégies et leurs valeurs

• Modifier une stratégie à l'aide de la fenêtre d'édition

• Exécuter les rapports et autres journaux d'événements


4-9

• Exécuter la maintenance de l'entreprise

RemarquePour plus d'informations sur l'interface PolicyServer MMC, consultez la section InterfacePolicyServer MMC à la page 3-4.

Sélectionner une stratégie à modifier

Procédure

1. Accédez à Nom du groupe > Stratégies et sélectionnez le nœud approprié.

Exemple : Groupe 1 > Stratégies > Full Disk Encryption.

2. Accédez à la stratégie spécifique.

Exemple : Commun > Client > Autoriser l'utilisateur à désinstaller.

3. Effectuez un clic droit sur la stratégie et sélectionnez Propriétés.

Modification des stratégies à l'aide de gammesCertaines stratégies disposent de commandes pour définir une plage de valeurs destratégie, telles que la longueur minimale et maximale d'un mot de passe.

La stratégie Nombre de tentatives de connexion échouées autorisé est un exemplede modification de stratégies à l'aide de gammes. Nombre de tentatives de connexion


4-10

échouées autorisé vérifie si un périphérique se verrouille lorsque l'utilisateur dépasse lenombre de tentatives d'authentification infructueuses autorisé.

Figure 4-1. Fenêtre de stratégies avec gammes

En utilisant les paramètres définis dans les champs Gamme des stratégies, indiquez lenombre de tentatives d'authentification infructueuses autorisé par utilisateur dans lechamp Valeur de la stratégie.


4-11

Procédure

1. Effectuez un clic droit sur la stratégie à modifier et cliquez sur Propriétés.

2. Dans le champ Minimum, indiquez le nombre le plus faible de tentativesd'authentification infructueuses pouvant être effectuées par un utilisateur de cegroupe avant le verrouillage du périphérique.

Remarque

Les valeurs minimale et maximale de la gamme des stratégies peuvent être identiquesà celles de la gamme parent ou être modifiées par des valeurs uniques. Il estimpossible d'augmenter les adresses minimale et maximale.

3. Dans le champ Maximum, indiquez le nombre maximal de tentativesd'authentification infructueuses pouvant être effectuées par un utilisateur de cegroupe avant que le périphérique soit verrouillé.

4. Dans le champ Valeur de la stratégie, indiquez le nombre de tentativesd'authentification infructueuses pouvant être effectuées par un utilisateur de cegroupe avant que le périphérique soit verrouillé.

5. Cliquez sur OK pour enregistrer vos changements.

La modification de la stratégie est activée lorsque le client Endpoint Encryptioneffectue une synchronisation avec PolicyServer.

Modification des stratégies à l'aide des réponses Vrai/Faux ou Oui/Non

Certaines stratégies n'offrent que les options Vrai/Faux ou Oui/Non. Dans cet exemple,nous avons utilisé la stratégie Contournement du pré-amorçage.

Un administrateur de groupe peut définir si le pré-amorçage de Full Disk Encryptions'affiche avant le démarrage de Windows. Si le groupe parent autorise Oui et Non, lesauthentificateurs de groupe du sous-groupe ont alors le droit de définir la gamme surOui et Non, juste Oui ou juste Non. Si le groupe parent a défini la plage sur Oui ou


4-12

Non, l'administrateur de groupe du sous-groupe ne peut que sélectionner cette mêmegamme.

Figure 4-2. Stratégie avec valeurs Oui/Non

Procédure


2. Spécifiez des options de stratégie.

• Le champ Valeur de la stratégie définit si la stratégie est activée.


4-13

• Le champ Gamme définit si la stratégie est disponible pour les autresutilisateurs ou groupes.

Exemple : si la stratégie est définie sur Non, elle ne sera alors pas disponiblepour être définie sur Oui.

RemarqueLa suppression d'une option de Gamme de stratégies supprime la valeur de la listedéroulante Valeur de la stratégie dans le groupe actuel et dans tous les sous-groupes.



Modification des stratégies à l'aide d'un choix multiple /d'une sélection unique

Certaines stratégies disposent de plusieurs options de sélection. La stratégie Action deverrouillage du périphérique est modifiée dans une fenêtre choix multiple/sélectionunique. Vous ne pouvez sélectionner qu'une seule Valeur de stratégie. Dans cet


4-14

exemple, l'administrateur de groupe doit définir l'action à effectuer lorsqu'un utilisateurdépasse le nombre de tentatives d'authentification autorisé.

Figure 4-3. Stratégie à choix multiple / sélection unique

Procédure



4-15

2. Sélectionnez un paramètre par défaut dans le menu déroulant Valeur de stratégie

3. Sélectionnez les options disponibles pour la zone Gamme des stratégies.

RemarqueLa suppression d'une option de Gamme de stratégies supprime la valeur de la listedéroulante Valeur de la stratégie dans le groupe actuel et dans tous les sous-groupes.




4-16

Modification des stratégies à l'aide d'arguments dechaînes de texte

Certaines stratégies disposent d'une chaîne de texte modifiable pour les arguments detableaux uniques. La stratégie Dispositif homme mort est un exemple de stratégiedonnant la possibilité de spécifier une chaîne de texte.

Figure 4-4. Stratégie avec argument de chaîne de texte


4-17

Procédure


2. Spécifiez la séquence de caractères de cette stratégie dans le champ Valeur de lastratégie.



Modification des stratégies à l'aide de plusieurs optionsCertaines stratégies disposent de plusieurs options stockées dans les sous-stratégiesaffectant cette stratégie. Les stratégies à options multiples créent des lignes séparées dansune chaîne de texte et chaque nouvelle ligne dans la chaîne constitue une sous-stratégie.Par exemple, la stratégie Si trouvé affiche les instructions pour retourner unpériphérique trouvé. Un format d'adresse normal affiche le nom, la rue et la ville/lepays/le code postal sur trois lignes séparées.

RemarqueSelon la stratégie, les options multiples se limitent généralement à six sous-stratégies.

Procédure

1. Effectuez un clic droit sur la stratégie à modifier, puis cliquez sur Ajouter.


4-18

Figure 4-5. Stratégie Si trouvé : Ajout d'une nouvelle option

2. Spécifiez les détails dans le champ Valeur de stratégie.

Remarque

Selon la stratégie, vous devrez peut-être modifier la stratégie ajoutée en effectuant unclic droit et en sélectionnant Propriétés.


Figure 4-6. Stratégie Si trouvé : Résultats après avoir ajouté des optionsmultiples


4-19

4. Si besoin, ajoutez une nouvelle option.

5. Pour effectuer des modifications, effectuez un clic droit sur la stratégie enfant, puissélectionnez Propriétés.


Synchronisation des stratégiesLa liste suivante explique les événements qui lancent la synchronisation des stratégiesentre les agents et le serveur PolicyServer :

• Après le chargement du système d'exploitation et le démarrage du service de l'agent

RemarquePour plus d'informations sur les services Endpoint Encryption, consultez la sectionServices Endpoint Encryption à la page B-1.

• À intervalles réguliers en fonction de la stratégie de synchronisation du serveurPolicyServer

• Manuellement, en cliquant sur le bouton Synchroniser les stratégies dans lemenu contextuel de l'agent

RemarqueLes actions des périphériques se lancent une fois que l'agent reçoit les mises à jour desstratégies.

Stratégies de PolicyServerCette section explique les options configurables pour toutes les stratégies d'entreprisequi concernent PolicyServer.



4-20

• Stratégies de la console de l'administrateur à la page 4-20

• Stratégies de l'administrateur à la page 4-21

• Stratégies de l'authentificateur à la page 4-22

• Stratégies d'alertes de journal à la page 4-23

• Stratégies de téléchargement du Service Pack à la page 4-24

• Stratégies du message d'accueil à la page 4-25

Stratégies de la console de l'administrateurLe tableau suivant explique les stratégies régissant PolicyServer MMC.

Tableau 4-3. Descriptions des stratégies de la console de l'administrateurPolicyServer

Nom de lastratégie Description

Plage desvaleurs etvaleurs par

défaut

Délai de laconsole

Fermeture de l'outil d'administration aprèsl'expiration du délai (minutes) et l'absenced'activité.

1-60

Par défaut : 20

Nombre detentatives deconnexionéchouéesautorisé

Verrouillage de la connexion de l'administrateuraprès le dépassement de ce nombre d'échecs detentatives de connexion consécutives.

0-100

Par défaut : 0

Mentionslégales

Contient les mentions légales à afficher avantl'utilisation des outils d'administration parl'administrateur ou l'authentificateur.

1 à 1 024caractères

Par défaut :N/A


4-21

Stratégies de l'administrateurLe tableau suivant explique les stratégies régissant les privilèges d'administrateur degroupe PolicyServer.

Tableau 4-4. Description des stratégies d'administrateur de PolicyServer


Plage desvaleurs etvaleurs

par défaut

Ajouter despériphériques

Spécifiez si l'administrateur de groupe estautorisé à ajouter des périphériques.

Oui/Non

Par défaut :Oui

Ajouter desutilisateurs

Spécifiez si l'administrateur de groupe estautorisé à ajouter de nouveaux utilisateurs.

Oui/Non

Par défaut :Oui

Ajouter desutilisateurs àl'entreprise

Spécifiez si l'administrateur de groupe estautorisé à ajouter de nouveaux utilisateurs àl'entreprise.

Oui/Non

Par défaut :Non

Ajouter/modifier desgroupes

Spécifiez si l'administrateur de groupe estautorisé à ajouter/modifier des sous-groupes.

Oui/Non

Par défaut :Oui

Modifier desstratégies

Spécifiez si l'administrateur de groupe estautorisé à modifier les stratégies.

Oui/Non

Par défaut :Oui

Copier/coller desgroupes

Spécifiez si l'administrateur de groupe estautorisé à copier et coller des sous-groupes.

Oui/Non

Par défaut :Oui

Supprimer despériphériques

Spécifiez si l'administrateur de groupe estautorisé à supprimer des périphériques.

Oui/Non

Par défaut :Oui


4-22



par défaut

Supprimer desgroupes

Spécifiez si l'administrateur de groupe estautorisé à supprimer des sous-groupes.

Oui/Non

Par défaut :Oui

Supprimer desutilisateurs

Spécifiez si l'administrateur de groupe estautorisé à supprimer des utilisateurs.

Oui/Non

Par défaut :Oui

Supprimer desutilisateurs del'entreprise

Spécifiez si l'administrateur de groupe estautorisé à supprimer des utilisateurs del'entreprise.

Oui/Non

Par défaut :Non

Stratégies de l'authentificateur

Le tableau suivant explique les stratégies régissant les droits et privilègesd'authentificateur de groupe et d'entreprise.

Tableau 4-5. Description des stratégies d'administrateur de PolicyServer



défaut

Ajouter despériphériques

Spécifiez si les authentificateurs de groupe etd'entreprise sont autorisés à ajouter despériphériques.

Oui/Non

Par défaut : Non

Ajouter desutilisateurs

Spécifiez si les authentificateurs de groupe etd'entreprise sont autorisés à ajouter denouveaux utilisateurs.

Oui/Non

Par défaut : Non

Ajouter desutilisateurs àl'entreprise

Spécifiez si les authentificateurs de groupe etd'entreprise sont autorisés à ajouter denouveaux utilisateurs à l'entreprise.

Oui/Non

Par défaut : Non


4-23



défaut

Ajouter/modifierdes groupes

Spécifiez si les authentificateurs de groupe etd'entreprise sont autorisés à ajouter/modifierdes sous-groupes.

Oui/Non

Par défaut : Non

Copier/coller desgroupes

Spécifiez si les authentificateurs de groupe etd'entreprise sont autorisés à copier et coller dessous-groupes.

Oui/Non

Par défaut : Non

Supprimer despériphériques

Spécifiez si les authentificateurs de groupe etd'entreprise sont autorisés à supprimer despériphériques.

Oui/Non

Par défaut : Non

Supprimer desgroupes

Spécifiez si les authentificateurs de groupe etd'entreprise sont autorisés à supprimer dessous-groupes.

Oui/Non

Par défaut : Non

Supprimer desutilisateurs

Spécifiez si les authentificateurs de groupe etd'entreprise sont autorisés à supprimer desutilisateurs.

Oui/Non

Par défaut : Non

Supprimer desutilisateurs del'entreprise

Spécifiez si les authentificateurs sont autorisésà supprimer des utilisateurs de l'entreprise.

Oui/Non

Par défaut : Non

Stratégies d'alertes de journalLe tableau suivant explique les stratégies régissant les messages électroniques envoyésconcernant les événements importants du journal de PolicyServer.


4-24

Tableau 4-6. Description des stratégies d'alertes de journal de PolicyServer



par défaut

De l'adresseélectronique

Spécifiez l'adresse électronique utilisée en tantqu'adresse électronique source pour le messaged'alerte électronique.

1 à 255caractères

Par défaut :N/A

Nom du serveurSMTP

Spécifiez le serveur SMTP chargé d'envoyer lesmessages d'alerte électroniques.

1 à 255caractères

Par défaut :N/A

Stratégies de téléchargement du Service PackLe tableau suivant explique les stratégies régissant le moment où les agents téléchargentautomatiquement les Service Packs.

Tableau 4-7. Description des stratégies de téléchargement des Service Packs dePolicyServer

Nom de la stratégie Description


défaut

Heure de début dutéléchargement duService Pack

Configurez le temps de téléchargementpour les Service Packs.

0-23

Par défaut : 0

Heure de fin dutéléchargement duService Pack

Configurez le moment auquel arrêter letéléchargement des Service Packs.

0-23

Par défaut : 0


4-25

Stratégies du message d'accueilLe tableau suivant explique les stratégies régissant l'envoi ou non d'un message d'accueilaux utilisateurs lorsqu'ils ont été ajoutés à un groupe.

Tableau 4-8. Description des stratégies du message d'accueil de PolicyServer



défaut

Message Contient le fichier du message d'accueil. De 1 à 1 024caractères

Par défaut : N/A

Nom du serveurSMTP

Spécifiez le serveur SMTP chargé d'envoyerles messages d'accueil électroniques.

1 à 255caractères

Par défaut : N/A

Adresseélectroniquesource

Spécifiez l'adresse électronique utilisée en tantqu'adresse électronique source pour lemessage d'accueil.

1 à 255caractères

Par défaut : N/A

Objet Ligne d'objet du message d'accueil. 1 à 255caractères

Par défaut : N/A

Stratégies de Full Disk EncryptionCette section explique les options configurables des stratégies qui touchent les agentsFull Disk Encryption :

• Full Disk Encryption

• Encryption Management for Microsoft BitLocker

• Encryption Management for Apple FileVault



4-26

• Stratégies d'agent à la page 4-26

• Stratégies de chiffrement à la page 4-28

• Stratégies de connexion à la page 4-29

• Stratégies de mots de passe à la page 4-34

Stratégies d'agentLe tableau suivant explique les stratégies affectant la configuration Wi-Fi, l'accès à laconsole de restauration de Full Disk Encryption et la désinstallation de l'agent.

Remarque

Encryption Management for Apple FileVault et Encryption Management for MicrosoftBitLocker ne nécessitent pas d'authentification et ne sont pas affectés par les stratégiesd'authentification. Les stratégies relatives aux clients, à la connexion, au mot de passe et àl'authentification, ou le fait d'autoriser l'utilisateur à désinstaller le logiciel agent EndpointEncryption n'affectent que les agents Full Disk Encryption et File Encryption.

Tableau 4-9. Description des stratégies de client de Full Disk Encryption



défaut

Autoriser l'utilisateur àconfigurer la Wi-Fi

Spécifiez si les utilisateurs sontautorisés à configurer lesstratégies Wi-Fi sur lepériphérique.

Oui/Non

Par défaut : Oui

Autoriser l'utilisateur àprocéder à la restauration

Spécifiez si les utilisateurs sontautorisés à accéder aux utilitairesde restauration du système sur lepériphérique.

Oui/Non

Par défaut : Non

Autoriser l'utilisateur àdésinstaller

Spécifiez si les utilisateurs sontautorisés à désinstaller Full DiskEncryption.

Oui/Non

Par défaut : Non


4-27



défaut

Paramètres Wi-Fi Spécifier les paramètres Wi-Fi N/A

Paramètres Wi-Fi > Nomdu réseau

Spécifiez le nom (SSID) duréseau.

1 à 255 caractères

Paramètres Wi-Fi > Motde passe

Spécifiez le mot de passe réseau.

RemarqueAssurez-vous que le mot depasse respecte les critèresde longueur suivants :

• Longueur des mots depasse WEP :

5 à 10 caractères ou10 à 26 caractèreshexadécimaux (0-9, a-f)

• Longueur des mots depasse WPA-PSK :

8 à 63 caractères ou64 caractèreshexadécimaux (0-9, a-f)

• Longueur des nomsd'utilisateur et mots depasse WPAEntreprise :

Moins de128 caractères


Paramètres Wi-Fi >Priorité

Spécifiez la priorité du réseau. 0-16

Par défaut : 1


4-28



défaut

Paramètres Wi-Fi > Typede sécurité

Spécifiez le type de sécurité pourl'authentification réseau.

Aucuneauthentification,WEP, WEP Open,WEP Shared, WPA2Enterprise, WPA2Personal, WPAEnterprise, WPAPersonal

Par défaut : WEPouvert

Paramètres Wi-Fi > Nomd'utilisateur

Spécifiez le nom d'utilisateur si leréseau nécessite uneauthentification en fonction del'utilisateur.


Stratégies de chiffrement

Le tableau suivant explique la stratégie de chiffrement de Full Disk Encryption. Lastratégie de chiffrement des périphériques affecte les agents Full Disk Encryption,Encryption Management for Apple FileVault et Encryption Management for MicrosoftBitLocker.

Tableau 4-10. Description des stratégies de Full Disk Encryption

Nom de la stratégie Description Plage des valeurs etvaleurs par défaut

Chiffrer le périphérique Spécifiez s'il faut chiffrer lepériphérique.

Oui/Non

Par défaut : Oui

Chiffrer uniquementl'espace utilisé

Spécifiez si l'espace disqueutilisé est le seul à devoirêtre chiffré.

Oui/Non

Par défaut : Oui


4-29


Sélectionner la taille de laclé de chiffrement

Spécifiez le nombre de bitsdes clés de chiffrement dupériphérique.

128, 256

Par défaut : 256

Stratégies de connexion

Le tableau suivant explique les stratégies qui régissent la connexion à l'agent Full DiskEncryption.

Remarque


Tableau 4-11. Description des stratégies de connexion de Full Disk Encryption


Plage des valeurset valeurs par

défaut

Action deverrouillage ducompte

Indique l'action à entreprendre lorsque lepériphérique n'a pas réussi àcommuniquer avec PolicyServer, tel quespécifié dans la stratégie Période deverrouillage du compte.

• Effacer : Tout le contenu dupériphérique est nettoyé.

• Authentification à distance : Obligel'utilisateur à effectuer uneauthentification à distance.

Effacer, Authentificationà distance

Par défaut :Authentification àdistance


4-30



défaut

Période deverrouillage ducompte

Indique le nombre de jours pendantlesquels le client peut être resté sanscommunication avec le PolicyServer.

0-999

Par défaut : 360

Dispositifhomme mort

Indique une séquence de caractères, quiune fois saisie, effacera tout le contenudu périphérique.


Par défaut : N/A

Action deverrouillage dupériphérique

Indique l'action à entreprendre lorsque lepériphérique se verrouille.

• Délai : Temps d'attente avant quel'utilisateur puisse tenter unenouvelle connexion.

• Effacer : Tout le contenu dupériphérique est nettoyé.

• Authentification à distance : Obligel'utilisateur à effectuer uneauthentification à distance.

Temporisation, Effacer,Authentification àdistance

Par défaut :Temporisation

Nombre detentatives deconnexionéchouéesautorisé

Indique le nombre de tentatives deconnexion infructueuses autorisé avantle déclenchement du délai duverrouillage du périphérique.

0-100

Par défaut : 5

Si trouvé Indique les informations à afficher. 1 à 255 caractères

Par défaut : N/A

Mentions légales Spécifiez si les mentions légales doivents'afficher.

Activation/désactivation

Par défaut : Désactivé

Heured'affichage desmentionslégales

Spécifiez à quel moment les mentionslégales configurées doivent s'afficherpour l'utilisateur.

Installation, Démarrage

Par défaut : Démarrage


4-31



défaut

Texte desmentionslégales

Spécifiez le corps des mentions légales. Insérez un fichier

Par défaut : N/A

Affichage de ladurée deverrouillage dupériphérique

Verrouille le périphérique pendant xminutes si l'utilisateur dépasse lenombre de tentatives infructueusesautorisé.

De 1 à 999 999 minutes

Par défaut : 1

Contournementdu pré-amorçage

Indique si l'authentification pre-boot doitêtre ignorée.

Oui/Non

Par défaut : Non

Couleur de fondà la connexion

Spécifiez la couleur de fond à afficherlors de la connexion.

Activer/Désactiver

Par défaut : Désactiver

Couleur de fondà la connexion >Valeur du bleu

Spécifiez la valeur du bleu pour le codecouleur RVB.

0-255

Par défaut : 63

Couleur de fondà la connexion >Valeur du vert

Spécifiez la valeur du vert pour le codecouleur RVB.

0-255

Par défaut : 59

Couleur de fondà la connexion >Valeur du rouge

Spécifiez la valeur du rouge pour le codecouleur RVB.

0-255

Par défaut : 57

Bandeau deconnexion

Spécifiez s'il convient d'afficher uneimage de bandeau lors de la connexion.

Activer/Désactiver


Bandeau deconnexion >Image dubandeau deconnexion

Spécifiez l'image du bandeau deconnexion.

Taille maximale : 128 Ko

Résolution :512 x 64 pixels

Formats de fichiers :PNG avec transparence(recommandé), JPG etGIF


4-32



défaut

Informations surla prise encharge

Affiche les informations du serviced'assistance ou les coordonnées del'administrateur.

Par défaut : N/A

Authentificationpar jeton

Stratégie relative à des jetonsphysiques, comme les cartes à puce etjetons USB. Toutes les sous-stratégiessont visibles uniquement lorsquel'Authentification par jeton est activée.

Activer/Désactiver


Validation OCSP La vérification des certificats via OCSPpermet l'annulation des certificats nonvalides via le CA.

RemarqueToutes les stratégies sont visiblesuniquement lorsque la validationOCSP est Activée.

Activer/Désactiver


Certificats CA del'OCSP

Certificats de l'autorité de certification.

RemarqueCorrespond à une sous-stratégiede la validation OCSP.

De 0 à 1 024 caractères

Par défaut : N/A

Action sur l'étatd'un certificatOCSP expiré

Définit les mesures à prendre lorsque lecertificat OCSP a expiré.


Temporisation, Effacer,Authentification àdistance, Refus deconnexion, Autoriserl'accès

Par défaut : Connexionrefusée


4-33



défaut

Grâce OCSP Une période de grâce en jours quipermet à l'authentification d'avoir lieumême si le serveur OCSP n'a pas vérifiéle certificat pendant le nombre de joursen question.


0-365

Par défaut : 7

RépondeursOCSP



Oui/Non

Par défaut : Oui

Certificat durépondeur OCSP

Certificat de l'autorité de certification

RemarqueCorrespond à une sous-stratégiedes répondeurs OCSP.


Par défaut : N/A

URL durépondeur OCSP




Par défaut : N/A


4-34



défaut

Action sur l'étatd'un certificatOCSP annulé

Définit les mesures à prendre lorsque lecertificat OCSP est révoqué.




Afficher lesréussites OCSP

Affichage ou non de la réussite desréponses OCSP.


Oui/Non

Par défaut : Oui

Action sur l'étatd'un certificatOCSP inconnu

Spécifiez l'action lorsque l'état d'uncertificat OCSP est inconnu.

Correspond à une sous-stratégie desrépondeurs OCSP.



Jeton Passthru Faites passer le jeton sur le poste detravail GINA pour un traitementsupplémentaire durant le processusd'amorçage.

Correspond à une sous-stratégie desrépondeurs OCSP.

Oui/Non

Par défaut : Non

Stratégies de mots de passeLe tableau suivant explique la stratégie des mots de passe de Full Disk Encryption.


4-35

Remarque


Tableau 4-12. Description des stratégies des mots de passe de Full DiskEncryption


Méthodesd'authentificationautorisées

Spécifiez le(s) type(s) deméthode(s)d'authentificationautorisée(s).

Fixe, ColorCode, PIN, Àdistance

Par défaut : Fixe

Stratégies de File EncryptionCette section explique les options configurables pour les stratégies qui touchent lesagents File Encryption.


• Stratégies d'agent à la page 4-35

• Stratégies de chiffrement à la page 4-36

• Stratégies de connexion à la page 4-38

• Stratégies de mots de passe à la page 4-39

Stratégies d'agentLe tableau suivant explique les stratégies qui régissent les privilèges d'installation sur lespériphériques sur lesquels File Encryption est installé.


4-36

Tableau 4-13. Description des stratégies de l'agent File Encryption



défaut

Autoriser l'utilisateur àdésinstaller

Cette stratégie spécifie si unutilisateur autre qu'unadministrateur peut désinstallerl'application de point final.

Oui/Non

Par défaut : Oui

Stratégies de chiffrement

Le tableau suivant explique les stratégies qui régissent comment le chiffrement est gérésur les périphériques File Encryption.

Tableau 4-14. Description des stratégies de chiffrement de File Encryption



défaut

Autoriser lasuppressionsécurisée

Spécifie si l'utilisateur est autorisé àsupprimer des fichiers.

Oui/Non

Par défaut : Oui

Désactiver lecteuroptique

Accès aux lecteurs CD ou DVDdésactivé.

Oui/Non

Par défaut : Non

Clé de chiffrementutilisée

• Clé utilisateur : choisit une cléunique pour l'utilisateur.

• Clé de groupe : choisit une cléunique pour le groupe afin que tousles utilisateurs du groupe aientégalement accès aux fichiers.

• Clé de l'entreprise : choisit une cléunique pour l'entreprise afin quetous les utilisateurs de l'entrepriseaient également accès aux fichiers.

Clé d'utilisateur, Clé degroupe, Clé del'entreprise

Par défaut : Clé degroupe


4-37



défaut

Méthode dechiffrementautorisée

Choisit les méthodes de FileEncryptions autorisées :

• Clé utilisateur

• Clé de groupe

• Mot de passe créé par l'utilisateur

• Certificats numériques

Clé unique del'utilisateur, Clé uniquede groupe, Chiffrementpar mot de passestatique, Chiffrementpar certificat

Par défaut : Tout

Support amovible Spécifiez les paramètres despériphériques USB.

Activer/Désactiver


PériphériquesUSB autorisés

Spécifie les périphériques USBautorisés

N'importe lequel,KeyArmor

Par défaut : Tous

Désactiver lecteurUSB

Désactiver le périphérique USB lorsqu'iln'est pas connecté, Toujours ledésactiver et Ne jamais le désactiver.

Toujours, Déconnecté,Jamais

Par défaut :Déconnecté

Dossiers à chiffrersur le supportamovible

La lettre du lecteur est donnée et lavaleur de la stratégie correspond à unpériphérique de support amovible valide.Tout dossier non existant est créé. Siaucune lettre de lecteur n'est donnée,tous les périphériques amoviblesattachés au périphérique lors de laconnexion utiliseront les valeurs de lastratégie.


Par défaut : N/A

Chiffrerentièrement lepériphérique

Spécifiez si tous les fichiers/dossiers dusupport amovible sont chiffrés.

Oui/Non

Par défaut : Non


4-38



défaut

Spécifier lesdossiers à chiffrer

Répertorie les dossiers qui vont êtrechiffrés sur le disque dur. Tout dossiernon existant est créé. Une lettre delecteur de disque dur valide doit êtrefournie. Une valeur de stratégie valideest : C:\EncryptedFolder.


Par défaut : %DESKTOP%\Encrypted Files

Stratégies de connexionLe tableau suivant explique les stratégies qui régissent la connexion à l'agent FileEncryption.

Tableau 4-15. Description des stratégies de connexion de File Encryption


Méthodesd'authentificationautorisées

Spécifiez le(s) type(s)d'authentification autorisé(s).

Fixe, ColorCode, Codeconfidentiel, Carte à puce

Par défaut : Fixe

Action de verrouillagedu périphérique

Action à prendre lorsque lepériphérique est verrouillé.

Temporisation,Authentification à distance

Par défaut : Temporisation

Nombre de tentatives deconnexion échouéesautorisé

Nombre de tentatives deconnexion infructueusesautorisé avant ledéclenchement du délai deverrouillage du périphérique.0 permet des tentativesillimitées.

0-100

Par défaut : 5


4-39


Heure d'affichage desmentions légales

RemarqueCorrespond à unesous-stratégie de lamention légale.

Indique à quel moment lesmentions légales configuréess'affichent pour l'utilisateur.

RemarqueLa mention légalen'apparaît pas pour lesagents FileEncryption 3.1.3 ouplus anciens.

Installation, Démarrage

Par défaut : Démarrage

Texte des mentionslégales

RemarqueCorrespond à unesous-stratégie de lamention légale.

Spécifiez le corps desmentions légales.

RemarqueLa mention légalen'apparaît pas pour lesagents FileEncryption 3.1.3 ouplus anciens.

Insérez un fichier

Par défaut : N/A

Délai du verrouillage dupériphérique

Verrouille le périphériquependant x minutes sil'utilisateur dépasse lenombre de tentativesinfructueuses autorisé.

0-999 999

Par défaut : 1

Stratégies de mots de passeLe tableau suivant explique les stratégies régissant les mots de passe de File Encryption.


4-40

Tableau 4-16. Description des stratégies des mots de passe de File Encryption



défaut

Forcer à communiqueravec le serveur

Force l'agent File Encryption àcommuniquer avec le serveur aubout de X jours. 0 rend l'agent FileEncryption autonome.

0-999

Par défaut : 360

Jeton physique requis Requiert un jeton physique (cartesà puce) pour se connecter auxpériphériques EndpointEncryption.

Oui/Non

Par défaut : Non

Stratégies communesCette section explique les options configurables pour toutes les stratégies de l'entreprisequi touchent l'ensemble des agents Endpoint Encryption.


• Stratégie d'agent à la page 4-40

• Stratégies d'authentification à la page 4-41

Stratégie d'agentLe tableau suivant explique la stratégie d'intervalle de synchronisation.


4-41

Tableau 4-17. Description des stratégies d'agent communes de EndpointEncryption



défaut

Intervalle desynchronisation

Spécifiez la fréquence (enminutes) à laquelle l'applicationcommunique avec PolicyServer, àpartir du périphérique, pourrecevoir les informations mises àjour.

1-1440Par défaut : 30

Stratégies d'authentificationLe tableau suivant explique les stratégies qui régissent l'authentification des comptesd'utilisateur local et de domaine.

Remarque


Tableau 4-18. Description des stratégies d'authentification communes de EndpointEncryption

Catégorie Nom de lastratégie Description


défaut

Connexionlocale

Mot de passe del'administrateur

Spécifiez les stratégiesrelatives à l'authentification surle périphérique localuniquement.

N/A


4-42



défaut

Connexionlocale > Mot depasse del'administrateur

Types decaractèresautorisés

Spécifiez si les mots de passepeuvent contenir des lettres,des nombres, des caractèresspéciaux ou une combinaisondes trois.

Caractèresalphabétiques,numériques,spéciaux

Par défaut :Tout


Peut contenir lenom del'utilisateur

Spécifiez si le nom d'utilisateurpeut être compris dans le motde passe.

Oui/Non

Par défaut : Oui


Caractèresconsécutifsautorisés

Spécifiez le nombre decaractères consécutifsautorisés dans un mot depasse.

0-255

Par défaut : 3


Longueurminimale

Spécifiez la longueur minimaleautorisée pour les mots depasse.

0-255

Par défaut : 6


Conservation del'historique desmots de passe

Spécifiez le nombre d'anciensmots de passe que l'utilisateurn'est pas autorisé à utiliser.

0-255

Par défaut : 0


Nombre decaractèresrequis

Spécifiez le nombre decaractères alphabétiques àutiliser dans le mot de passe.

0-255

Par défaut : 0


Nombre decaractères enminusculerequis

Spécifiez le nombre decaractères en minuscule àutiliser dans le mot de passe.

0-255

Par défaut : 0


4-43



défaut


Nombre dechiffres requis

Spécifiez le nombre decaractères numériques àutiliser dans le mot de passe.

0-255

Par défaut : 0


Nombre decaractèresspéciaux requis

Spécifiez le nombre decaractères spéciaux à utiliserdans le mot de passe.

0-255

Par défaut : 0


Nombre decaractères enmajusculerequis

Spécifiez le nombre decaractères en majuscule àutiliser dans le mot de passe.

0-255

Par défaut : 0

Connexionlocale

Auto-assistance Spécifiez les stratégiesutilisées par l'auto-assistance.

N/A

Connexionlocale > Auto-assistance

Nombre dequestions

Spécifiez le nombre dequestions auxquellesl'utilisateur devra répondrecorrectement pour s'identifier.

1-6

Par défaut : 1

Connexionlocale > Auto-assistance

Stimulationpersonnelle

Spécifiez la ou les questionsde stimulation personnelleutilisées par l'auto-assistance.

1-1024

Par défaut :N/A

Connexionlocale

Mot de passe del'utilisateur

Spécifiez les stratégiesutilisées par les mots de passeutilisateur.

N/A

Connexionlocale > Mot depasseutilisateur

Types decaractèresautorisés

Spécifiez si les mots de passepeuvent contenir des lettres,des nombres, des caractèresspéciaux ou une combinaisondes trois.

Caractèresalphabétiques,numériques,spéciaux

Par défaut :Tout


4-44



défaut


Peut contenir lenom del'utilisateur

Spécifiez si le nom d'utilisateurpeut être compris dans le motde passe.

Oui/Non

Par défaut : Oui


Modifier le motde passe tousles

Spécifiez (en jours) quandimposer à l'utilisateur unemodification de son mot depasse.

1-1000000

Par défaut : 60


Caractèresconsécutifsautorisés

Spécifiez le nombre decaractères consécutifsautorisés dans un mot depasse.

0-255

Par défaut : 3


Longueurminimale

Spécifiez la longueur minimaleautorisée pour les mots depasse.

0-255

Par défaut : 6


Conservation del'historique desmots de passe

Spécifiez le nombre d'anciensmots de passe que l'utilisateurn'est pas autorisé à utiliser.

0-255

Par défaut : 0


Nombre decaractèresrequis

Spécifiez le nombre decaractères alphabétiques àutiliser dans le mot de passe.

0-255

Par défaut : 0


Nombre decaractères enminusculerequis

Spécifiez le nombre decaractères en minuscule àutiliser dans le mot de passe.

0-255

Par défaut : 0


Nombre dechiffres requis

Spécifiez le nombre decaractères numériques àutiliser dans le mot de passe.

0-255

Par défaut : 0


4-45



défaut


Nombre decaractèresspéciaux requis

Spécifiez le nombre decaractères spéciaux à utiliserdans le mot de passe.

0-255

Par défaut : 0


Nombre decaractères enmajusculerequis

Spécifiez le nombre decaractères en majuscule àutiliser dans le mot de passe.

0-255

Par défaut : 0


Nom d'utilisateursensible à lacasse

Spécifiez si le nom d'utilisateurest sensible à la casse

Oui/Non

Par défaut :Non

Connexion auréseau

Authentificationde domaine

Spécifier les paramètresd'authentification de domaine

Activer/Désactiver

Connexion auréseau >Authentificationde domaine

Synchronisationd'ActiveDirectory

Spécifier les paramètres desynchronisation d'ActiveDirectory

Activer/Désactiver

Connexion auréseau >Authentificationde domaine >Synchronisationd'ActiveDirectory

Nom unique Facultatif : Spécifiez le nomunique du serveurd'authentification. Si aucunnom unique n'est spécifié, lenom par défaut sera celuiindiqué par la conventionuniverselle de dénomination duserveur LDAP.

1-255

Par défaut :N/A


Nom d'utilisateur Spécifiez le nom d'utilisateurqui sera connecté à ActiveDirectory.

1-255

Par défaut :N/A


4-46



défaut


Mot de passe Spécifiez le mot de passe quisera connecté à ActiveDirectory.

1-255

Par défaut :N/A


Nom dedomaine

Nom NetBIOS du domainepour l'authentification unique.Le nom par défaut correspondà la valeur NetBIOS utiliséepar le serveur PolicyServer.

1-255

Par défaut :N/A


Nom de l'hôte Spécifiez le nom d'hôte. Lenom de l'hôte peut être un nomde domaine.

1-255

Par défaut :N/A


Numéro de port Facultatif : 0 = utilisation pardéfaut. Spécifie le port àutiliser pour la connexion. Siaucun numéro de port n'estspécifié, le fournisseur LDAPutilise le numéro de port pardéfaut.

0-65535

Par défaut : 0

Connexion auréseau

Type de serveur Type de serveur utilisé pourauthentifier les demandes del'utilisateur client.

LDAP,LDAProxy

Par défaut :LDAP

Connexion auréseau >Authentification

Mémoriserl'utilisateur entreles connexions

Mémoriser le dernier nomd'utilisateur entré et l'affichersur l'écran d'authentification.

Oui/Non

Par défaut : Oui

5-1

Chapitre 5

Groupes dans PolicyServer MMCEndpoint Encryption utilise l'authentification basée sur l'identité et sur le rôle afin desécuriser les données. Une configuration correcte des groupes Endpoint Encryptionassure que les données restent chiffrées pour les utilisateurs non autorisés, empêchantainsi un risque de perte de données par la révélation accidentelle d'informations ou unsabotage délibéré.


• Administration des groupes à la page 5-2

• Groupes hors ligne à la page 5-14


5-2

Administration des groupesCette section explique comment utiliser PolicyServer MMC pour ajouter de nouveauxgroupes, ajouter ou supprimer des utilisateurs et périphériques Endpoint Encryption etmodifier des groupes.


• Ajouter un groupe supérieur à la page 3-7

• Ajouter un sous-groupe à la page 5-4

• Modification d'un groupe à la page 5-5

• Suppression d'un groupe à la page 5-5



• Suppression d'utilisateurs d'un groupe à la page 5-10

• Suppression de tous les utilisateurs d'un groupe à la page 5-11

• Ajouter un périphérique à un groupe à la page 5-12

• Suppression d'un périphérique du groupe à la page 5-13

Ajouter un groupe supérieurLes groupes simplifient la gestion des agents, utilisateurs, stratégies, sous-groupes etpériphériques Endpoint Encryption. Un groupe supérieur est un groupe du plus hautniveau.

RemarqueIl est possible que les administrateurs et les authentificateurs d'entreprise ne soient pasajoutés aux groupes, car leurs autorisations sont prioritaires sur tous les groupes. Si vousajoutez un administrateur ou un authentificateur à un groupe, ce compte sera d'unadministrateur ou d'un authentificateur de groupe.

Pour plus d'informations, consultez la section Modification d'un utilisateur à la page 6-9.

Groupes dans PolicyServer MMC

5-3

Procédure

1. Effectuez un clic droit sur l'entreprise dans le volet de gauche, puis cliquez surAjouter le premier groupe.

L'écran Ajouter un nouveau groupe s'ouvre.

2. Spécifiez le nom et la description du groupe.

3. Si vous utilisez des périphériques Endpoint Encryption qui ne prennent pas encharge le codage Unicode, sélectionnez Prise en charge des périphériqueshérités.

RemarqueCertains périphériques hérités peuvent avoir des problèmes de communication avecPolicyServer lorsqu'ils utilisent l'unicode. Attribuez Unicode et les périphériquesEndpoint Encryption hérités à des groupes différents.


5-4



Le nouveau groupe est ajouté à l'arborescence dans le volet de gauche.

Ajouter un sous-groupeBien que les sous-groupes héritent de toutes les stratégies existantes du groupe parent,vous devez ajouter séparément les utilisateurs et les périphériques aux sous-groupes.

Procédure

1. Effectuez un clic droit sur un groupe de l'arborescence dans le volet de gauche,puis cliquez que Ajouter.

La fenêtre Ajouter un nouveau groupe s'ouvre.

2. Suivez les étapes indiquées dans la section Ajouter un groupe supérieur à la page 3-7.

Le nouveau groupe est ajouté à l'arborescence dans le groupe supérieur.


5-5

Modification d'un groupe

Procédure

1. Effectuez un clic droit sur un groupe dans l'arborescence du volet de gauche, puiscliquez sur Modifier.

L'écran Modifier le groupe s'ouvre.

2. Spécifiez les modifications.


Suppression d'un groupeUtilisez l'arborescence pour supprimer un groupe. La suppression d'un groupe supérieurentraîne la suppression de tous les sous-groupes.

Procédure

1. Effectuez un clic droit sur un groupe dans l'arborescence du volet de gauche, puiscliquez sur Supprimer.

Un message d'avertissement s'affiche.

2. Cliquez sur Oui pour supprimer le groupe.

Le groupe sélectionné n'apparaît plus dans l'arborescence.


Remarque




5-6

Procédure






Option Description





5-7

Option Description







• Utilisateur


• Administrateur






5-8

Option Description



4. Cliquez sur OK.


Ajouter un utilisateur existant à un groupeUn utilisateur peut être membre de plusieurs groupes.

Procédure




5-9









5-10








Suppression d'utilisateurs d'un groupe

AVERTISSEMENT!Avant de supprimer un compte d'administrateur de groupe ou d'authentificateur de groupe,réaffectez ce rôle à un autre compte d'utilisateur. Sinon, seuls les comptes d'administrateurou d'authentificateur de l'entreprise peuvent effectuer des modifications sur le groupe.

La suppression d'un utilisateur d'un groupe empêche l'utilisateur d'accéder auxpériphériques Endpoint Encryption attribués à ce groupe. Avant de supprimer desutilisateurs de Endpoint Encryption, assurez-vous que ces utilisateurs ont sauvegardé etdéchiffré leur données.

Procédure

1. Développez le groupe, puis cliquez sur Utilisateurs.

2. Dans le volet de droite, effectuez un clic droit sur l'utilisateur et sélectionnezSupprimer l'utilisateur.


3. Pour supprimer également l'utilisateur de l'entreprise, sélectionnez Supprimer del'entreprise.


5-11

Remarque

La suppression d'un utilisateur de l'entreprise le supprime également de tous lesgroupes et sous-groupes.

4. Cliquez sur Oui.

L'utilisateur est supprimé.

Suppression de tous les utilisateurs d'un groupe

AVERTISSEMENT!

Avant de supprimer un compte d'administrateur de groupe ou d'authentificateur de groupe,réaffectez ce rôle à un autre utilisateur. Sinon, seuls les comptes d'administrateur oud'authentificateur de l'entreprise peuvent effectuer des modifications au niveau du groupe.

Procédure


2. Dans le volet de droite, effectuez un clic droit sur l'utilisateur et sélectionnezSupprimer tous les utilisateurs.


3. Pour supprimer également tous les utilisateurs de l'entreprise, sélectionnezSupprimer de l'entreprise.

Remarque


4. Cliquez sur Oui.


5-12

Ajouter un périphérique à un groupe

Remarque

Chaque périphérique Endpoint Encryption ne peut appartenir qu'à un seul groupe.

Procédure

1. Dans le volet de gauche, développez le groupe de stratégies souhaité et cliquez surPériphériques.

2. Dans le volet de droite, effectuez un clic droit sur un espace vide et sélectionnezAjouter un périphérique.

L'écran Ajouter des dispositifs au groupe s'ouvre.

Figure 5-3. Écran Ajouter des dispositifs au groupe

3. Saisissez les informations relatives au périphérique, puis cliquez sur Rechercher.

S'il existe une correspondance, le champ Source se remplit avec les périphériquesEndpoint Encryption.


5-13

4. Sélectionnez les périphériques Endpoint Encryption applicables dans le champSource, puis cliquez sur la flèche bleue pour les ajouter.


5. Cliquez sur Appliquer pour ajouter le périphérique Endpoint Encryption augroupe sélectionné.

Le périphérique Endpoint Encryption est ajouté au groupe.

Suppression d'un périphérique du groupe

Supprimer un périphérique d'un groupe entraîne uniquement la suppression dupériphérique du groupe sélectionné.

AVERTISSEMENT!

Pour supprimer un périphérique de tous les groupes, il faut le supprimer au niveau del'entreprise. Avant de supprimer un périphérique de l'entreprise, assurez-vous qu'il a bienété déchiffré et que tous les agents Endpoint Encryption ont été désinstallés. Ne paseffectuer cette procédure peut entraîner une perte des données irréversible.

Procédure

1. Développez le groupe, puis ouvrez Périphériques.

2. Dans le volet de droite, effectuez un clic droit sur le périphérique et sélectionnezSupprimer un périphérique.


3. Cliquez sur Oui.

Le dispositif est supprimé.


5-14

Groupes hors ligneUn groupe hors ligne est un groupe de points finaux qui ne s'est pas connecté àPolicyServer pendant l'installation de l'agent File Encryption. Exportez les stratégies, lesutilisateurs et les périphériques de ce groupe vers un fichier et installez-les sur chaquepoint final. Lorsqu'un groupe nécessite des modifications, exportez un nouveau fichieret répétez l'importation.

Les stratégies sont mises à jour automatiquement lorsque l'agent se connecte àPolicyServer.


• Création d'un groupe hors ligne à la page 5-14

• Mise à jour d'un groupe hors ligne à la page 5-16

Création d'un groupe hors ligne

Les groupes hors ligne autorisent les agents qui n'ont pas besoin de communiquer avecPolicyServer, ou qui ne peuvent pas le faire, à obtenir des stratégies mises à jour. Lesfichiers d'installation de l'agent Endpoint Encryption doivent être disponibles sur leserveur sur lequel PolicyServer est installé.

Remarque

Les groupes exportés doivent contenir au moins un utilisateur. Le nom du groupe doitégalement être alphanumérique uniquement.

Procédure

1. Dans le volet gauche, effectuez un clic droit sur le groupe et sélectionnezExporter.

L'assistant d'exportation du groupe PolicyServer s'affiche.


5-15

Figure 5-4. Assistant d'exportation du groupe PolicyServer

2. Sélectionnez Créer des périphériques hors connexion.

3. Spécifiez l'emplacement d'exportation.

4. Spécifiez et confirmez le mot de passe d'exportation.

Remarque

Le mot de passe d'exportation est utilisé pour l'authentification du fichier exécutablesur l'agent.

5. Cliquez sur Suivant


5-16

6. Cliquez sur Ajouter pour naviguer et télécharger les programmes d'installation duclient Endpoint Encryption.

Tableau 5-1. Nom du fichier d'installation Endpoint Encryption

Fichier d'installation Objectif

FileEncryptionIns.exe Installe l'agent File Encryption.

Remarque

Pour des versions de produits Endpoint Encryption plus anciennes, consultez ladocumentation appropriée.

7. Cliquez sur Suivant.

8. En fonction du type de licence, spécifiez le nombre de périphériques sur lesquelseffectuer l'installation. Le nombre de licences disponibles diminue au fur et àmesure qu'un périphérique en est muni.

9. Vous pouvez également spécifier un Préfixe pour le nom du périphérique.PolicyServer utilise le numéro de préfixe du périphérique pour générer un ID depériphérique unique et une clé de chiffrement de périphérique pour chaquepériphérique du groupe.


La compilation du groupe hors ligne commence.

11. Cliquez sur Terminé pour générer le fichier d'exportation à l'emplacement spécifié.

Un fichier exécutable intitulé « Exporter » est créé sur le bureau. Utilisez-le pourdistribuer les modifications de stratégie aux groupes hors ligne.

Mise à jour d'un groupe hors ligne

La procédure suivante explique comment créer une mise à jour pour un groupe horsligne.


5-17

Procédure

1. Dans le volet de gauche, effectuez un clic droit sur le groupe, puis sélectionnezExporter.

L'assistant d'exportation du groupe PolicyServer s'ouvre.

2. Sélectionnez Mettre à jour des périphériques hors connexion.

3. Entrez le mot de passe d'exportation.

RemarqueUtilisez le mot de passe d'exportation pour authentifier le fichier exécutable surl'agent Endpoint Encryption.

4. Cliquez sur Parcourir pour spécifier un emplacement pour stocker le fichierd'exportation.

5. Cliquez sur Suivant

La compilation du groupe hors ligne commence.

6. Cliquez sur Terminé.

Le fichier d'exportation est généré à l'emplacement spécifié.

7. Installez le logiciel sur le périphérique à l'aide du fichier exécutable généré ou duscript.

RemarqueConsultez le Guide d'installation et de migration de Endpoint Encryption.

6-1

Chapitre 6

Utilisateurs dans PolicyServer MMCEndpoint Encryption dispose de plusieurs rôles de compte et méthodes d'identificationpermettant une authentification et une gestion complètes basées sur l'identité. AvecControl Manager ou PolicyServer MMC, vous pouvez ajouter ou importer des comptesd'utilisateurs, contrôler l'authentification, effectuer la synchronisation avec ActiveDirectory et gérer l'appartenance aux groupes de stratégies, si nécessaire.

Remarque

Pour obtenir une description des rôles utilisateurs dans Endpoint Encryption, voirUtilisateurs à la page 4-4.

Ce chapitre explique les rôles de compte et les méthodes d'authentification, commentadministrer PolicyServer MMC afin de gérer des stratégies affectant les utilisateursEndpoint Encryption et comment contrôler l'accès aux informations en utilisant lenœud de stratégie Utilisateurs dans PolicyServer MMC. Ce chapitre explique égalementcomment restaurer des utilisateurs Endpoint Encryption supprimés.


• Ajout d'utilisateurs à Endpoint Encryption à la page 6-2

• Gestion des utilisateurs dansEndpoint Encryption à la page 6-7

• Utilisation des mots de passe à la page 6-19


6-2

Ajout d'utilisateurs à Endpoint EncryptionEndpoint Encryption dispose de plusieurs options pour ajouter des utilisateurs àEndpoint Encryption :

• Ajoutez les utilisateurs manuellement, un à la fois

• Importez en groupe un grand nombre d'utilisateurs à l'aide d'un fichier CSV

• Utilisez le navigateur du répertoire externe avec Active Directory


• Ajout d'un nouvel utilisateur d'entreprise à la page 3-12

• Importation des utilisateurs à partir d'un fichier CSV à la page 6-5

• Importation des utilisateurs Active Directory à la page 6-5

Ajout d'un nouvel utilisateur d'entrepriseLa procédure suivante explique comment ajouter de nouveaux utilisateurs de EndpointEncryption à l'entreprise.

Remarque

L'ajout d'un nouvel utilisateur Endpoint Encryption à l'entreprise ne l'affecte à aucungroupe.

L'ajout d'un nouvel utilisateur Endpoint Encryption à un groupe ajoute cet utilisateur augroupe et à l'entreprise.

Procédure

1. Pour accéder aux utilisateurs de l'entreprise, effectuez l'une des opérationssuivantes :

• Développez l'entreprise, puis ouvrez Utilisateurs de l'entreprise.

• Développez l'entreprise, développez le groupe, puis ouvrez Utilisateurs.

Utilisateurs dans PolicyServer MMC

6-3

2. Effectuez un clic droit sur l'espace vide dans le volet de droite et sélectionnezAjouter un utilisateur.




Option Description

Nom d'utilisateur Spécifiez le nom d'utilisateur du nouveau compted'utilisateur (requis).

Prénom Spécifiez le prénom du nouveau compte d'utilisateur(requis).




6-4

Option Description

Geler Spécifiez s'il faut désactiver temporairement le nouveaucompte d'utilisateur (facultatif). Dans cet état « Gelé »,l'utilisateur ne peut plus se connecter sur des périphériques.


Sélectionnez les privilèges du nouveau compte. Pour plusd'informations sur les rôles de compte, consultez la sectionVue d'ensemble de l'authentification à la page 4-2.


• Utilisateur


• Administrateur

RemarqueIl n'est pas possible d'ajouter des comptes d'administrateurou d'authentificateur d'entreprise à des groupes.

Un groupe Sélectionnez si le nouveau compte d'utilisateur est autoriséà être membre de plusieurs stratégies de groupe.


Sélectionnez la méthode utilisée par le nouveau compted'utilisateur pour se connecter aux périphériques EndpointEncryption. Pour plus d'informations sur les méthodesd'authentification, consultez la section Vue d'ensemble del'authentification à la page 4-2.


4. Cliquez sur OK.

Le nouvel utilisateur Endpoint Encryption est ajouté à l'entreprise. L'utilisateur nepeut pas se connecter aux périphériques Endpoint Encryption tant qu'il n'est pasajouté à un groupe.


6-5

Importation des utilisateurs à partir d'un fichier CSVUtilisez un fichier CSV (valeurs séparées par des virgules) pour importer simultanémentplusieurs utilisateurs.

Format : nom d'utilisateur (requis), prénom, nom, ID d'employé, adresse e-mail.

Remarque

• La fonction d'importation d'utilisateurs à partir d'un fichier CSV est uniquementdisponible pour les utilisateurs qui emploient l'authentification par mot de passe fixe.

• Ajoutez une virgule pour les champs vides.

• Créez un fichier CSV pour chaque groupe d'utilisateurs à importer. Tous lesutilisateurs répertoriés dans le fichier CSV sont ajoutés au groupe.

Procédure


2. Effectuez un clic droit dans le volet de droite, puis sélectionnez Importationgroupée d'utilisateurs ajoutés.

La fenêtre d'ouverture d'un fichier s'ouvre.

3. Localisez le fichier CSV et cliquez sur Ouvrir.

4. Pour confirmez, cliquez sur OK.

Les utilisateurs répertoriés dans le fichier CSV sont ajoutés au groupe et àl'entreprise.

Importation des utilisateurs Active DirectoryPolicyServer conserve un répertoire d'utilisateurs séparé de la base de données ActiveDirectory. Cela permet à PolicyServer de fournir un accès entièrement sécurisé surl'ensemble des méthodes d'authentification, droits d'utilisateurs et périphériquesEndpoint Encryption.


6-6

Pour obtenir des informations sur la configuration de l'intégration d'Active Directory,consultez le Guide d'installation et de migration Endpoint Encryption.

Procédure


2. Ouvrez Utilisateurs de l'entreprise, effectuez un clic droit sur le volet de droite(sur un espace vide), puis sélectionnez Navigateur du répertoire externe.

L'écran Importation des utilisateurs Active Directory s'affiche.

3. Accédez à Modifier > Connecter au domaine.

L'écran Ajouter un serveur apparaît.

4. Spécifiez les paramètres suivants pour le serveur LDAP Active Directory :

• Nom de l'hôte

• Port

• Nom d'utilisateur

• Mot de passe

5. Cliquez sur OK.

6. Attendez le peuplement du domaine Active Directory spécifié.

L'arborescence Active Directory pour le domaine spécifié apparaît dans le volet degauche.


6-7

7. Dans le volet de gauche, utilisez l'arborescence de navigation pour sélectionner leconteneur à partir duquel ajouter les utilisateurs.

Les utilisateurs disponibles se remplissent dans le volet de droite.

8. Sélectionnez les utilisateurs applicables, effectuez un clic bouton droit sur lasélection, puis sélectionnez :

• Ajouter à l'entreprise

• Ajouter à un groupe

a. Développez l'entreprise.

b. Sélectionnez les groupes appropriés.

c. Cliquez sur OK.

9. Cliquez sur OK pour ajouter les utilisateurs à l'emplacement spécifié.

Une fenêtre de confirmation apparaît.

10. Cliquez sur OK pour confirmer.

Un message relatif au statut de l'importation apparaît.

11. Cliquez sur OK pour terminer ou répétez la procédure pour sélectionner plusd'utilisateurs à importer

Gestion des utilisateurs dansEndpointEncryption

Dans Endpoint Encryption, gérez les utilisateurs à partir de l'écran Utilisateurs del'entreprise.


• Trouver un utilisateur à la page 6-8

• Modification d'un utilisateur à la page 6-9


6-8

• Affichage de l'adhésion de l'utilisateur à un groupe à la page 6-10



• Modification du groupe par défaut de l'utilisateur à la page 6-16

• Autoriser l'utilisateur à effectuer une installation dans ce groupe à la page 6-16

• Suppression d'utilisateurs d'un groupe à la page 5-10

• Suppression de tous les utilisateurs d'un groupe à la page 5-11

• Restauration d'un utilisateur supprimé à la page 6-19

Trouver un utilisateurIl est plus rapide de rechercher un utilisateur au niveau du groupe mais cela impliquetoutefois d'effectuer la recherche sur l'intégralité de l'entreprise.

Procédure

1. Dans le volet de gauche, cliquez sur Utilisateurs de l'entreprise ou développez legroupe, puis cliquez sur Utilisateurs.

2. Dans le coin supérieur du volet de droite, cliquez sur Rechercher.


6-9

La fenêtre Filtre de recherche d'utilisateurs s'ouvre.

Figure 6-2. Fenêtre de filtre de recherche d'utilisateurs

3. Saisissez les informations relatives à la recherche, puis cliquez sur Rechercher.

Tous les comptes correspondant aux critères de recherche s'affichent.

RemarqueS'il y a plusieurs utilisateurs, utilisez Nombre de pages pour aller d'une page à l'autreou cliquez sur Effacer pour supprimer tous les résultats.

Modification d'un utilisateurTout administrateur de groupe peut modifier le profil d'un utilisateur.


6-10

Remarque

• Les modifications effectuées au niveau de l'entreprise sont répercutées sur tous lesutilisateurs, mais les modifications effectuées au niveau du groupe ne sont appliquéesqu'à ce groupe.

Procédure

1. Ouvrez Utilisateurs de l'entreprise.

2. Dans le volet de droite, effectuez un clic droit sur l'utilisateur, puis sélectionnezModifier l'utilisateur.

L'écran Modifier l'utilisateur s'ouvre.

3. Effectuez les modifications nécessaires. Si la méthode d'authentification estmodifiée pour le Mot de passe fixe, entrez le mot de passe d'utilisateur par défaut.

4. Cliquez sur OK.


Affichage de l'adhésion de l'utilisateur à un groupe

Liste des groupes pour afficher l'adhésion de l'utilisateur à un groupe EndpointEncryption. Si un utilisateur appartient plusieurs groupes, vous pouvez égalementmodifier la priorité des groupes affectés. Pour plus d'informations sur le groupe pardéfaut, consultez la section Modification du groupe par défaut de l'utilisateur à la page 6-16.

Procédure


2. Effectuez un clic droit sur l'utilisateur, puis sélectionnez Liste des groupes.

La liste Adhésion au groupe s'ouvre.


6-11


Remarque



Procédure







6-12

Option Description










• Utilisateur


• Administrateur




6-13

Option Description





4. Cliquez sur OK.


Ajouter un utilisateur existant à un groupeUn utilisateur peut être membre de plusieurs groupes.

Procédure




6-14









6-15








Ajouter/Supprimer des icônes de résultats de recherche

Icônes ducentre Description

Ajouter un élément sélectionné unique au champ Destination.

Ajouter tous les éléments trouvés à l'aide des critères de recherche auchamp Destination.

Supprimer un élément unique sélectionné du champ Destination.

Supprimer tous les éléments du champ Destination.


6-16

Modification du groupe par défaut de l'utilisateurLes utilisateurs de Endpoint Encryption peuvent appartenir à un nombre quelconque degroupes, alors que les périphériques Endpoint Encryption ne peuvent appartenir qu'à unseul groupe. Le groupe par défaut est le groupe qui contrôle les stratégies de l'utilisateur.Le premier groupe répertorié dans l'appartenance aux groupes est le groupe par défautde l'utilisateur.

RemarqueL'utilisateur doit être autorisé à effectuer une installation sur le groupe par défaut. Pour plusd'informations, consultez la section Autoriser l'utilisateur à effectuer une installation dans ce groupeà la page 6-16.

Procédure


2. Effectuez un clic droit sur l'utilisateur et sélectionnez Liste des groupes.


3. Effectuez un clic droit sur l'utilisateur et sélectionnez Déplacer vers le haut.

Le groupe par défaut de l'utilisateur est modifié.

Autoriser l'utilisateur à effectuer une installation dans cegroupe

Le fait d'autoriser un utilisateur à effectuer une installation sur un groupe autorise lesutilisateurs à installer des périphériques Endpoint Encryption sur un groupe dont ils nesont pas membres, sans avoir besoin des privilèges supplémentaires du rôleAdministrateur ou Authentificateur.

RemarqueLe paramètre par défaut est Ne pas autoriser l'utilisateur à effectuer une installationdans ce groupe.


6-17

Procédure


2. Effectuez un clic droit sur l'utilisateur et sélectionnez Liste des groupes.


3. Effectuez un clic droit sur l'utilisateur et sélectionnez Autoriser l'utilisateur àeffectuer une installation dans ce groupe.

L'utilisateur peut désormais installer des périphériques dans ce groupe.

Suppression d'utilisateurs d'un groupe

AVERTISSEMENT!

Avant de supprimer un compte d'administrateur de groupe ou d'authentificateur de groupe,réaffectez ce rôle à un autre compte d'utilisateur. Sinon, seuls les comptes d'administrateurou d'authentificateur de l'entreprise peuvent effectuer des modifications sur le groupe.

La suppression d'un utilisateur d'un groupe empêche l'utilisateur d'accéder auxpériphériques Endpoint Encryption attribués à ce groupe. Avant de supprimer desutilisateurs de Endpoint Encryption, assurez-vous que ces utilisateurs ont sauvegardé etdéchiffré leur données.

Procédure


2. Dans le volet de droite, effectuez un clic droit sur l'utilisateur et sélectionnezSupprimer l'utilisateur.


3. Pour supprimer également l'utilisateur de l'entreprise, sélectionnez Supprimer del'entreprise.


6-18

Remarque


4. Cliquez sur Oui.

L'utilisateur est supprimé.

Suppression de tous les utilisateurs d'un groupe

AVERTISSEMENT!

Avant de supprimer un compte d'administrateur de groupe ou d'authentificateur de groupe,réaffectez ce rôle à un autre utilisateur. Sinon, seuls les comptes d'administrateur oud'authentificateur de l'entreprise peuvent effectuer des modifications au niveau du groupe.

Procédure


2. Dans le volet de droite, effectuez un clic droit sur l'utilisateur et sélectionnezSupprimer tous les utilisateurs.


3. Pour supprimer également tous les utilisateurs de l'entreprise, sélectionnezSupprimer de l'entreprise.

Remarque


4. Cliquez sur Oui.


6-19

Restauration d'un utilisateur suppriméPour les environnements Control Manager et PolicyServer MMC, utilisez le nœudCorbeille de PolicyServer MMC pour restaurer un utilisateur de Endpoint Encryptionsupprimé.

Procédure


2. Développez la corbeille.

3. Ouvrez Utilisateurs supprimés.

Le volet de droite charge tous les utilisateurs supprimés.

4. Effectuez un clic droit sur le compte d'utilisateur et sélectionnez Restaurerl'utilisateur.

L'utilisateur est rajouté au niveau de l'entreprise mais il n'appartient à aucun groupede stratégies.

Utilisation des mots de passeSi un utilisateur oublie le mot de passe ou égare un point final, il peut réinitialiser le motde passe en utilisant les méthodes définies par les stratégies. Les méthodes deréinitialisation de mot de passe suivantes sont disponibles :

• Microsoft Windows Active Directory

• Control Manager

• PolicyServer MMC

• Assistance à distance

• Auto-assistance

Toutes ces options impliquent une configuration de stratégie au niveau de l'entreprise ouau niveau du groupe ou de la stratégie, si nécessaire. Utilisez la stratégie Informations de


6-20

support pour fournir aux utilisateurs les informations relatives au support concernant lesréinitialisations des mots de passe.


• Réinitialisation d'un mot de passe administrateur/authentificateur d'entreprise à la page 6-20

• Réinitialisation d'un mot de passe administrateur/authentificateur de groupe à la page 6-21

• Réinitialisation des mots de passe utilisateur à la page 6-22

• Carte à puce à la page 2-15

• Utilisation de la réinitialisation du mot de passe de l'auto-assistance à la page 6-27

• Assistance pour l'aide à distance à la page 6-29

• Gestion des objets Paramètres de mot de passe à partir d'Active Directory à la page 6-34

Réinitialisation d'un mot de passe administrateur/authentificateur d'entreprise

Seuls les comptes d'administrateur de l'entreprise peuvent réinitialiser un mot de passed'administrateur d'entreprise. Un authentificateur appartenant au même grouped'autorisations ou à un groupe supérieur peut réinitialiser un mot de passeadministrateur ou authentificateur de ce groupe.

ConseilPour se prémunir contre l'oubli d'un mot de passe, Trend Micro recommande d'avoir enpermanence au moins trois comptes d'administrateur de l'entreprise. En cas d'oubli du motde passe d'un compte d'administrateur d'entreprise, utilisez l'authentification de l'Auto-assistance pour le réinitialiser.

Procédure

1. Connectez-vous à PolicyServer MMC à l'aide d'un compte d'administrateurd'entreprise.



6-21

3. Effectuez un clic droit sur le compte de l'administrateur ou de l'authentificateurd'entreprise dont le mot de passe est oublié, puis sélectionnez Modifier le mot depasse.

La fenêtre Modifier le mot de passe apparaît.

4. Sélectionnez une méthode d'authentification.

5. Spécifiez le mot de passe (si requis).


Le mot de passe du compte est réinitialisé.

RemarqueL'option L'utilisateur doit changer de mot de passe lors de sa prochaineconnexion n'est disponible qu'une fois que l'agent a effectué la mise à jour desstratégies.

Réinitialisation d'un mot de passe administrateur/authentificateur de groupe

Les modifications apportées aux mots de passe n'affectent que le groupe sélectionné.Pour réduire le nombre de mots de passe, n'attribuez des comptes d'administrateur degroupe qu'à un seul groupe supérieur.

Procédure

1. Connectez-vous à PolicyServer MMC à l'aide d'un compte d'administrateur degroupe.


3. Effectuez un clic droit sur le compte d'administrateur ou d'authentificateur degroupe dont le mot de passe est oublié, puis sélectionnez Modifier le mot depasse.



6-22

4. Sélectionnez une méthode d'authentification.

5. Spécifiez et confirmez le mot de passe (si requis).


Le mot de passe du compte est réinitialisé.

Remarque

L'option L'utilisateur doit changer de mot de passe lors de sa prochaineconnexion n'est disponible que lorsque le client effectue une mise à jour.

Réinitialisation des mots de passe utilisateurLorsque vous effectuez la réinitialisation du mot de passe d'un utilisateur, cochez la caseL'utilisateur doit changer de mot de passe lors de sa prochaine connexion pourque l'utilisateur soit invité à modifier son mot de passe lors de sa prochaine connexion.L'utilisateur sera invité à changer de mot de passe après sa connexion à un périphériqueEndpoint Encryption.

Conseil

Trend Micro recommande d'utiliser l'authentification de domaine.


• Réinitialisation vers un mot de passe fixe à la page 6-22

• Réinitialisation d'un mot de passe utilisateur avec Active Directory à la page 6-23

Réinitialisation vers un mot de passe fixe

Procédure

1. Ouvrez Utilisateurs de l'entreprise ou développez le groupe, puis cliquez surUtilisateurs.


6-23

2. Sélectionnez les comptes d'utilisateurs dans le volet de droite.

Remarque

Appuyez sur SHIFT pour sélectionner plusieurs utilisateurs. Une sélection multiplen'est possible qu'au niveau du groupe.

3. Effectuez un clic droit et sélectionnez Modifier le mot de passe.


4. Pour la Méthode d'authentification, sélectionnez Mot de passe fixe.

5. Spécifiez et confirmez le mot de passe.


L'utilisateur doit modifier son mot de passe une fois que la connexion auxpériphériques Endpoint Encryption a réussi.

Réinitialisation d'un mot de passe utilisateur avec ActiveDirectoryTrend Micro recommande l'utilisation d'Active Directory pour réinitialiser un mot depasse utilisateur, surtout si l'utilisateur a accès au Centre d'assistance de la société,dispose d'une connexion au réseau ou si l'authentification unique (SSO) de Windows estactivée.

Consultez le guide de l'utilisateur du système d'exploitation adéquat pour obtenir plusd'informations sur la réinitialisation d'un mot de passe utilisateur de domaine à l'aided'Active Directory.

Carte à puceL'authentification par carte à puce nécessite à la fois un numéro d'identificationpersonnel et un jeton physique pour confirmer l'identité de l'utilisateur. Les certificats decarte à puce sont associés au compte d'utilisateur et au groupe affecté à l'utilisateur. Unefois enregistré, l'utilisateur peut utiliser l'authentification par carte à puce à partir d'un


6-24

périphérique Endpoint Encryption quelconque dans ce groupe. Les utilisateurs sontlibres d'utiliser un périphérique Endpoint Encryption quelconque dans leur groupe etn'ont pas besoin de demander un autre mot de passe à usage unique.

Pour utiliser l'authentification par carte à puce, assurez-vous que les conditions requisessuivantes sont remplies :

• Le lecteur de carte à puce est connecté au point final et la carte à puce est inséréedans le lecteur de carte à puce.

• ActivClient 6.2 est installé, ainsi que tous les Service Packs et mises à jour.

RemarqueActivClient 7.0 et les versions ultérieures ne sont pas pris en charge.

• Indiquez le code confidentiel de la carte à puce dans le champ du mot de passe.

AVERTISSEMENT!Si un mot de passe incorrect est saisi, une erreur de mot de passe est envoyée et peutentraîner le verrouillage de la carte à puce.

Remarque

• L'authentification par carte à puce n'est configurable qu'avec PolicyServer MMC.

• Le passage de la méthode d'authentification par carte à puce à l'authentification dedomaine peut entraîner des problèmes pour les utilisateurs de domaine ajoutés viaADSync ou via l'option Importer des utilisateurs Active Directory. Pour résoudre ceproblème, supprimez le compte d'utilisateur de domaine de l'entreprise et redémarrezles services PolicyServer pour lancer la synchronisation avec le serveur AD. Leprocessus de synchronisation rajoute l'authentification de domaine comme méthoded'authentification pour l'utilisateur. Vous pouvez également rajouter le compted'utilisateur de domaine via l'option Importer des utilisateurs Active Directory.

Enregistrement d'une carte à puceLes certificats de carte à puce sont associés au compte d'utilisateur et au groupe affecté àl'utilisateur. Une fois enregistré, l'utilisateur peut utiliser l'authentification par carte à


6-25

puce à partir d'un périphérique Endpoint Encryption quelconque dans ce groupe. Lesutilisateurs sont libres d'utiliser un périphérique Endpoint Encryption quelconque dansleur groupe et n'ont pas besoin de demander un autre mot de passe à usage unique.

Configuration d'une authentification par carte à puce dansPolicyServer MMCL'enregistrement d'une carte à puce autorise un utilisateur à se connecter en utilisant uneauthentification par carte à puce. Pour plus d'informations sur l'authentification par carteà puce au pré-amorçage de Full Disk Encryption, consultez la section Carte à puce à lapage 2-15.

Procédure


2. Accédez à Full Disk Encryption > Connexion.

3. Effectuez un clic droit sur Authentification par jeton et sélectionnez Activer.

4. Accédez à Full Disk Encryption > Mot de passe.

5. Effectuez un clic droit sur Méthodes d'authentification autorisées, puissélectionnez Propriétés.

La fenêtre Modifier la valeur de la stratégie s'ouvre.

6. Sélectionnez Code PIN, puis cliquez sur OK pour confirmer la modification de lastratégie.

L'authentification par carte à puce est activée.

Enregistrement d'une carte à puce dans PolicyServer MMCAvant de poursuivre, veillez à configurer l'authentification par carte à puce. Pour plusd'informations sur la configuration de l'authentification par carte à puce, consultez lasection Configuration d'une authentification par carte à puce dans PolicyServer MMC à la page 6-25.

Les certificats de carte à puce sont associés au compte d'utilisateur et au groupe affecté àl'utilisateur. Une fois enregistré, l'utilisateur peut utiliser l'authentification par carte à


6-26

puce à partir d'un périphérique Endpoint Encryption quelconque dans ce groupe. Lesutilisateurs sont libres d'utiliser un périphérique Endpoint Encryption quelconque dansleur groupe et n'ont pas besoin de demander un autre mot de passe à usage unique.

Une fois qu'un code confidentiel de carte à puce a été attribué à l'utilisateur, celui-ci peutse connecter directement à l'agent Full Disk Encryption avec la carte à puce à partir del'écran d'authentification par carte à puce dans le pré-amorçage de Full Disk Encryption.

Procédure


2. Insérez la carte à puce dans le lecteur.

3. Connectez le lecteur au point final de PolicyServer.

4. Développez un groupe spécifique, puis cliquez sur Utilisateurs.

5. Effectuez un clic droit sur l'utilisateur, puis sélectionnez Modifier le mot depasse.


6. Dans la liste déroulante Méthode d'authentification, sélectionnez Carte à puce.

7. Spécifiez et confirmez le code PIN.

8. Dans la liste déroulante Sélectionner un emplacement, sélectionnez le type decarte à puce.

9. Cliquez sur Appliquer pour confirmer l'authentification du jeton.

10. Cliquez sur OK pour confirmer les modifications apportées au compte d'utilisateur.

La carte à puce est enregistrée pour tous les utilisateurs faisant partie du même groupeque l'utilisateur sélectionné.


6-27

Enregistrement d'une carte à puce dans le pré-amorçage deFull Disk Encryption

Procédure

1. Suivez les instructions pour modifier les mots de passe, puis sélectionnez Carte àpuce.

Consultez le Manuel de l'administrateur de PolicyServer MMC.

2. Insérez la carte à puce dans le lecteur.

3. Connectez le lecteur au point final.

4. Spécifiez le nom d'utilisateur et le mot de passe fixe.

5. Cliquez sur Continue.

6. Dans le message de confirmation, cliquez sur Continuer.

7. Dans la fenêtre Enregistrer le jeton, effectuez les opérations suivantes :

a. Saisissez le nouveau code confidentiel fourni par l'administrateur du groupeou de l'entreprise.

b. Confirmez le nouveau code PIN.

c. Sélectionnez le type de carte à puce dans liste déroulante Jeton.

d. Cliquez sur Continuer pour terminer l'enregistrement du jeton de carte àpuce.

Utilisation de la réinitialisation du mot de passe de l'auto-assistance

Les utilisateurs qui ont oublié leur mot de passe peuvent utiliser l'auto-assistance pours'authentifier sans faire appel au Centre d'assistance. Utilisez les stratégies Nombre dequestions et Stimulation personnelle pour définir le nombre de questions de lastimulation personnelle et les questions auxquelles l'utilisateur doit répondre


6-28

respectivement. On répond aux questions de l'auto-assistance lors de l'authentificationinitiale de l'utilisateur et lorsque les utilisateurs modifient leur mot de passe.

Pour plus d'informations sur l'utilisation de l'auto-assistance, consultez la section Auto-assistance à la page 2-14.

Remarque

L'auto-assistance requiert une connexion réseau de l'agent Endpoint Encryption àPolicyServer.

Procédure

1. Développez Stratégies de l'entreprise ou développez le groupe, puis lesStratégies.

2. Accédez à Commun > Authentification > Connexion locale > Auto-assistance.

Figure 6-5. Stratégie de l'auto-assistance

3. Ouvrez Nombre de questions pour définir le nombre de questions requisesauxquelles les utilisateurs doivent répondre.


6-29

AVERTISSEMENT!Ne définissez pas le Nombre de questions sur plus que six Sinon, les utilisateurs nepeuvent pas s'authentifier à l'aide de l'auto-assistance.

4. Effectuez un clic droit sur Stimulation personnelle et sélectionnez Ajouter pourdéfinir une question à laquelle l'utilisateur doit répondre. Répétez l'opérationjusqu'à ce que toutes les questions de la stimulation personnelle ait été définies.

L'utilisateur sera invité à définir des réponses aux questions de stimulationpersonnelle lors de sa prochaine connexion à un périphérique EndpointEncryption

Assistance pour l'aide à distanceL'aide à distance permet aux utilisateurs de réinitialiser un mot de passe oublié ou uncompte verrouillé. Tout utilisateur Endpoint Encryption dont le compte a été verrouilléou qui a oublié le mot de passe du compte doit réinitialiser le mot de passe avant depouvoir se connecter à un périphérique Endpoint Encryption. L'aide a distance requiertque l'utilisateur contacte le Centre d'assistance pour obtenir une réponse à la stimulation.L'aide à distance ne nécessite pas une connexion réseau à PolicyServer.

Procédure

1. Connectez-vous à PolicyServer MMC en utilisant un compte disposant desautorisations d'administrateur de groupe dans le même groupe de stratégies quel'utilisateur.

2. Demandez à l'utilisateur d'accéder à Aide > Aide à distance à partir de l'agentEndpoint Encryption.

3. Demandez à l'utilisateur l'ID du périphérique.


6-30

Figure 6-6. Assistance pour l'aide à distance

4. Dans PolicyServer MMC, ouvrez Périphériques de l'entreprise ou développez legroupe de l'utilisateur et ouvrez Périphériques.

5. Dans le volet de droite, effectuez un clic droit sur le périphérique de l'utilisateur,puis sélectionnez Jeton logiciel.

La fenêtre Jeton logiciel s'ouvre.

6. Demandez à l'utilisateur le code de stimulation à 16 chiffres et tapez-le dans lechamp Stimulation de la fenêtre Jeton logiciel.

7. Cliquez sur Obtenir la réponse.


6-31

Le champ Réponse se remplit avec une chaîne de 8 caractères.

8. Indiquez à l'utilisateur la chaîne des 8 caractères du champs Réponse.

9. L'utilisateur entre la chaîne dans le champ Réponse sur le point final et cliquez surConnexion.

10. L'utilisateur doit spécifier un nouveau mot de passe.

Configuration des informations de supportLa stratégie Informations sur la prise en charge fournit des informations sur le Centred'assistance de l'organisation. Vous pouvez configurer de manière unique la stratégieInformations sur la prise en charge pour chaque groupe.

Procédure

1. Connectez-vous à PolicyServer MMC à l'aide d'un compte d'administrateur/authentificateur d'entreprise ou un compte d'administrateur/authentificateur degroupe du même groupe de stratégies que l'utilisateur.

2. Développez le groupe de l'utilisateur et accédez à Stratégies > Full DiskEncryption > Connexion.

3. Effectuez un clic droit sur la stratégie Informations de support et sélectionnezAjouter.


6-32

4. Spécifiez les informations relatives au support.

5. Cliquez sur OK.

Utilisation de l'aide à distance pour déverrouiller despériphériques Full Disk Encryption

Important

• Le redémarrage du périphérique Endpoint Encryption réinitialise le code destimulation.

• La synchronisation manuelle des stratégies avec PolicyServer réinitialise également lecode de stimulation.

• Le code de stimulation et le code de réponse ne sont pas sensibles à la casse.

Procédure

1. À partir du pré-amorçage de Full Disk Encryption, accédez à Menu >Authentification > Aide à distance.

2. Fournissez le Code de stimulation à l'administrateur de la stratégie/du groupe.

3. Spécifiez le Code de réponse fourni par l'administrateur de la stratégie/du groupe.


L'écran Modifier le mot de passe apparaît.

Remarque

Si le compte utilise l'authentification de domaine, le point final démarre directementsous Windows.

5. Saisissez et confirmez le nouveau mot de passe, puis cliquez sur Suivant.

Le dispositif démarre sous Windows.


6-33

Utilisation de l'aide à distance pour déverrouiller unpériphérique File EncryptionLorsqu'un utilisateur dépasse le nombre de tentatives d'authentification et que lesstratégies sont définies pour appliquer l'authentification à distance, File Encryptionverrouille les dossiers Endpoint Encryption et avertit l'utilisateur que l'aide à distance estrequise. L'utilisation de l'aide à distance pour déverrouiller File Encryption nécessite uneassistance de la part de l'authentificateur de l'entreprise ou de l'authentificateur degroupe.

RemarquePour plus d'informations sur l'utilisation de l'aide à distance, consultez Assistance à distance àla page 2-14.

Procédure

1. Effectuez un clic droit sur l'icône File Encryption de la barre d'état système, puissélectionnez Aide à distance.


6-34

L'écran Aide à distance s'affiche.

Figure 6-7. Aide à distance de File Encryption

2. Spécifiez le nom d'utilisateur.

3. Cliquez sur Obtenir la stimulation.

4. Entrez la Réponse fournie par l'authentificateur de groupe/d'entreprise.


L'utilisateur est authentifié auprès de File Encryption et une notification s'affiche.

Gestion des objets Paramètres de mot de passe à partird'Active Directory

Endpoint Encryption prend en charge les stratégies de mots de passe affinées via ActiveDirectory. Si le serveur PolicyServer se trouve dans la liste d'ordinateurs d'Active


6-35

Directory, les stratégies de mots de passe d'Active Directory ont priorité sur lesparamètres de stratégie de PolicyServer de Control Manager et de PolicyServer MMC.

La procédure suivante montre comment ajouter le serveur PolicyServer à la listed'ordinateurs d'Active Directory.

Procédure

1. Ouvrez les paramètres de sécurité de l'objet Paramètres de mot de passe (PSO,Password Settings Object).

a. Accédez à Démarrer > Outils d'administration > Utilisateurs etordinateurs Active Directory.

b. Dans le menu Afficher, vérifiez que les fonctionnalités avancées sontactivées.

c. Rechercher votre nœud de domaine dans la liste Utilisateurs et ordinateursActive Directory

d. Accédez à Système > Conteneur de paramètres de mots de passe.

e. Sélectionnez la propriété PSO que vous prévoyez d'utiliser pour la gestion desstratégies de mot de passe.

f. Accédez à l'onglet Sécurité.

2. Ajoutez le point final du serveur PolicyServer à la liste Noms de groupes oud'utilisateurs.

a. Dans la liste Noms de groupes ou d'utilisateurs, cliquez sur Ajouter….

b. Dans la fenêtre Types d'objets, sélectionnez Ordinateurs.

c. Sélectionnez le point final du serveur PolicyServer.

3. Vérifiez vos modifications et confirmez-les.

7-1

Chapitre 7

Périphériques dans PolicyServerMMC

Les périphériques Endpoint Encryption sont des agents Endpoint Encryptionenregistrés sur PolicyServer. L'installation d'un agent Endpoint Encryption enregistreautomatiquement le point final sur PolicyServer en tant que nouveau périphériqueEndpoint Encryption. Étant donné que plusieurs agents Endpoint Encryption peuventprotéger un point final donné, un point final unique peut apparaître comme plusieurspériphériques Endpoint Encryption sur PolicyServer.

Ce chapitre explique comment administrer PolicyServer MMC afin de gérer desstratégies affectant les périphériques Endpoint Encryption et comment garantir lasécurité des données en utilisant le widget spécialisé des périphériques EndpointEncryption. Ce chapitre explique également comment restaurer des périphériquesEndpoint Encryption supprimés.


• Ajouter un périphérique à un groupe à la page 5-12

• Suppression d'un périphérique du groupe à la page 5-13

• Suppression d'un périphérique au niveau de l'entreprise à la page 7-5

• Obtention d'un jeton logiciel à la page 7-6

• Utilisation de la clé de restauration à la page 7-7


7-2

• Affichage des attributs du périphérique à la page 7-8

• Affichage de la liste de répertoires à la page 7-12

• Affichage de l'adhésion au groupe à la page 7-12

• Élimination d'un périphérique à la page 7-13

• Verrouillage d'un périphérique à la page 7-14

• Réinitialisation d'un périphérique à la page 7-14

• Restauration d'un périphérique supprimé à la page 7-15

Périphériques dans PolicyServer MMC

7-3

Ajouter un périphérique à un groupe

Remarque

Chaque périphérique Endpoint Encryption ne peut appartenir qu'à un seul groupe.

Procédure

1. Dans le volet de gauche, développez le groupe de stratégies souhaité et cliquez surPériphériques.

2. Dans le volet de droite, effectuez un clic droit sur un espace vide et sélectionnezAjouter un périphérique.

L'écran Ajouter des dispositifs au groupe s'ouvre.

Figure 7-1. Écran Ajouter des dispositifs au groupe

3. Saisissez les informations relatives au périphérique, puis cliquez sur Rechercher.

S'il existe une correspondance, le champ Source se remplit avec les périphériquesEndpoint Encryption.


7-4

4. Sélectionnez les périphériques Endpoint Encryption applicables dans le champSource, puis cliquez sur la flèche bleue pour les ajouter.


5. Cliquez sur Appliquer pour ajouter le périphérique Endpoint Encryption augroupe sélectionné.

Le périphérique Endpoint Encryption est ajouté au groupe.

Ajouter/Supprimer des icônes de résultats de recherche

Icônes ducentre Description

Ajouter un élément sélectionné unique au champ Destination.

Ajouter tous les éléments trouvés à l'aide des critères de recherche auchamp Destination.

Supprimer un élément unique sélectionné du champ Destination.

Supprimer tous les éléments du champ Destination.

Suppression d'un périphérique du groupeSupprimer un périphérique d'un groupe entraîne uniquement la suppression dupériphérique du groupe sélectionné.


7-5

AVERTISSEMENT!

Pour supprimer un périphérique de tous les groupes, il faut le supprimer au niveau del'entreprise. Avant de supprimer un périphérique de l'entreprise, assurez-vous qu'il a bienété déchiffré et que tous les agents Endpoint Encryption ont été désinstallés. Ne paseffectuer cette procédure peut entraîner une perte des données irréversible.

Procédure

1. Développez le groupe, puis ouvrez Périphériques.

2. Dans le volet de droite, effectuez un clic droit sur le périphérique et sélectionnezSupprimer un périphérique.


3. Cliquez sur Oui.

Le dispositif est supprimé.

Suppression d'un périphérique au niveau del'entreprise

La suppression d'un périphérique Endpoint Encryption de l'entreprise supprimeégalement ce périphérique de tous les groupes de stratégies. Le périphérique EndpointEncryption continuera à fonctionner tant que les stratégies de mots de passe et deconnectivité sont actualisées sur le périphérique. Toutefois, les utilisateurs EndpointEncryption ne pourront pas récupérer les fichiers si le périphérique EndpointEncryption est victime d'une défaillance matérielle critique après avoir été supprimé del'entreprise. Pour atténuer ce risque, déchiffrez immédiatement le périphérique EndpointEncryption et désinstallez le logiciel agent Endpoint Encryption.

Pour obtenir des informations sur la suppression d'un périphérique depuis un groupespécifique mais pas au niveau de l'entreprise, consultez Suppression d'un périphérique dugroupe à la page 5-13.


7-6

Procédure

1. Désinstallez l'agent Endpoint Encryption à partir du point final.

Remarque

Pour plus d'informations sur la désinstallation d'Endpoint Encryption, consultez leGuide d'installation et de migration Endpoint Encryption.

2. Ouvrez Périphériques de l'entreprise.

3. Dans le volet de droite, effectuez un clic droit sur le périphérique et sélectionnezSupprimer le périphérique.

4. Lorsqu'un message d'avertissement s'affiche, cliquez sur Oui pour confirmer.

Le périphérique Endpoint Encryption est supprimé de l'entreprise.

Remarque

Pour plus d'informations le nouvel ajout du périphérique à Endpoint Encryption,consultez la section Restauration d'un périphérique supprimé à la page 7-15.

Obtention d'un jeton logicielLa génération d'un « jeton logiciel » crée une chaîne unique que vous pouvez utiliserpour déverrouiller les périphériques Endpoint Encryption et pour aider à distance lesutilisateurs d'Endpoint Encryption à réinitialiser des mots de passe oubliés.

Remarque

Le jeton logiciel est disponible uniquement dans la version complète de Full DiskEncryption mais pas dans Encryption Management for Apple FileVault ou EncryptionManagement for Microsoft BitLocker.

Pour plus d'informations sur la redéfinition des mots de passe ou le déverrouillage d'uncompte d'utilisateur, consultez la section Assistance pour l'aide à distance à la page 6-29.


7-7

Procédure

1. Ouvrez Périphériques de l'entreprise ou développez un groupe et ouvrezPériphériques.

Tous les périphériques de l'entreprise ou du groupe apparaissent dans le volet dedroite.

2. Effectuez un clic droit sur le périphérique et sélectionnez Jeton logiciel.

L'écran Jeton logiciel s'affiche.

3. Demandez à l'utilisateur le code de stimulation à 16 chiffres et tapez-le dans lechamp Stimulation de la fenêtre Jeton logiciel.

4. Cliquez sur Obtenir la réponse.

Le champ Réponse se remplit avec une chaîne de 8 caractères.

5. Indiquez à l'utilisateur la chaîne des 8 caractères du champs Réponse.

Le périphérique Endpoint Encryption est déverrouillé et l'utilisateur EndpointEncryption peut s'y connecter.

Utilisation de la clé de restaurationLa génération d'une « clé de restauration » permet à l'utilisateur de déchiffrer un disquedur lorsque l'utilisateur a oublié le mot de passe ou la clé d'origine. La clé derécupération n'est disponible qu'avec les agents Encryption Management for AppleFileVault et Encryption Management for Microsoft BitLocker, car ils n'utilisent pas lesautres méthodes de récupération disponibles dans Full Disk Encryption.

Remarque

la clé de récupération est utilisée pour les périphériques chiffrés et n'est disponible en tantqu'option que lorsque les périphériques applicables sont sélectionnés.


7-8

Procédure



2. Dans le volet de droite, effectuez un clic droit sur le périphérique, puis sélectionnezClé de restauration.

L'écran Clé de restauration s'affiche.

3. Copiez la clé de restauration à utiliser sur le périphérique verrouillé.

4. Cliquez sur OK.

Affichage des attributs du périphériqueUtilisez Attributs du périphérique pour obtenir un aperçu du périphérique sélectionné.

Procédure




7-9

2. Dans le volet de droite, effectuez un clic droit sur le périphérique et sélectionnezAttributs du périphérique.

L'écran Attributs du périphérique s'affiche.

Attributs du périphérique

Le tableau suivant décrit les attributs du périphérique Endpoint Encryption.

Nom del'attribut Exemple Description

Nom NetBIOS AD Entreprise Nom attribué au NetBIOS AD.

GUID d'objet AD 6629bdeb-99a8-456b-b7c5-dbbc50ad13d0

GUID attribué à l'objet AD.

Nombre de batteries 2 Nombre de piles installées.

Version .NET 2.0.50727.3620 Version et numéro de compilation del'infrastructure .NET installée

Numéro decompilationCommonFramework

5.0.0.84 L'agent Endpoint Encryption utilise uneinfrastructure commune pour lechiffrement. Le numéro de compilation estutilisé pour indiquer si l'agent est à jour.

Modèle de disque IDE virtuel VMware Modèle du disque dur.

Nom du disque \\.\PHYSICALDRIVE0

Nom du disque dur.

Numéro de série dudisque

Numéro de série du disque dur.

Partitions de disque 1 Nombre de partitions sur le disquecontenant le programme d'installation del'agent.

Taille du disque 10733990400 Capacité totale du disque dur (en octets).


7-10


Nom de domaine GROUPE DETRAVAIL

Domaine dont le point final est membre.

ID du point final : 85b1e3e2a3c25d882540ef6e4818c3e4

ID unique du point final utilisé pourl'intégration de Control Manager.

Version de FileEncryption

6.0.0.1039 Version de File Encryption installée sur lepoint final.

Nom d'hôte TREND-4136D2DB3

Nom d'hôte du point final.

Adresse IP 10.1.152.219 Adresse IP du point final.

Langue Anglais (États-Unis) Langue utilisée par le point final.

Local en-US Paramètres régionaux utilisés par le pointfinal.

Adresse MAC 00-50-56-01-xx-xx Adresse MAC du point final.

Nom de l'ordinateur TREND-4136D2DB3

Nom d'ordinateur utilisé par le point final.

Fabricant VMware, Inc. Fabricant du disque dur.

Modèle Plate-forme virtuelleVMware

Modèle du disque dur.

Systèmed'exploitation

Microsoft WindowsNT 5.1.2600Service Pack 3

Système d'exploitation installé sur le mêmedisque dur que l'agent.

Nom du systèmed'exploitation

Microsoft WindowsXP Professional

Nom commun du système d'exploitationinstallé sur le même disque dur quel'agent.

Service Pack dusystèmed'exploitation

Service Pack 3 Numéro du Service Pack du systèmed'exploitation installé sur le même disquedur que l'agent.


7-11


Version du systèmed'exploitation

5.1.2600.196608 Numéro de version du systèmed'exploitation installé sur le même disquedur que l'agent.

Schéma departitionnement

MBR classique Schéma de partitionnement du disque dur.

Processeur x86 Family 6 Model30 Stepping 5,Genuine Intel

Fabricant et modèle du processeur dupoint final.

Nombre deprocesseurs

2 Nombre de processeurs dans le point final.

Révision duprocesseur

1e05 Numéro de révision du processeur.

Fuseau horaire Taipei Fuseau horaire dans lequel réside le pointfinal.

Mémoire physiquetotale

2 047 Mo RAM totale installée sur le point final ouallouée à celui-ci.

Type PC à base X86 Type de processeur du point final.

Nom d'utilisateurWindows

TREND-4136D2DB3\admin

Nom d'utilisateur du compte Windows quis'est connecté en dernier sur le point final.

Utilisateur del'<agent>

john_smith Nom d'utilisateur de la dernière connexion.

Version de l'<agent> 5.0.0.260 Version et numéro de compilation pourl'installation de l'agent.


7-12

Affichage de la liste de répertoires

Remarque

Utilisez la liste de répertoires pour afficher la structure du répertoire des périphériquesKeyArmor. La liste des répertoires n'est disponible que dans les environnements qui onteffectué une mise à niveau à partir d'un version précédente de PolicyServer et qui possèdentdes périphériques KeyArmor enregistrés.

Procédure



2. Dans le volet de droite, effectuez un clic droit sur le périphérique et sélectionnezListe de répertoires.

L'écran Copie instantanée du répertoire du périphérique s'affiche.

Affichage de l'adhésion au groupe

Remarque

Un périphérique ne peut appartenir qu'à un seul groupe.

Procédure




7-13

2. Dans le volet de droite, effectuez un clic droit sur le périphérique et sélectionnezListe des groupes.

L'écran Adhésion au groupe s'affiche.

Élimination d'un périphériqueLe lancement d'une commande « kill » supprime toutes les données du périphériqueEndpoint Encryption. Les données supprimées varient selon l'étendue des donnéesgérées par l'agent Endpoint Encryption associé. Par exemple, le lancement d'unecommande « kill » vers un périphérique Full Disk Encryption supprime toutes lesdonnées du point final, alors que le lancement d'une commande « kill » vers unpériphérique File Encryption supprime tous les fichiers et dossiers du stockage local ouamovible protégé par l'agent File Encryption. La commande « kill » est émise lorsquel'agent Endpoint Encryption communique avec PolicyServer.

AVERTISSEMENT!

L'élimination d'un périphérique est irréversible. Effectuez une sauvegarde de toutes lesdonnées avant d'effectuer une commande kill.

Procédure



2. Dans le volet de droite, effectuez un clic droit sur le périphérique et sélectionnezÉliminer un périphérique.

3. Lorsqu'un message d'avertissement s'affiche, cliquez sur Oui.



7-14

Verrouillage d'un périphériqueLe lancement d'une commande « lock » sur le périphérique Endpoint Encryptionempêche les utilisateurs Endpoint Encryption d'y accéder jusqu'à ce quel'authentification Aide à distance réussisse. Le verrouillage d'un périphérique entraîne leredémarrage du point final et le force dans un état qui nécessite de faire appel à l'aide àdistance. La commande de verrouillage est émise lorsque l'agent Endpoint Encryptioncommunique avec PolicyServer.

Procédure



2. Dans le volet de droite, effectuez un clic droit sur le périphérique EndpointEncryption et sélectionnez Verrouiller le périphérique.



Réinitialisation d'un périphériqueLe lancement d'une commande « soft reset » redémarre le point final. La commande estémise la prochaine fois que l'agent communique avec PolicyServer.

Procédure




7-15

2. Dans le volet de droite, effectuez un clic droit sur le périphérique EndpointEncryption et sélectionnez Réinitialisation logicielle.



Restauration d'un périphérique suppriméPour les environnements Control Manager et PolicyServer MMC, utilisez le nœudCorbeille de PolicyServer MMC pour restaurer un périphérique Endpoint Encryptionsupprimé.

Procédure


2. Développez l'entreprise, puis accédez à Maintenance de l'entreprise.


4. Ouvrez Périphériques supprimés.

Le volet de droite charge tous les périphériques Endpoint Encryption supprimés.

5. Effectuez un clic droit sur le périphérique Endpoint Encryption et sélectionnezRestaurer le périphérique.

Le périphérique Endpoint Encryption est rajouté au niveau de l'entreprise, mais iln'appartient à aucun groupe de stratégies.

8-1

Chapitre 8

Fonctionnalités d'entrepriseavancées

Dans les environnements principalement gérés par Control Manager, utilisezPolicyServer MMC pour les options avancées incluant certains rapports, les journaux etla maintenance. Endpoint Encryption conserve des journaux complets et génère desrapports sur les événements et les mises à jour. Utilisez les journaux et les rapports pourévaluer les commandes de stratégie et vérifier les mises à jour de composants. Lamaintenance de l'entreprise fournit une manière de purger de la base de données lesutilisateurs inactifs, les périphériques inactifs et des journaux correspondant à descritères spécifiques.


• Maintenance de l'entreprise à la page 8-2

• Restauration des utilisateurs et des périphériques supprimés à la page 8-9

• Journaux d'événements de l'entreprise à la page 8-10

• Rapports de l'entreprise à la page 8-15

• Outils de maintenance à la page 8-22


8-2

Maintenance de l'entreprisePolicyServer enregistre les activités du système (modifications apportées aux stratégies,tentatives d'authentification réussies, périphériques verrouillés pour cause de tentativesde connexion infructueuses trop nombreuses) et conserve ces enregistrements sous laforme de journaux d'événements. Vous pouvez générer des rapports en fonction desbesoins ou sur une base programmée.

PolicyServer MMC dispose de divers rapports intégrés pour vérifier l'état de chiffrementd'un périphérique, l'activité d'un utilisateur/périphérique ainsi que l'intégrité dePolicyServer.

Remarque

Seuls les comptes d'administrateur d'entreprise peuvent utiliser des rapports.


• Supprimer les utilisateurs inactifs à la page 8-2

• Supprimer les périphériques inactifs à la page 8-4

• Purge de journaux à la page 8-7

Supprimer les utilisateurs inactifs

Un utilisateur inactif est un compte d'utilisateur qui ne s'est pas connecté sur unpériphérique Endpoint Encryption pendant une période de temps spécifiée.

Le nœud Maintenance de l'entreprise de PolicyServer MMC permet de purger lesutilisateurs et les périphériques Endpoint Encryption inactifs, puis d'afficher lesjournaux d'événements des utilisateurs ou des périphériques purgés dans un rapport. Enoutre, vous pouvez définir des critères spécifiques pour purger la base de données dejournaux à une heure donnée ou selon une programmation spécifique.

Fonctionnalités d'entreprise avancées

8-3

AVERTISSEMENT!Les comptes d'utilisateur purgés ne peuvent pas s'authentifier sur des périphériquesEndpoint Encryption.

Purge des utilisateurs inactifs

Procédure



3. Cliquez sur Purger les utilisateurs inactifs.

4. Spécifiez le nombre de jours pour purger tous les comptes d'utilisateurs qui ne sesont pas connectés à un périphérique pendant la période.

RemarqueSpécifiez une plage comprise entre 7 et 999 jours.

5. Cliquez sur Purger.

6. Cliquez sur OK pour confirmer la purge.

Tous les éléments correspondant aux critères de purge sont supprimés de la base dedonnées.

Affichage du journal d'événements Purger les utilisateursinactifs

Procédure


2. Cliquez sur Journaux d'événements de l'entreprise.

Tous les journaux d'événements actuels apparaissent dans le volet de droite.


8-4

3. Dans le bas de la page, cliquez sur Filtrer.

La fenêtre Filtre de recherche s'affiche.

4. Dans la liste déroulante ID message, sélectionnez 200105, Utilisateurs inactifssupprimés de l'entreprise.

5. Cliquez sur Rechercher.

Tous les journaux d'événements correspondant aux critères spécifiés apparaissent.

6. Double-cliquez sur le journal des événements.

La fenêtre Enregistrement du journal s'ouvre en affichant toutes les données dujournal pour l'événement sélectionné.

Affichage du rapport Purger les utilisateurs inactifs

Procédure



3. Cliquez sur Rapports programmés de l'entreprise.

4. Effectuez l'une des actions suivantes dans le volet de droite :

• Pour afficher le rapport sous forme de tableau, double-cliquez sur Purger lesutilisateurs inactifs.

• Pour afficher le rapport au format HTML, effectuez un clic droit sur unrapport, puis sélectionnez Afficher le rapport.

Supprimer les périphériques inactifsUn utilisateur inactif est un compte d'utilisateur Endpoint Encryption qui ne s'est pasconnecté pendant une période de temps spécifiée.


8-5

Le nœud Maintenance de l'entreprise de PolicyServer MMC permet de purger lesutilisateurs et les périphériques Endpoint Encryption inactifs, puis d'afficher lesjournaux d'événements des utilisateurs ou des périphériques purgés dans un rapport. Enoutre, vous pouvez définir des critères spécifiques pour purger la base de données dejournaux à une heure donnée ou selon une programmation spécifique.

AVERTISSEMENT!

Les utilisateurs ne peuvent pas se connecter sur des périphériques Endpoint Encryption quiont été purgés.

Purge des périphériques inactifs

Procédure



3. Cliquez sur Purger les périphériques inactifs.

4. Spécifiez le nombre de jours pour purger tous les comptes d'utilisateurs qui ne sesont pas connectés à un périphérique Endpoint Encryption pendant la période.

5. Cliquez sur Purger.

6. Cliquez sur OK pour confirmer la purge.


Affichage du journal d'événements Purger les périphériquesinactifs

Procédure



8-6





4. Dans la liste déroulante ID message, sélectionnez 200303, Périphériquesinactifs supprimés de l'entreprise.





Affichage du rapport Purger les périphérique inactifs

Procédure



3. Cliquez sur Rapports programmés de l'entreprise.

4. Effectuez l'une des actions suivantes dans le volet de droite :

• Pour afficher le rapport sous forme de tableau, double-cliquez sur Purger lespériphériques inactifs.

• Pour afficher le rapport au format HTML, effectuez un clic droit sur unrapport, puis sélectionnez Afficher le rapport.

Le rapport s'affiche.


8-7

Purge de journauxLe nœud Maintenance de l'entreprise de PolicyServer MMC permet de purger lesutilisateurs et les périphériques Endpoint Encryption inactifs, puis d'afficher lesjournaux d'événements des utilisateurs ou des périphériques purgés dans un rapport. Enoutre, vous pouvez définir des critères spécifiques pour purger la base de données dejournaux à une heure donnée ou selon une programmation spécifique.

Purge de la base de données des journaux

Procédure



3. Cliquez sur Purger la base de données des journaux.

4. Sélectionnez Activer la purge programmée.

5. Configurez les options suivantes :

Option Description

Purger les journauxplus anciens que<X> jours

Spécifiez le nombre de jours pendant lesquels conserverles journaux. Tous les éléments antérieurs au nombre dejours spécifiés sont purgés.

Type d'intervalle Choisissez de purger la base de données des journaux tousles jours, toutes les semaines, toutes les deux semaines outous les mois.

Date de début Sélectionnez à quel moment démarrer la purgeprogrammée.

Heure Spécifiez l'heure du jour pour la purge programmée.




8-8


Affichage de l'événement Purge des journaux de la base dedonnées

Remarque

La purge des journaux de la base de données des journaux ne se produit que lorsque lescritères de planification sont satisfaits. Si aucune donnée ne correspond aux critères derecherche, vérifiez que la planification est définie correctement. Pour obtenir desinformations détaillées, consultez la section Purge de la base de données des journaux à la page8-7.

Procédure






4. Dans la liste déroulante ID message, sélectionnez 103104, Données du journalsupprimées de l'entreprise.






8-9

Restauration des utilisateurs et despériphériques supprimés

Utilisez la corbeille de PolicyServer MMC pour restaurer un utilisateur ou unpériphérique Endpoint Encryption supprimé. Tous les utilisateurs et périphériquesEndpoint Encryption supprimés sont stockés dans la corbeille au niveau de l'entreprise.Les groupes ne disposent pas d'une corbeille. La restauration d'un utilisateur ou d'unpériphérique Endpoint Encryption supprimé n'entraîne pas son nouvel ajout auxgroupes de stratégies auxquels il était précédemment affecté.

Restauration d'un utilisateur suppriméPour les environnements Control Manager et PolicyServer MMC, utilisez le nœudCorbeille de PolicyServer MMC pour restaurer un utilisateur de Endpoint Encryptionsupprimé.

Procédure



3. Ouvrez Utilisateurs supprimés.

Le volet de droite charge tous les utilisateurs supprimés.

4. Effectuez un clic droit sur le compte d'utilisateur et sélectionnez Restaurerl'utilisateur.

L'utilisateur est rajouté au niveau de l'entreprise mais il n'appartient à aucun groupede stratégies.

Restauration d'un périphérique suppriméPour les environnements Control Manager et PolicyServer MMC, utilisez le nœudCorbeille de PolicyServer MMC pour restaurer un périphérique Endpoint Encryptionsupprimé.


8-10

Procédure




4. Ouvrez Périphériques supprimés.

Le volet de droite charge tous les périphériques Endpoint Encryption supprimés.

5. Effectuez un clic droit sur le périphérique Endpoint Encryption et sélectionnezRestaurer le périphérique.

Le périphérique Endpoint Encryption est rajouté au niveau de l'entreprise, mais iln'appartient à aucun groupe de stratégies.

Journaux d'événements de l'entreprisePolicyServer enregistre les journaux d'événements en utilisant des critères prédéfinis,notamment les tentatives d'accès, les erreurs système, les modifications apportées auxutilisateurs, aux groupes ou aux stratégies et les problèmes de conformité. La gestion desjournaux d'événements et des rapports permet aux comptes d'administrateur del'entreprise ou d'administrateur de groupe de rechercher des journaux d'événementsspécifiques et d'établir des rapports concernant la sécurité du serveur et des clients.


• Gestion des journaux d'événements à la page 8-10

• Alertes à la page 8-11

• Activation de PolicyServer pour l'envoi des SMS et des e-mails à la page 8-13

Gestion des journaux d'événementsSeuls les messages des sept (7) derniers jours s'affichent automatiquement. Utilisez lefiltre pour afficher les journaux d'événements plus anciens. Il est utile de rechercher des


8-11

journaux en utilisant l'ID message. Par exemple la recherche de l'ID message « 400008 »affiche tous les messages « Chiffrement du périphérique terminé ». Pour plusd'informations sur les ID de message, consultez la section ID de messages de PolicyServer àla page A-1.

Procédure


2. Sélectionnez un niveau journal d'événement :

• Pour les journaux du niveau entreprise, développez Journaux d'événementsde l'entreprise.

• Pour les journaux du niveau groupe, accédez à Nom du groupe > Journauxd'événements.

La fenêtre du journal s'ouvre. Tous les journaux d'événements des sept (7) derniersjours sont automatiquement affichés.

3. Double-cliquez sur n'importe quel journal pour afficher les informations.

4. Cliquez sur Filtre pour rechercher le fichier journal :

a. Spécifiez les critères de recherche.

b. Sélectionnez la plage de dates.

c. Cliquez sur Rechercher.

5. Cliquez sur Actualiser pour mettre à jour les données du journal.

6. Cliquez sur Précédent ou Suivant pour naviguer à travers les données du journal.

AlertesPour aider à catégoriser les alertes, vous pouvez personnaliser les critères d'alerte à l'aidede niveaux de sécurité prédéfinis. Envoyez des journaux d'événements à un ou plusieursdestinataires en configurant les alertes au niveau de l'entreprise ou du groupe.


8-12

Remarque

Pour plus d'informations sur les ID de message, consultez la section ID de messages dePolicyServer à la page A-1.

Configuration des alertes de PolicyServer

Procédure


2. Sélectionnez un niveau journal d'événement :

• Pour les journaux du niveau entreprise, développez Journaux d'événementsde l'entreprise.

• Pour les journaux du niveau groupe, accédez à Nom du groupe > Journauxd'événements.

La fenêtre du journal s'ouvre. Tous les journaux d'événements des sept (7) derniersjours sont automatiquement affichés.

3. Cliquez sur Alertes.

4. Dans l'espace vide du volet de droite, effectuez un clic droit et sélectionnezAjouter.

La fenêtre Modifier l'alerte s'affiche.

5. Spécifiez un Nom d'alerte.

6. Sélectionnez la sévérité des journaux déclenchant les alertes.

7. Sélectionnez les ID de message pour déclencher les alertes.

8. Spécifiez une seule adresse par ligne pour envoyer la notification d'alerte.

9. Sélectionnez s'il faut envoyer les alertes en fonction du nombre d'événements dansune période de temps définie.


8-13

10. Cliquez sur Terminé.

Activation de PolicyServer pour l'envoi des SMS et des e-mails

Cette fonction ne peut être effectuée qu'avec des serveurs PolicyServer installés sousWindows Server 2008 ou Windows Server 2008 R2.

Procédure

1. Connectez-vous au serveur Windows.

2. Ouvrez le Gestionnaire de serveur.

3. Accédez à Fonctionnalités > Ajouter des fonctionnalités.

4. Cochez Serveur SMTP.

La fenêtre Ajouter les services de rôle et les fonctionnalités requises pour leserveur SMTP s'ouvre.

5. Cliquez sur Ajouter les services de rôle requis.


7. Cliquez de nouveau sur Suivant.

8. Cliquez sur Installer.

Les serveurs Web IIS et SMTP s'installent.

9. Cliquez sur Fermer.

10. Accédez à Démarrer > Outils d'administration > Internet InformationServices (IIS) 6.0 Manager.

IIS 6.0 Manager s'ouvre

11. Développez NomServeur (périphérique local).

12. Effectuez un clic droit sur [Serveur virtuel SMTP n°1] et cliquez sur Propriétés.


8-14

Remarque

Cochez Activer la journalisation pour enregistrer les pannes ultérieures.

13. Accédez à Accès > Connexion... et sélectionnez Uniquement la liste ci-dessous, puis cliquez sur Ajouter....

14. Dans le champ Adresse IP, spécifiez 127.0.0.1, puis cliquez sur OK.

Remarque

Répétez l'opération pour spécifier toutes les adresses IP sur le serveur local

15. Cliquez sur OK.

16. Accédez à Envoi > Avancé... et spécifiez le Domaine fictif au format suivant :psproxy.<domain>.<com/org>.

17. Cliquez sur OK deux fois pour fermer la fenêtrePropriétés du serveur virtuelSMTP n°1.

18. Accédez à Stratégies de l'entreprise > PolicyServer > PDA > E-mail.

19. Ouvrez NomServeur SMTP, spécifiez 127.0.0.1, puis cliquez sur Appliquer.

Configuration d'une hypothèse avancée

Pour de meilleurs résultats, créez une entrée DNS SPF (Sender Policy Framework). Pourcréer un enregistrement SPF dans d'autres serveurs DNS (BIND), consultez ladocumentation du vendeur.

Procédure

1. Sur un serveur Windows DNS, ouvrez la Console de gestion DNS.

2. Effectuez un clic droit sur la zone de recherche directe pour le domaine, puissélectionnez Autres nouveaux enregistrements.

3. Faites défilez vers le bas et sélectionnez TEXTE (TXT).


8-15

4. Laissez le Nom de l'enregistrement vide et spécifiez :

v=spf1 ip4:<external_PolicyServer_IP_address> -all

5. Cliquez sur OK.

Rapports de l'entreprisePolicyServer enregistre les journaux d'événements en utilisant des critères prédéfinis,notamment les tentatives d'accès, les erreurs système, les modifications apportées auxutilisateurs, aux groupes ou aux stratégies et les problèmes de conformité. La gestion desjournaux d'événements et des rapports permet aux comptes d'administrateur del'entreprise ou d'administrateur de groupe de rechercher des journaux d'événementsspécifiques et d'établir des rapports concernant la sécurité du serveur et des clients.

Les comptes d'administrateur de l'entreprise peuvent générer des rapports en fonctiondes besoins ou sur une base programmée. PolicyServer MMC dispose de divers rapportsintégrés pour vérifier l'état de chiffrement d'un périphérique Endpoint Encryption,l'activité d'un utilisateur ou d'un périphérique Endpoint Encryption ainsi que l'intégritéde PolicyServer.

Remarque

Seul l'administrateur d'entreprise peut utiliser les rapports.


• Options du rapport à la page 8-16

• Icônes des rapports à la page 8-16

• Types de rapports à la page 8-17

• Affichage des rapports à la page 8-20

• Programmation de rapports à la page 8-21

• Affichage des erreurs de rapports à la page 8-21


8-16

Options du rapport

Le tableau suivant décrit les options disponibles pour différents rapports. Effectuez unclic droit pour afficher les options disponibles.

Options du rapport Description

Effacer Retirer toutes les informations affichéesdans la fenêtre de résultats ; cela nesupprime pas les informations.

Afficher l'erreur Afficher une description de l'erreurprovoquant la non validité du rapport.

Afficher le rapport Afficher le rapport.

Page suivante Accède à la page suivante des élémentsde recherche.

Page précédente Retourne à la page précédente deséléments de recherche.

Actualiser Met à jour l'état d'un rapport envoyé.

Supprimer le rapport Supprimer le rapport.

Programmer un rapport Planifie un rapport à exécuter un jour ouune heure donnée.

Soumettre un rapport Génère le rapport sélectionné.

Icônes des rapports

Le tableau suivant décrit les icônes pouvant s'afficher à côté d'un rapport.

Icône Description

Les rapports standard peuvent êtreenvoyés en fonction des besoins afind'afficher les statistiques et autresmétriques d'utilisation.


8-17

Icône Description

Les rapports d'alerte informent les comptesd'administrateur d'entreprise desproblèmes de sécurité potentiels.

Types de rapportsLes rapports facilitent la compréhension des informations des journaux. PolicyServerMMC sépare les rapports en deux catégories distinctes :

• Rapports standard à la page 8-17

Les rapports standards capturent des informations de journaux spécifiques dans unformat de rapport. Envoyez des rapports standard en fonction des besoins.

• Rapports d'alerte à la page 8-19

Les rapports d'alerte envoient une notification d'alerte à l'administrateurd'entreprise et capturent l'incident de sécurité dans un rapport.

Remarque

Seul l'administrateur d'entreprise peut utiliser les rapports.

Rapports standard

Utilisez le tableau suivant pour comprendre quels sont les rapports standards disponiblespour être générés si besoin.

Tableau 8-1. Liste des rapports standard

Nom du rapport Description

État du chiffrement dupériphérique

Présente les états de chiffrement de tous lespériphériques Endpoint Encryption de l'entreprise.

Nombre de systèmesd'exploitation du périphérique

Présente tous les systèmes d'exploitation despériphériques et leur nombre.


8-18

Nom du rapport Description

Nombre de versions dupériphérique

Présente toutes les versions de périphériquesEndpoint Encryption et leur nombre.

Périphériques par date dedernière synchronisation

Présente tous les périphériques EndpointEncryption qui ont été synchronisés avecPolicyServer durant les x derniers jours.

Périphériques qui necommuniquent pas

Présente les périphériques Endpoint Encryption quin'ont pas communiqué au cours des <X> derniersjours.

Périphériques avec le dernierutilisateur connecté

Présente tous les périphériques EndpointEncryption ainsi que le dernier utilisateur qui s'y estauthentifié.

Licence disponible de l'entreprise Présente les jours avant l'expiration de la licence,les périphériques et utilisateurs Endpoint Encryptiondisponibles et le nombre de périphériques etd'utilisateurs utilisés.

Utilisateur inactif de l'entreprise Présente tous les utilisateurs Endpoint Encryptionqui ne se sont pas connectés à des périphériquesEndpoint Encryption pendant une période spécifiée.

Activité de l'utilisateur del'entreprise

Présente le total des périphériques EndpointEncryption, le total des utilisateurs EndpointEncryption, le nombre d'utilisateurs PolicyServerMMC et l'activité du périphérique EndpointEncryption.

Full Disk Encryption - Dispositifpartiellement chiffré

Présente tous les périphériques EndpointEncryption qui ont entamé un chiffrement, mais nel'ont pas terminé, au cours des <X> derniers jours.

Activité de l'utilisateur par jour Présente l'activité d'un utilisateur d'EndpointEncryption donné au cours d'un total de <X> jours.

Utilisateurs ajoutés Présente tous les utilisateurs d'Endpoint Encryptionajoutés au cours des <X> derniers jours.

Utilisateurs jamais connectés à unpériphérique

Présente tous les utilisateurs Endpoint Encryptionqui ne se sont jamais authentifiés auprès d'unpériphérique Endpoint Encryption.


8-19

Exécution des rapports standard

Les rapports standards capturent des informations de journaux spécifiques dans unformat de rapport. Envoyez des rapports standard en fonction des besoins.

Procédure

1. Effectuez un clic droit sur le rapport souhaité, puis sélectionnez Soumettre unrapport.

2. Si nécessaire, spécifiez les paramètres des rapports, puis cliquez sur Appliquer.


3. Pour afficher le rapport, accédez à Rapports de l'entreprise > Rapports soumisde l'entreprise.

Rapports d'alerteUtilisez le tableau suivant pour comprendre dans quelles conditions PolicyServer génèreun rapport d'alerte.

Nom de l'alerte Description

Échecs des tentatives de connexionconsécutives sur un périphérique unique

Une alerte est envoyée lorsque plusieurstentatives d'authentification consécutivesauprès d'un périphérique EndpointEncryption spécifique ont toutes échoué.

Alerte d'intégrité du journal Une alerte est envoyée lorsque lesjournaux du serveur PolicyServer ont étémodifiés.

Alerte de modification des stratégies Une alerte est envoyée lorsquePolicyServer détecte que les stratégiesd'une identité ont été modifiées.


8-20

Nom de l'alerte Description

Actions principale et secondaireappliquées

Une alerte est envoyée si aucuneconnexion n'a été établie avecPolicyServer et si les actions principale ousecondaire ont été appliquées.

Exécution des rapports d'alerte

Pour afficher le rapport généré, accédez à Rapports de l'entreprise > Rapportssoumis de l'entreprise.

Procédure

1. Effectuez un clic droit sur le rapport d'alerte souhaité, puis sélectionnezConfigurer des alertes.

La fenêtre Configurer des alertes s'ouvre.

2. Spécifiez l'adresse du serveur SMTP et l'expéditeur qui vont traiter l'e-mailsortant.


4. Effectuez un clic droit sur le rapport souhaité et sélectionnez Envoyer l'alerte.

Affichage des rapports

RemarqueSeul l'administrateur d'entreprise peut utiliser les rapports.

Procédure

1. Accédez à Rapports de l'entreprise > Rapports soumis de l'entreprise.

2. Effectuez un clic droit sur le rapport souhaité, puis sélectionnez Afficher lerapport.


8-21


3. Pour exporter le rapport, cliquez sur l'icône Enregistrer, puis sélectionnez Excelou Fichier Acrobat (PDF).

Programmation de rapports

Programmez un rapport pour qu'il s'exécute à une date et une heure spécifiques.

Procédure

1. Ouvrez Rapports de l'entreprise.

2. Effectuez un clic droit sur le rapport souhaité, puis sélectionnez Programmer unrapport.

La fenêtre Paramètres du rapport s'affiche.

3. Spécifiez les paramètres du rapport, puis cliquez sur Appliquer.

Le Programmeur de rapports s'ouvre.

4. Spécifiez l'intervalle entre les rapports, la date et l'heure, puis cliquez surAppliquer.

Le rapport est programmé.

5. Pour afficher les rapports programmés, accédez à Rapports de l'entreprise >Rapports programmés de l'entreprise.

Affichage des erreurs de rapports

Parfois, une erreur empêche un rapport de s'exécuter correctement. Pour afficher les IDmessage de PolicyServer, consultez la section ID de messages de PolicyServer à la page A-1.


8-22

Procédure

1. Accédez à Rapports de l'entreprise > Rapports soumis de l'entreprise.

2. Effectuez un clic droit sur le rapport contenant une erreur, puis sélectionnezAfficher l'erreur.

Le message d'erreur du rapport s'affiche.

Outils de maintenanceCette section décrit les utilitaires supplémentaires livrés avec Endpoint Encryption et quieffectuent les tâches de maintenance de produit. Endpoint Encryption inclut les outilssuivants :

Outil Description

Moniteur dediagnostics

Permet d'afficher les journaux d'événements Endpoint Encryptionen temps réel.

Consultez la section Utilisation du moniteur de diagnostics à lapage 8-23.

Outil de serveur dejournaux

Permet de générer un pack de journaux pour tous lesévénements qui se produisent lors de la réplication de problèmesspécifiques.

Consultez la section Utilisation de l'outil Serveur de journaux à lapage 8-26.

outil de modificationdes paramètres dePolicyServer

Permet de modifier SQL Server et les informationsd'authentification des utilisateurs du service Windows sans devoirréinstaller le serveur PolicyServer.

Consultez la section Utilisation de l'outil de modification desparamètres de PolicyServer à la page 8-27.


8-23

Outil Description

Outil derenouvellement delicence

Mettez à jour votre code d'activation de licence EndpointEncryption sans devoir réinstaller le serveur PolicyServer dans lesenvironnements gérés par PolicyServer MMC.

Consultez la section Utilisation de l'outil de renouvellement delicence à la page 8-29.

Aide de ligne decommande

Générez des chaînes chiffrées individuelles à utiliser pourl'authentification dans d'autres processus tels que l'installation, lamise à niveau ou les scripts de correctifs.

Consultez la section Utilisation de l'outil Aide de ligne decommande à la page 8-33.

Utilisation du moniteur de diagnosticsLe moniteur de diagnostics permet aux administrateurs d'afficher en temps réel desévénements relatifs à Endpoint Encryption.

Procédure

1. Copiez, téléchargez ou localiser un pack d'installation de PolicyServer sur le pointfinal sur lequel PolicyServer est installé.

Pour télécharger le pack d'installation de PolicyServer ou la suite logicielleEndpoint Encryption, rendez-vous sur le Centre de téléchargement Trend Micro :

http://downloadcenter.trendmicro.com/?regs=FR/

2. Accédez à <répertoire de PolicyServer>\TMEE_PolicyServer\Tools\Diagnostics Monitor.

3. Exécutez le fichier DiagnosticMonitor.exe en tant qu'administrateur.

L'outil de renouvellement de licence s'ouvre.



8-24

ImportantÀ ce stade, il est possible que Windows rencontrer l'erreur suivante : XenocodePostbuild 2010. Ce message indique que l'application ne parvient pas à charger uncomposant de machine virtuelle requis. Si cette erreur survient, ouvrez WindowsUpdate, supprimez la mise à jour « KB3045999 », puis essayez à nouveau d'exécuter lemoniteur de diagnostics.

4. Accédez à Fichier > Options….

L'écran Options du moniteur en direct s'affiche.

5. Accédez à LogAlerts et définissez l'option Niveau minimum affiché surDéboguer.


8-25

6. Définissez le champ Nombre maximum d'enregistrements affichés sur unevaleur comprise entre « 3 000 » et « 50 000 ».

Une fois la valeur du champ Nombre maximum d'enregistrements affichésdéfinie, un événement indiquant que le système manque de mémoire peut s'afficherdans le moniteur de diagnostic. Si tel est le cas, revenez à cette fenêtre et définissezle champ Nombre maximum d'enregistrements affichés sur une valeurinférieure.

7. Cliquez sur Appliquer à toutes les catégories ou sélectionnez des catégoriesindividuelles et appliquez des paramètres spécifiques à chacune d'elles.

8. Redémarrez le service PolicyServerWindowsService à partir du Gestionnaire destâches de Windows.

Lorsque le service PolicyServer redémarre, Active Directory se synchronise avecPolicyServer. Le moniteur de diagnostic affiche les événements relatifs à lasynchronisation d'Active Directory.

9. Affichez les journaux dans la fenêtre du moniteur de diagnostic.


8-26

10. Si vous utilisez le moniteur de diagnostic pour résoudre un problème spécifique,effectuez toutes les tâches nécessaires pour reproduire ce problème tandis que lemoniteur de diagnostic est ouvert.

11. Pour générer un fichier à partir des journaux de diagnostic, accédez à Fichier >Enregistrer dans le fichier.

Un fichier journal s'affiche dans le dossier de sortie que vous avez sélectionné. Ledossier de sortie par défaut est le Bureau. Pour sélectionner un autre dossier desortie, accédez à Fichier > Option > Dossier de sortie.

Le nom du fichier est un horodatage correspondant au moment où vous l'avezgénéré. Ce fichier est au format PSDM.

Remarque

Si vous contactez le support Trend Micro à propos de ce problème, le technicien desupport vous demandera peut-être d'envoyer une copie des journaux de diagnostic,afin de vérifier la présence de bogues.

Utilisation de l'outil Serveur de journauxL'outil Serveur de journaux permet aux administrateurs d'enregistrer tous lesévénements liés à Endpoint Encryption sur une période donnée afin de résoudre desproblèmes spécifiques. Les journaux sont enregistrés dans le but d'être utilisés par lesupport Trend Micro. Par conséquent, Trend Micro ne vous recommande pas d'utiliserl'outil Serveur de journaux par vous même. Si vous rencontrez un problème, contactez lesupport Trend Micro. Le technicien de support vous demandera peut-être de reproduirele problème tandis que l'outil Serveur de journaux est en cours d'exécution.

Procédure

1. Ouvrez le dossier de programme de PolicyServer.

Le chemin d'installation par défaut est C:\Program Files\Trend Micro\PolicyServer.

2. Exécutez le fichier LogServer.exe en tant qu'administrateur.


8-27

Une invite de commande intitulée LogServer.exe s'affiche. L'outil Serveur dejournaux est en cours d'exécution.

L'outil Serveur de journaux génère des journaux de diagnostic concernantPolicyServer. Ces journaux sont conservés dans un fichier nommépsdedebug.log, dans le sous-dossier log du dossier du programme dePolicyServer.

3. Effectuez toutes les tâches nécessaires pour reproduire le problème qui vous aincité à contacter le support Trend Micro.

4. Fermez l'invite de commande intitulée LogServer.exe.

5. Envoyez le fichier psdedebug.log au technicien de support qui vous a demandéd'utiliser cet outil.

Utilisation de l'outil de modification des paramètres dePolicyServer

L'objectif principal de l'outil de modification des paramètres de PolicyServer est depermettre aux administrateurs de modifier leurs informations d'authentification de basede données SQL Server sans avoir à réinstaller PolicyServer. Par ailleurs, cet outil inclutplusieurs autres fonctionnalités connexes, notamment la possibilité de tester laconnexion à la base de données et de modifier les informations d'authentification auservice Windows PolicyServer.

Procédure




2. Accédez à <répertoire de PolicyServer>\TMEE_PolicyServer\Tools\PolicyServer Change Settings.



8-28

3. Exécutez le fichier PolicyServerChangeSettings.exe en tantqu'administrateur.

4. Acceptez le contrat de licence de l'utilisateur final (CLUF) pour continuer.

Le CLUF ne s'affiche que lors de la première exécution de cet outil.

5. Modifiez les paramètres selon vos besoins à l'aide des options suivantes :

Option Description

Base de donnéesprimaire

Indiquez les informations d'authentification SQL Serverde votre base de données primaire dans cette section.

Si une seule base de données tient lieu à la fois de basede données primaire et de base de données desjournaux, sélectionnez Utiliser les paramètresprimaires pour la base de données des journaux.

Base de données desjournaux

Si votre base de données primaire et votre base dedonnées des journaux sont distinctes, indiquez lesinformations d'authentification SQL Server de votre basede données de journaux dans cette section.

Cette section est désactivée si vous avez sélectionnéUtiliser les paramètres primaires pour la base dedonnées des journaux.

Charger à partir dudisque

Réinitialisez les informations d'authentification dessections Base de données primaire et Base dedonnées des journaux à l'aide de la dernièreconfiguration enregistrée.

Tester la connexion Assurez-vous que PolicyServer peut communiquer avecles bases de données indiquées dans les sections Basede données primaire et Base de données desjournaux.

Écrire sur le disque Remplacez la dernière configuration enregistrée par lesinformations d'authentification qui figurent actuellementdans les sections Base de données primaire et Basede données des journaux.

Redémarrer PS Redémarrez PolicyServer.


8-29

Option DescriptionSi vous avez modifié les informations d'authentification etcliqué sur Écrire sur le disque, PolicyServer tente de seconnecter à l'aide des nouvelles informationsd'authentification SQL Server.

Modifier lesinformationsd'authentification…

Modifiez les informations d'authentification du serviceWindows PolicyServer.

La fenêtre Modifier les informations d'authentificationde PS s'affiche si vous sélectionnez cette option. Vouspouvez utiliser le compte système Windows local ouindiquer les informations d'authentification d'un autrecompte.

Utilisation de l'outil de renouvellement de licenceL'outil de renouvellement de licence permet aux administrateurs de mettre à jour lalicence Endpoint Encryption dans un environnement géré intégralement parPolicyServer MMC.

Remarque

Si vous gérez Endpoint Encryption à l'aide de Control Manager, utilisez les options degestion de licence disponibles dans Control Manager. Pour plus d'informations, consultezla documentation de Control Manager :

http://docs.trendmicro.com/en-us/enterprise/control-manager.aspx

Si votre code d'activation correspond à une nouvelle licence d'Endpoint Encryption ouau renouvellement de votre licence, le point final requiert une connexion à la base dedonnées d'Endpoint Encryption, sans toutefois requérir d'accès à Internet. Si votre coded'activation correspond à la prolongation d'une licence existante, le point final doitdisposer d'un accès à Internet.

Procédure

1. Demandez votre code d'activation à votre représentant Trend Micro.

http://docs.trendmicro.com/en-us/enterprise/control-manager.aspx


8-30

Si vous disposez d'une clé d'enregistrement, accédez au portail de gestion deslicences client pour enregistrer votre produit. Trend Micro vous enverra votre coded'activation par courrier électronique suite à l'enregistrement de votre produit.Accédez au portail de gestion des licences client à l'adresse suivante :

https://clp.trendmicro.com/




3. Accédez à <répertoire de PolicyServer>\TMEE_PolicyServer\Tools\TMEE_LicenseRenewal.

4. Exécutez le fichier TMEE_LicenseRenewal.exe en tant qu'administrateur.

L'outil de renouvellement de licence s'ouvre.

5. Saisissez votre code d'activation dans le champ Nouveau code d'activation, puiscliquez sur Activer.

Votre licence devient active, et toutes les fonctions d'Endpoint Encryption sontdésormais disponibles.

RemarqueSuite à une tentative de prolongation d'une licence, vous pouvez rencontrer uneerreur indiquant que votre code d'activation a expiré. Pour résoudre ce problème, voirDépannage des problèmes liés aux prolongations de licence à la page 8-31.

https://clp.trendmicro.com/



8-31

Dépannage des problèmes liés aux prolongations de licence

Si vous utilisez l'outil de renouvellement de licence pour prolonger une licence existante,l'erreur suivante peut s'afficher :

Cette erreur peut être due à une non-correspondance entre votre Registre système et unserveur proxy sur votre réseau. Exécutez la procédure suivante afin de confirmer cettecause potentielle et de résoudre le problème.

Procédure

1. Exécutez le Moniteur de diagnostics sur le même point final que l'outil derenouvellement de licence.

Pour plus d'informations sur le Moniteur de diagnostics, voir Utilisation du moniteurde diagnostics à la page 8-23.

2. Affichez les événements survenus à peu près au moment où vous avez tentéd'exécuter l'outil de renouvellement de licence pour les événements suivants dans lacolonne Message :

PrLicenlicensese PR_onlineUpdateLicensex64(): ret = E001005A, status =60010123

PrLicense [ActivationCodeValidator] onlineUpdatePrLicense Ret = E001005A,onlineUpdateState = 60010123, Status = 0


8-32

Remarque

Si de tels messages s'affichent, le problème est sans doute dû à la non-correspondance mentionnée ci-dessus entre votre Registre système et un serveurproxy. Poursuivez l'exécution de cette procédure pour tenter de résoudre le problème.

Si ce message ne s'affiche pas, contactez le support Trend Micro.

3. Ouvrez l'Éditeur du Registre Windows.

Pour accéder à l'Éditeur du Registre, saisissez « regedit » dans la boîte de dialogueExécuter ou dans la zone de recherche de Windows.

4. Accédez à HKEY_LOCAL_MACHINE\\SOFTWARE\\Trend Micro, Inc..

5. Cliquez avec le bouton droit de la souris sur le dossier Trend Micro, Inc., puissélectionnez Nouveau > Clé.

6. Nommez le nouveau dossier NetworkProxy.

7. Dans le dossier NetworkProxy, ajoutez les valeurs suivantes :

Nom Type Données Remarques

ProxyServer

Valeur dechaîne

Domaine ou adresse IPdu serveur proxy

Cette valeur estobligatoire.

ProxyPort ValeurDWORD

Port du serveur proxy Si cette valeur n'existepas, le port « 80 » estutilisé par défaut.

ProxyType ValeurDWORD

Valeurs valides :

• « 0 » : proxy HTTP

• « 1 » : proxySOCKS4 ouSOCKS5

Si cette valeur n'existepas, la valeur « 0 » estutilisée par défaut.

Compte Valeur dechaîne

ID du compte pourl'authentification du proxy

Cette valeur n'estnécessaire que pour unproxy SOCKS quinécessite uneauthentification.


8-33

Nom Type Données Remarques

Mot depasse

Valeur dechaîne

Mot de passe pourl'authentification du proxy

Cette valeur n'estnécessaire que pour unproxy SOCKS quinécessite uneauthentification.

Cette valeur doit être unevaleur chiffrée via l'outilAide de ligne decommande. Consultez lasection Utilisation del'outil Aide de ligne decommande à la page8-33.

8. Essayez à nouveau de prolonger votre licence à l'aide de l'outil de renouvellementde licence.

Utilisation de l'outil Aide de ligne de commandeL'outil Aide de ligne de commande permet de transmettre des valeurs chiffrées via lescript d'installation à l'authentification pré-amorçage et au programme d'installation deFull Disk Encryption. Vous pouvez utiliser l'outil Aide de ligne de commandemanuellement pour générer des valeurs de chaînes chiffrées pour des scriptsd'installation ou la gestion des correctifs.

Procédure

1. Téléchargez l'outil Aide de ligne de commande et localisez-le dans votre dossier detéléchargement d'Endpoint Encryption.

L'outil Aide de ligne de commande fait partie du pack d'installation de PolicyServer.Accédez au centre de téléchargement de Trend Micro, sélectionnez EndpointEncryption et téléchargez le pack de PolicyServer.


L'outil Aide de ligne de commande se trouve dans le répertoire suivant :



8-34

<répertoire_de_téléchargement>\TMEE_PolicyServer\Tools\Command Line Helper

2. Ouvrez une invite de commande.

3. Remplacez le répertoire actuel par celui de l'outil Aide de ligne de commande.

Exemple :

cd C:\TMEE_PolicyServer\Tools\Command Line Helper

4. Saisissez CommandLineHelper.exe, puis la chaîne que vous souhaitez chiffrer,et appuyez sur ENTRÉE.

Exemple :

CommandLineHelper.exe exempledemotdepasse

ConseilIl est plus simple de copier la valeur générée directement à partir d'un fichier texte.

Pour ce faire, il est nécessaire de modifier l'exemple ci-dessus comme suit :

CommandLineHelper.exe exempledemotdepasse> fichier.txt

L'outil Aide de ligne de commande produit une chaîne chiffrée.

9-1

Chapitre 9

Assistance techniqueDécouvrez les rubriques suivantes :

• Ressources de dépannage à la page 9-2

• Comment contacter Trend Micro à la page 9-3

• Envoi de contenu suspect à Trend Micro à la page 9-4

• Autres ressources à la page 9-5


9-2

Ressources de dépannageAvant de contacter le service d'assistance technique, consultez les ressources d'aide enligne suivantes fournies par Trend Micro.

Utilisation du portail d'assistanceLe portail d'assistance de Trend Micro est une ressource en ligne disponible 24 h/24 et7 j/7 qui contient les informations les plus récentes à la fois sur les problèmes courantset exceptionnels.

Procédure

1. Accédez à http://esupport.trendmicro.com.

2. Sélectionnez un des produits disponibles ou cliquez sur le bouton approprié pourchercher des solutions.

3. Utilisez la zone Recherche de support pour rechercher les solutions disponibles.

4. Si aucune solution n'est trouvée, cliquez sur Contactez l'Assistance etsélectionnez le type d'assistance dont vous avez besoin.

Conseil

Pour envoyer une demande d'assistance en ligne, visitez l'adresse suivante :

http://esupport.trendmicro.com/srf/srfmain.aspx

Un ingénieur d'assistance Trend Micro étudie le cas et répond en 24 heuresmaximum.

Encyclopédie des menacesDe nos jours, la plupart des programmes malveillants sont des menaces combinées :deux technologies ou plus qui sont combinées afin de contourner les protocoles de

http://esupport.trendmicro.com

http://esupport.trendmicro.com/srf/srfmain.aspx

Assistance technique

9-3

sécurité des ordinateurs. Trend Micro lutte contre ces programmes malveillantscomplexes grâce à des produits qui créent une stratégie de défense personnalisée.L'Encyclopédie des menaces fournit une liste complète des noms et des symptômes deplusieurs menaces combinées, y compris les programmes malveillants, spams, URLmalveillantes et failles connues.

Accédez à http://about-threats.trendmicro.com/fr/threatencyclopedia#malware pouren savoir plus sur :

• Les programmes malveillants et les codes mobiles malicieux actuellement actifs ou« en circulation »

• Les pages contenant des informations relatives aux menaces rassemblées pourformer un historique complet des attaques Web

• Les informations sur les menaces Internet concernant les attaques ciblées et lesmenaces de sécurité

• Les informations sur les attaques Web et sur les tendances sur Internet

• Rapports hebdomadaires sur les programmes malveillants.

Comment contacter Trend MicroLes revendeurs Trend Micro peuvent être contactés par téléphone ou courrierélectronique :

Adresse Trend Micro SA

85, avenue Albert 1er

92500 Rueil Malmaison

France

Téléphone +33 (0) 1 76 68 65 00

Site Web http://www.trendmicro.fr

Adresseélectronique

[email protected]

http://about-threats.trendmicro.com/fr/threatencyclopedia#malware

http://www.trendmicro.fr

mailto:[email protected]


9-4

• Sites d'assistance à travers le monde :

http://www.trendmicro.com/us/about-us/contact/index.html

• Comment contacter Trend Micro :

http://www.trendmicro.fr/apropos/contact/index.html

• Documentation sur les produits Trend Micro :

http://docs.trendmicro.com/fr-fr/home.aspx

Optimisation de la demande d'assistance

Pour améliorer la résolution de vos problèmes, préparez les informations suivantes :

• Étapes permettant de reproduire le problème

• Informations concernant l'appareil ou le réseau

• Marque de l'ordinateur, modèle et tout matériel complémentaire ou périphériquesconnectés

• Quantité de mémoire et d'espace disque disponible

• Version du système d'exploitation et du Service Pack

• Version de l'agent installé

• Numéro de série ou code d'activation

• Description détaillée de l'environnement d'installation

• Texte exact du message d'erreur affiché

Envoi de contenu suspect à Trend MicroPlusieurs façons d'envoyer du contenu suspect à Trend Micro pour une analyse pluspoussée sont à votre disposition.

http://www.trendmicro.com/us/about-us/contact/index.html

http://www.trendmicro.fr/apropos/contact/index.html

http://docs.trendmicro.com/fr-fr/home.aspx

Assistance technique

9-5

services de réputation de messagerie (Email ReputationServices)

Lancez une interrogation de la réputation d'une adresse IP spécifique et indiquez unagent de transfert de messages à inclure dans la liste globale des éléments approuvés :

https://ers.trendmicro.com/

Reportez-vous à l'entrée suivante de la Base de connaissances pour envoyer deséchantillons de messages à Trend Micro :

http://esupport.trendmicro.com/solution/en-US/1112106.aspx

Services de File ReputationCollectez des informations système et envoyez le contenu de fichiers suspects à TrendMicro :

http://esupport.trendmicro.com/solution/en-us/1059565.aspx

Notez le numéro de dossier à des fins de suivi.

Services de Web ReputationLancez une interrogation de l'évaluation de sécurité et du type de contenu d'une URLque vous pensez correspondre à un site de phishing ou un autre « vecteur de menaces »(source de menaces Internet intentionnelles telles que les spywares et programmesmalveillants) :

http://global.sitesafety.trendmicro.com/

Si l'évaluation attribuée est incorrecte, envoyez une demande de reclassification à TrendMicro.

Autres ressourcesOutre les solutions et l'assistance disponibles en ligne, d'autres ressources, dont le but estde maintenir à jour vos systèmes, de vous informer des innovations les plus récentes et

https://ers.trendmicro.com/

http://esupport.trendmicro.com/solution/en-US/1112106.aspx

http://esupport.trendmicro.com/solution/en-us/1059565.aspx

http://global.sitesafety.trendmicro.com/


9-6

de vous faire connaître les dernières tendances en matière de sécurité, sont égalementconsultables.

Centre de téléchargementTrend Micro est susceptible de publier, de temps à autre, un patch corrigeant unproblème connu ou une mise à niveau s'appliquant à un produit ou service particulier.Pour savoir si des patches sont disponibles, rendez-vous sur le site :

http://downloadcenter.trendmicro.com/index.php?regs=fr

Si l'un des patches disponibles n'a pas été appliqué (les patches sont datés), ouvrez lefichier Lisez-moi afin de déterminer s'il convient à votre environnement. Le fichierLisez-moi contient également des instructions d'installation.

Commentaires relatifs à la documentationTrend Micro cherche toujours à améliorer sa documentation. Si vous avez des questions,des commentaires ou des suggestions à propos de ce document ou de tout autredocument Trend Micro, veuillez consulter le site suivant°:


http://downloadcenter.trendmicro.com/index.php?regs=fr


AnnexesAnnexes

A-1

Annexe A

ID de messages de PolicyServerLe tableau suivant explique les messages d'erreur de PolicyServer. Utilisez-le pourrechercher l'ID message, comprendre la signification du message associé, la catégorie dumessage et les agents ou produits affectés par le message.

Tableau A-1. ID de messages de PolicyServer

Catégorie ID message Description Produits

Alertes d'administrateur 100002 Identification dupériphérique

Full Disk Encryption,File Encryption,DriveArmor,KeyArmor ouPolicyServer

Alertes d'administrateur 100003 Violation de lasécurité


Alertes d'administrateur 100007 Gravité critique Full Disk Encryption,File Encryption,DriveArmor,KeyArmor ouPolicyServer


A-2


Alertes d'administrateur 100019 Échec de lamodification destratégie


Alertes d'administrateur 100045 Configuration nonprise en charge


Alertes d'administrateur 100046 Pool d'entreprisescréé


Alertes d'administrateur 100047 Pool d'entreprisessupprimé


Alertes d'administrateur 100048 Pool d'entreprisesmodifié


Alertes d'administrateur 100049 Utilisateuradministrateurverrouillé en raisonde l'échec d'unnombre tropimportant deconnexions.


ID de messages de PolicyServer

A-3


Alertes d'administrateur 100052 Échec devérification del'intégrité de lavaleur de lastratégie


Alertes d'administrateur 100053 Demande destratégieabandonnée enraison de l'échec dela vérification del'intégrité de lastratégie.


Alertes d'administrateur 100054 Demande de fichierabandonnée enraison de l'échec dela vérification del'intégrité de lastratégie.


Alertes d'administrateur 100055 Authentification del'administrateurréussie


Alertes d'administrateur 100056 Échec del'authentification del'administrateur


Alertes d'administrateur 100062 Réinitialisation dumot de passeadministrateur



A-4


Alertes d'administrateur 100463 Impossible desupprimerl'utilisateur.Réessayez.


Alertes d'administrateur 100464 Impossible dedésactiverl'utilisateur.Réessayez.


Alertes d'administrateur 100470 Impossible demodifier le mot depasse de l'auto-assistance. L'unedes réponses auxquestions destimulationpersonnelle étaitincorrecte.


Alertes d'administrateur 102000 Entreprise ajoutée Full Disk Encryption,File Encryption,DriveArmor,KeyArmor ouPolicyServer

Alertes d'administrateur 102001 Entreprisesupprimée


Alertes d'administrateur 102002 Entreprise modifiée Full Disk Encryption,File Encryption,DriveArmor,KeyArmor ouPolicyServer


A-5


Alertes d'administrateur 102003 Le nombred'utilisateurs adépassé le nombremaximal autorisépar cette licence.Réduisez le nombred'utilisateursexistants pourrestaurer ce compteutilisateur.

PolicyServer

Alertes d'administrateur 200000 L'administrateur amis à jour lastratégie

PolicyServer

Alertes d'administrateur 200001 L'administrateur aajouté la stratégie

PolicyServer

Alertes d'administrateur 200002 L'administrateur asupprimé lastratégie

PolicyServer

Alertes d'administrateur 200003 L'administrateur aactivé l'application

PolicyServer

Alertes d'administrateur 200004 L'administrateur adésactivél'application

PolicyServer

Alertes d'administrateur 200100 L'administrateur aajouté l'utilisateur

PolicyServer

Alertes d'administrateur 200101 L'administrateur asupprimé l'utilisateur

PolicyServer

Alertes d'administrateur 200102 L'administrateur amis à jourl'utilisateur

PolicyServer

Alertes d'administrateur 200103 L'administrateur aajouté un utilisateurau groupe

PolicyServer


A-6


Alertes d'administrateur 200104 L'administrateur asupprimé unutilisateur du groupe

PolicyServer

Alertes d'administrateur 200200 Utilisateur ajouté PolicyServer

Alertes d'administrateur 200201 Utilisateur supprimé PolicyServer

Alertes d'administrateur 200202 Utilisateur ajouté augroupe

PolicyServer

Alertes d'administrateur 200203 Utilisateur supprimédu groupe

PolicyServer

Alertes d'administrateur 200204 Utilisateur mis à jour PolicyServer

Alertes d'administrateur 200300 L'administrateur asupprimé lepériphérique

PolicyServer

Alertes d'administrateur 200301 L'administrateur aajouté unpériphérique augroupe

PolicyServer

Alertes d'administrateur 200302 L'administrateur asupprimé unpériphérique dugroupe

PolicyServer

Alertes d'administrateur 200500 L'administrateur aajouté un groupe

PolicyServer

Alertes d'administrateur 200501 L'administrateur asupprimé un groupe

PolicyServer

Alertes d'administrateur 200502 L'administrateur amis à jour ungroupe

PolicyServer

Alertes d'administrateur 200503 L'administrateur acopié/collé ungroupe

PolicyServer


A-7


Alertes d'administrateur 200600 ServeurPolicyServer mis àjour.

PolicyServer

Alertes d'administrateur 200602 Utilisateur ajouté aupériphérique

PolicyServer

Alertes d'administrateur 200603 Utilisateur supprimédu périphérique

PolicyServer

Alertes d'administrateur 200700 Exécution del'événement réussie

PolicyServer

Alertes d'administrateur 200701 Échec del'exécution del'événement

PolicyServer

Alertes d'administrateur 200800 Installation del'événement réussie

PolicyServer

Alertes d'administrateur 200801 Échec del'installation del'événement

PolicyServer

Alertes d'administrateur 700012 Administrateurconnecté avec unmot de passeunique

File Encryption SP6ou version antérieure

Alertes d'administrateur 700013 Administrateurconnecté avec unmot de passe fixe


Alertes d'administrateur 700014 Administrateurconnecté avec unecarte à puce


Alertes d'administrateur 700017 Administrateurconnecté avec uneauthentification àdistance



A-8


Alertes d'administrateur 700030 Échec de laconnexion del'administrateuravec un mot depasse unique


Alertes d'administrateur 700031 Échec de laconnexion del'administrateuravec un mot depasse fixe


Alertes d'administrateur 700032 Échec de laconnexion del'administrateuravec une carte àpuce


Alertes d'administrateur 700035 Échec de laconnexion del'administrateuravec uneauthentification àdistance


Alertes d'administrateur 900100 Administrateurconnecté avec unmot de passeunique.

KeyArmor

Alertes d'administrateur 900101 Administrateurconnecté avec unmot de passe fixe.

KeyArmor

Alertes d'administrateur 900102 Administrateurconnecté avec unecarte à puce.

KeyArmor

Alertes d'administrateur 900103 Administrateurconnecté avec uneauthentification dedomaine.

KeyArmor


A-9


Alertes d'administrateur 900104 Administrateurconnecté avec uneauthentification àdistance.

KeyArmor

Alertes d'administrateur 900105 Administrateurconnecté avec uneauthentificationColorCode.

KeyArmor

Alertes d'administrateur 900106 Administrateurconnecté avec uncode confidentiel.

KeyArmor

Alertes d'administrateur 900107 Administrateurconnecté avecOCSP.

KeyArmor

Alertes d'administrateur 900250 Échec de laconnexion del'administrateuravec un mot depasse unique

KeyArmor

Alertes d'administrateur 900251 Échec de laconnexion del'administrateuravec un mot depasse fixe

KeyArmor

Alertes d'administrateur 900252 Échec de laconnexion del'administrateuravec une carte àpuce

KeyArmor

Alertes d'administrateur 900253 Échec de laconnexion del'administrateuravec uneauthentification dedomaine.

KeyArmor


A-10



KeyArmor

Alertes d'administrateur 900255 Échec de laconnexion del'administrateuravec uneauthentificationColorCode.

KeyArmor

Alertes d'administrateur 900256 Échec de laconnexion del'administrateuravec un codeconfidentiel.

KeyArmor

Alertes d'administrateur 900257 Échec de laconnexion del'administrateuravec OCSP

KeyArmor


KeyArmor

Alertes d'administrateur 901000 L'administrateur arenommé un fichier

KeyArmor

Alertes d'administrateur 901001 L'administrateur amodifié un fichier

KeyArmor

Alertes d'administrateur 901002 L'administrateur asupprimé un fichier

KeyArmor

Alertes d'administrateur 901003 L'administrateur acréé un fichier

KeyArmor


A-11


Alertes du journald'audit

100015 Message du journal Full Disk Encryption,File Encryption,DriveArmor,KeyArmor ouPolicyServer


103000 Connexion aujournal d'auditouverte



103001 Connexion aujournal d'auditfermée



103100 Enregistrement dujournal d'auditmanquant



103101 Intégrité del'enregistrement dujournal d'auditmanquante



103102 Intégrité del'enregistrement dujournal d'auditcompromise



103103 Début de lavalidation del'intégrité del'enregistrement dujournal d'audit



A-12



104003 Méthoded'authentificationdéfinie sur la carte àpuce.



904008 Impossibled'envoyer une alerte


Alerte del'authentificateur

700006 Authentificateurconnecté avec unmot de passeunique



700007 Authentificateurconnecté avec unmot de passe fixe



700008 Authentificateurconnecté avec unecarte à puce



700009 Authentificateurconnecté avec lesinformationsd'authentificationWindows



700011 Authentificateurconnecté avec uneauthentification àdistance



700024 Échec de laconnexion del'authentificateuravec un mot depasse unique



A-13



700025 Échec de laconnexion del'authentificateuravec un mot depasse fixe



700026 Échec de laconnexion del'authentificateuravec une carte àpuce



700027 Échec de laconnexion del'authentificateuravec lesinformationsd'authentificationWindows



700029 Échec de laconnexion del'authentificateuravec uneauthentification àdistance



900050 Authentificateurconnecté avec unmot de passeunique.

KeyArmor


900051 Authentificateurconnecté avec unmot de passe fixe.

KeyArmor


900052 Authentificateurconnecté avec unecarte à puce.

KeyArmor


A-14



900053 Authentificateurconnecté avec uneauthentification dedomaine.

KeyArmor


900054 Authentificateurconnecté avec uneauthentification àdistance.

KeyArmor


900055 Authentificateurconnecté avec uneauthentificationColorCode.

KeyArmor


900056 Authentificateurconnecté avec uncode confidentiel.

KeyArmor


900057 Authentificateurconnecté avecOCSP.

KeyArmor


900161 Échec de laconnexion del'utilisateur avecl'auto-assistance

KeyArmor


900200 Échec de laconnexion del'authentificateuravec un mot depasse unique

KeyArmor


900201 Échec de laconnexion del'authentificateuravec un mot depasse fixe

KeyArmor


A-15



900202 Échec de laconnexion del'authentificateuravec une carte àpuce

KeyArmor


900203 Échec de laconnexion del'authentificateur àl'aide d'uneauthentification dedomaine.

KeyArmor


900204 Échec de laconnexion del'authentificateuravec uneauthentification àdistance

KeyArmor


900205 Échec de laconnexion del'authentificateuravec uneauthentificationColorCode.

KeyArmor


900206 Échec de laconnexion del'authentificateuravec un codeconfidentiel.

KeyArmor


900207 Échec de laconnexion del'authentificateuravec OCSP

KeyArmor


902000 L'authentificateur arenommé un fichier

KeyArmor


A-16



902001 L'authentificateur amodifié un fichier

KeyArmor


902002 L'authentificateur asupprimé un fichier

KeyArmor


902003 L'authentificateur acréé un fichier

KeyArmor

Alerte des certificats 104008 Certificat expiré. Full Disk Encryption,File Encryption,DriveArmor,KeyArmor ouPolicyServer

Alertes depériphériques

100001 Échec del'authentificationsynchronisée duPDA au bureau.Aucun ID depériphérique trouvépour ce PDA.



100012 Le périphérique nese trouve pas dansson propre fichierd'authentificationpar mot de passe.PAF corrompu ?



100044 Action deverrouillage dupériphérique reçue



100071 Élimination dupériphériqueconfirmée

KeyArmor


100072 Verrouillage dupériphériqueconfirmé

KeyArmor


A-17



100100 Installation en cours Full Disk Encryption,File Encryption,DriveArmor,KeyArmor


100101 Installation terminée Full Disk Encryption,File Encryption,DriveArmor,KeyArmor


100462 Impossible de seconnecter auserveurPolicyServer.



101001 La connexion auréseau nefonctionne pas.Impossible d'obtenirles fichiers destratégie du serveurPolicyServer.



101002 Fichier PAFcorrompu(DAFolder.xml)



105000 Impossible desynchroniser lesstratégies avec leclient. Vérifiez laconnexion duréseau etréessayez.



200400 Périphérique ajouté PolicyServer


A-18



200401 Périphériquesupprimé

PolicyServer


200402 Périphérique ajoutéau groupe

PolicyServer


200403 Périphériquesupprimé du groupe

PolicyServer


200404 Périphériquemodifié

PolicyServer


200405 État du périphériqueactualisé

PolicyServer


200406 Réinitialisation del'état dupériphérique

PolicyServer


200407 Échec del'élimination dupériphérique



200408 Échec duverrouillage dupériphérique



200409 Périphériquesynchronisé

PolicyServer


904012 L'utilisateur n'estpas autorisé àenregistrer unnouveaupériphérique

PolicyServer


A-19



1000052 Désinstallation duproduit

Full Disk Encryption,File Encryption,DriveArmor,KeyArmor


1000053 Désinstallation duproduit refusée parla stratégie

Full Disk Encryption,File Encryption,DriveArmor,KeyArmor

Alertes d'erreurs 100005 Erreur générale Full Disk Encryption,File Encryption,DriveArmor,KeyArmor ouPolicyServer

Alertes d'erreurs 100006 Erreur liée àl'application


Alertes des activités deFile Encryption

700000 Utilisateur connectéavec un mot depasse unique



700001 Utilisateur connectéavec un mot depasse fixe



700002 Utilisateur connectéavec une carte àpuce



700003 Utilisateur connectéavec lesinformationsd'authentification deWindows



A-20



700005 Utilisateur connectéavec uneauthentification àdistance



700015 Administrateurconnecté avec lesinformationsd'authentificationWindows



700018 Échec de laconnexion del'utilisateur avec unmot de passeunique



700019 Échec de laconnexion del'utilisateur avec unmot de passe fixe



700020 Échec de laconnexion del'utilisateur avec unecarte à puce



700021 Échec de laconnexion d'unutilisateur avec lesinformationsd'authentificationWindows



700023 L'utilisateur n'a paspu se connecteravec uneauthentification àdistance



A-21



700033 Échec de laconnexion del'administrateuravec lesinformationsd'authentificationWindows



700036 Nombre maximal detentatives deconnexionéchouées dépassé



701000 Fichier chiffré àl'aide d'une cléutilisateur



701001 Fichier chiffré àl'aide d'une clé degroupe



701002 Fichier chiffré àl'aide d'un mot depasse statique



701003 Fichier chiffré auto-extractible créé àl'aide d'un mot depasse statique.



701004 Fichier chiffré àl'aide de Cert



701005 Fichier chiffré auto-extractible créé àl'aide d'un certificat.



701006 Fichier chiffré àl'aide d'une gravureCD/DVD



A-22



701007 Répertoire chiffré àl'aide d'une clé degroupe



701008 Répertoire chiffré àl'aide d'un mot depasse statique



701009 Répertoire chiffréauto-extractible crééà l'aide d'un mot depasse statique.



701010 Répertoire chiffré àl'aide de Cert



701011 Répertoire chiffréauto-extractible crééà l'aide d'uncertificat.



701012 Répertoire chiffré àl'aide d'une gravureCD/DVD



701015 Le support amoviblea été entièrementchiffré



701016 Support amoviblebloqué



701017 Support amoviblecréé et dossierstraités



701018 Fichier chiffré etdéplacé dans lesupport amovible.



701019 Fichier supprimé dusupport amovible.



A-23



703000 Un dossier chiffréFile Armor a étécréé



703001 Un dossier a étécréé et traité



703002 Un dossier chiffréFile Armor a étésupprimé



703004 Un dossier desupport amovible aété créé et traité



703005 Le dispositif desupport amovible aété entièrementchiffré



703006 Un fichier dudossier a été créé



703007 Un fichier dudossier a étésupprimé



703008 Un fichier dudossier a étémodifié



703009 Un fichier dudossier a étéaccédé



703010 Un fichier dudossier a été écrit



703011 La taille du fichier aété modifiée dans ledossier



A-24



703015 Début duchiffrement dudossier



703016 Début dudéchiffrement dudossier



703017 Chiffrement dudossier terminé



703018 Déchiffrement dudossier terminé



703019 Déchiffrement dudossier en cours



703020 Chiffrement dudossier en cours



704000 Service de FileEncryption démarré



704001 Arrêt du service FileEncryption


Alertes des activités deFull Disk Encryption

300700 Taille maximale dujournal dupériphériqueatteinte, journal desévénementstronqué.

Full Disk Encryptionou MobileSentinel


400001 Connexion del'utilisateur réussie.



400002 Échec de connexionde l'utilisateur.



400003 Début dudéchiffrement dupériphérique.



A-25



400004 Le chiffrement dudispositif a démarré.



400005 Partition chiffréemontée.



400006 OS MBR natifrestauré.



400007 MBR de l'applicationMBR restauré.



400008 Chiffrement dupériphériqueterminé



400009 Déchiffrement dupériphériqueterminé



400010 Chiffrement dudispositif en cours



400011 MBR du systèmecorrompu



400012 Système de pré-amorçage du noyausupprimé



401000 Console derestaurationaccédée



401009 Erreur de consolede restauration



401010 Déchiffrement surplace commencé



401011 Déchiffrement surplace arrêté



A-26



401012 Déchiffrement surplace terminé



401013 Déchiffrement dupériphériqueamoviblecommencé



401014 Déchiffrement dupériphériqueamovible arrêté



401015 Déchiffrement dupériphériqueamovible terminé



401018 Erreur dedéchiffrement surplace



401019 Erreur dedéchiffrement dupériphériqueamovible



401020 Fichiers chiffrésaccédés



401021 Fichiers chiffrésmodifiés



401022 Fichiers chiffréscopiés sur lepériphériqueamovible



401029 Erreur d'accès auxfichiers chiffrés



401030 Administration duréseau accédée



A-27



401031 Adresse du serveurPolicyServermodifiée



401032 Numéro de port duserveurPolicyServermodifié



401033 Passage à IPv6 Full Disk Encryptionou MobileSentinel


401034 Passage à IPv4 Full Disk Encryptionou MobileSentinel


401035 Passage à uneconfiguration IPdynamique



401036 Passage à uneconfiguration IPstatique



401037 Numéro de portDHCP modifié



401038 Adresse IP modifiée Full Disk Encryptionou MobileSentinel


401039 Masque de sous-réseau modifié



401040 Adresse de diffusionmodifiée



401041 Passerelle modifiée Full Disk Encryptionou MobileSentinel


401042 Nom de domainemodifié



A-28



401043 Serveurs de nomsde domainemodifiés



401049 Erreur del'administration duréseau



401050 Administration del'utilisateur accédée



401051 Utilisateur ajouté Full Disk Encryptionou MobileSentinel


401052 Utilisateur supprimé Full Disk Encryptionou MobileSentinel


401053 Utilisateur modifié Full Disk Encryptionou MobileSentinel


401069 Erreur del'administration del'utilisateur



401070 Journaux stockéslocalement accédés



401079 Erreur d'accès auxjournaux stockéslocalement



401080 MBR d'originerestauré



401089 Erreur derestauration duMBR d'origine



401090 Thème par défautrestauré



A-29



401099 Erreur derestauration duthème par défaut



402000 Démarrage del'application



402001 Arrêt de l'application Full Disk Encryptionou MobileSentinel


600001 Mise à jour réussiedans le pré-amorçage.

Full Disk Encryption


600002 Échec de la mise àjour du pré-amorçage


Alertes d'installation 100004 Erreur d'installation Full Disk Encryption,File Encryption,DriveArmor,KeyArmor ouPolicyServer

Alertes d'installation 100020 Installation réussie Full Disk Encryption,File Encryption,DriveArmor,KeyArmor ouPolicyServer

Alertes d'installation 700037 Installation de FileEncryption réussie


Alertes d'installation 700038 Installation de FileEncryption réussie :Le nom d'entreprisen'est pas valide.


Alertes d'installation 700039 Installation de FileEncryption réussie :Le nom d'utilisateurou le mot de passeest incorrect.



A-30


AlertesKeyArmorActivity

100034 Paramètres deregistre non validesdétectés



500000 VirusDefense KeyArmor


500001 Objet nettoyé KeyArmor


500002 Objet désinfecté KeyArmor


500003 Objet placé enquarantaine

KeyArmor


500004 Objet supprimé KeyArmor


500005 Virus détectés KeyArmor


500006 Scan completdémarré

KeyArmor


500007 Scan completterminé

KeyArmor


500008 Objet suspect KeyArmor


500009 Scan de l'objetterminé

KeyArmor


500010 Demande de scandu support amovible

KeyArmor


500011 Scan du supportamovible terminé

KeyArmor


A-31



500012 Demande de scandu dossier

KeyArmor


500013 Scan du dossierterminé

KeyArmor


500014 Accès à l'objetrefusé

KeyArmor


500015 Objet corrompu KeyArmor


500016 Objet nettoyé KeyArmor


500017 Scan completannulé

KeyArmor


500018 Scan de l'objetannulé

KeyArmor


500019 Scan du supportamovible annulé

KeyArmor


500020 Scan du dossierannulé

KeyArmor


500021 Début de la mise àjour

KeyArmor


500022 Échec de la mise àjour. Réessayez.

KeyArmor


500023 Mise à jour annulée KeyArmor


500024 Mise à jour réussie. KeyArmor


500025 Défense contre lesvirus mise à jour

KeyArmor


500026 PalmVirusDefense KeyArmor


A-32



500027 Demande de scande l'objet

KeyArmor


500028 PPCVirusDefense KeyArmor


900000 Utilisateur connectéavec un mot depasse unique.

KeyArmor


900001 Utilisateur connectéavec un mot depasse fixe.

KeyArmor


900002 Utilisateur connectéavec une carte àpuce.

KeyArmor


900003 Utilisateur connectéavec uneauthentification dedomaine.

KeyArmor


900004 Utilisateur connectéavec uneauthentification àdistance.

KeyArmor


900005 Utilisateur connectéavec uneauthentificationColorCode.

KeyArmor


900006 Utilisateur connectéavec un codeconfidentiel.

KeyArmor


900007 Utilisateur connectéavec OCSP

KeyArmor


900008 Utilisateur connectéavec l'auto-assistance.

KeyArmor


A-33



900009 Utilisateur connectéavec RSA

KeyArmor


900150 Échec de laconnexion del'utilisateur avec unmot de passeunique

KeyArmor


900151 Échec de laconnexion del'utilisateur avec unmot de passe fixe

KeyArmor


900152 Échec de laconnexion del'utilisateur avec unecarte à puce

KeyArmor


900153 Échec de laconnexion del'utilisateur avec uneauthentification dedomaine.

KeyArmor


900154 Échec de laconnexion del'utilisateur avec uneauthentification àdistance

KeyArmor


900155 Échec de laconnexion del'utilisateur avec uneauthentificationColorCode.

KeyArmor


900156 Échec de laconnexion del'utilisateur avec uncode confidentiel.

KeyArmor


A-34



900157 Échec de laconnexion del'utilisateur avecOCSP

KeyArmor


900158 Utilisateur bloquésuite à l'échec d'unnombre tropimportant detentatives deconnexion.

KeyArmor


900301 Nombre maximal detentatives deconnexionéchouées dépassé

KeyArmor


900350 Clé effacée KeyArmor


903000 L'utilisateur arenommé un fichier

KeyArmor


903001 L'utilisateur amodifié un fichier

KeyArmor


903002 L'utilisateur asupprimé un fichier

KeyArmor


903003 L'utilisateur a crééun fichier

KeyArmor


903100 Action primaireappliquée en raisond'une absence deconnexion auserveurPolicyServer.

KeyArmor


A-35



903101 Action secondaireappliquée en raisond'une absence deconnexion auserveurPolicyServer.

KeyArmor


903102 Mises à jour de lastratégie appliquées

KeyArmor


904000 Fichier infectéréparé

KeyArmor


904001 Impossible deréparer le fichierinfecté.

KeyArmor


904002 Ignorer le fichierinfecté, réparationnon prise en charge

KeyArmor


904003 Fichier infectésupprimé

KeyArmor


904004 Impossible desupprimer le fichierinfecté.

KeyArmor


904005 Élimination dupériphérique enraison d'un fichierinfecté

KeyArmor


904006 Erreur d'éliminationdu périphérique enraison d'un fichierinfecté

KeyArmor


904007 Lancement d'uneaction de secourssur le fichier infecté

KeyArmor


A-36



904010 Fichiers antivirusmis à jour

KeyArmor


904011 Impossible demettre à jour lesfichiers antivirus.

KeyArmor

Alertes de connexion /déconnexion

100013 Échec de latentative deconnexion



100014 Connexion réussie Full Disk Encryption,File Encryption,DriveArmor,KeyArmor ouPolicyServer


100016 Connexionimpossible. Utilisezl'authentification àdistance pourfournir un code destimulation àl'administrateur dePolicyServer.



100021 Échec de laconnexion parColorCode



100022 Échec de laconnexion par motde passe fixe



A-37



100023 Échec de laconnexion par codeconfidentiel



100024 Échec de laconnexion X9.9



100028 Connexion parColorCode réussie



100031 Connexion X9.9réussie



100032 Connexion àdistance réussie



100035 ConnexionWebToken réussie



100036 Échec de laconnexionWebToken



A-38



100050 Connexion par motde passe fixebloquée en raisondu verrouillage.



100051 Déverrouillage de laconnexionutilisateur réussi



100057 Authentification del'utilisateur LDAPréussie



100058 Échec del'authentification del'utilisateur LDAP



100059 Modification du motde passe del'utilisateur LDAPréussie



100060 Échec de lamodification du motde passe del'utilisateur LDAP



100061 Demande d'accèsabandonnée enraison de l'échec devérification del'intégrité de lastratégie.



A-39



100070 Déconnexionréussie



100433 Les mots de passeColorCode necorrespondent pas.



100434 Impossible demodifier leColorCode. Lenouveau ColorCodedoit être différent duColorCode actuel.



100435 Impossible demodifier leColorCode. Lenouveau ColorCodedoit respecter lalongueur minimalerequise définie parle serveurPolicyServer.



100436 Impossible demodifier leColorCode. Lenouveau ColorCodedoit être différent deceux utilisésprécédemment.



100437 Échec de lamodification duColorCode - Erreurinterne



A-40



100459 Échec de lamodification de motde passe X9.9 -Impossible de seconnecter à l'hôtePolicyServer



100460 Échec de lamodification du motde passe X9.9 -Numéro de sérienon renseigné



100461 Échec de lamodification du motde passe X9.9 -Erreur interne



101004 Impossible deréinitialiser lepériphériqueverrouillé.



104000 Connexion carte àpuce réussie.



104001 Échec de laconnexion carte àpuce. Vérifiez que lacarte estcorrectementinsérée et que soncode confidentielest valide.



A-41


Alerte de périphériquesmobiles

100037 La base de donnéesde la stratégie Palmest manquante



100038 Erreur dechiffrement de Palm



100039 Chiffrement dupériphérique PPCmodifié



100040 Erreur dechiffrement PPC


Alertes d'activitéMobileFirewall

300000 MobileFirewall Pare-feu mobile

Alertes d'activitéMobileFirewall

300001 DenialOfServiceAttack

Pare-feu mobile

Alertes OCSP 104005 État du certificatOCSP bon.


Alertes OCSP 104006 État du certificatOCSP annulé.



A-42


Alertes OCSP 104007 État du certificatOCSP inconnu.


Alertes OTA 100041 Objet OTAmanquant oucorrompu.


Alertes OTA 100042 SynchronisationOTA réussie


Alertes OTA 100043 Périphérique OTAéliminé


Alertes de mots depasse

100017 Erreur demodification du motde passe



100018 Nombre maximal detentatives de mot depasse dépassé



100025 Réinitialisation dumot de passe enColorCode



A-43



100026 Réinitialisation dumot de passe enmot de passe fixe



100027 Réinitialisation dumot de passe encode confidentiel



100029 Connexion par motde passe fixeréussie



100030 Connexion par codeconfidentiel réussie



100033 Impossible deréinitialiser le motde passe



100432 Impossible demodifier le mot depasse. Le nouveaumot de passe doitêtre différent du motde passe actuel.



100439 Impossible demodifier le mot depasse. Les mots depasse necorrespondent pas.



A-44



100441 Impossible demodifier le mot depasse. Le champ dumot de passe doitêtre renseigné.



100442 Impossible demodifier le mot depasse. Le mot depasse ne respectepas la longueurminimale requisedéfinie par leserveurPolicyServer.



100443 Impossible demodifier le mot depasse. Les nombresne sont pasautorisés.



100444 Impossible demodifier le mot depasse. Les lettresne sont pasautorisées.



100445 Impossible demodifier le mot depasse. Lescaractères spéciauxne sont pasautorisés.



100446 Impossible demodifier le mot depasse. Le mot depasse ne peut pascontenir le nomd'utilisateur.



A-45



100447 Impossible demodifier le mot depasse. Le mot depasse ne contientpas assez decaractèresspéciaux.



100448 Impossible demodifier le mot depasse. Le mot depasse ne contientpas assez denombres.



100449 Impossible demodifier le mot depasse. Le mot depasse ne contientpas assez decaractères.



100450 Impossible demodifier le mot depasse. Le mot depasse contient tropde caractèresconsécutifs.



100451 Impossible demodifier le mot depasse. Le nouveaumot de passe doitêtre différent desmots de passeutilisésprécédemment.



A-46



100452 Échec de lamodification du motde passe - Erreurinterne



101003 Modification du motde passe fixeréussie.



700100 Réinitialisation dumot de passe enmot de passe fixe.



700101 Réinitialisation dumot de passe encarte à puce



700102 Réinitialisation dumot de passe enauthentification dedomaine.



900159 Impossible demodifier le mot depasse.

KeyArmor


900160 Modification mot depasse réussie.

KeyArmor


900302 Réinitialisation dumot de passe enmot de passe fixe.

KeyArmor


900303 Réinitialisation dumot de passe encarte à puce

KeyArmor


A-47



900304 Réinitialisation dumot de passe enauthentification dedomaine.

KeyArmor

Alertes de modificationdu code confidentiel

100438 Impossible demodifier le codeconfidentiel. Lescodes confidentielsne correspondentpas.



100440 Impossible demodifier le codeconfidentiel. L'undes champs estvide.



100453 Impossible demodifier le codeconfidentiel. Lescodes confidentielsne correspondentpas.



100454 Modification ducode confidentielpossible. Lenouveau codeconfidentiel doit êtredifférent de l'anciencode confidentiel.



A-48



100455 Impossible demodifier le codeconfidentiel. Lenouveau codeconfidentiel nerespecte pas lalongueur minimalerequise définie parle serveurPolicyServer.



100456 Impossible demodifier le codeconfidentiel. Lecode confidentiel nepeut pas contenir lenom d'utilisateur.



100457 Impossible demodifier le codeconfidentiel. Lenouveau codeconfidentiel doit êtredifférent de ceuxutilisésprécédemment.



100458 Échec de lamodification ducode confidentiel -Erreur interne


Alertes de cartes àpuce

104002 Carte à puceenregistrée.



A-49


Alertes de cartes àpuce

104004 Impossibled'enregistrer la carteà puce. Vérifiez quela carte estcorrectementinsérée et que soncode confidentielest valide.


Alertes Windows Mobile 800000 Installation OTAdémarrée

Full Disk Encryptionpour WindowsMobile

Alertes Windows Mobile 800001 Installation OTAterminée


Alertes Windows Mobile 800100 SMS OTA envoyé Full Disk Encryptionpour WindowsMobile

Alertes Windows Mobile 800200 Liste de répertoiresOTA reçue


Alertes Windows Mobile 800300 Attributs dupériphérique OTAreçu


Alertes Windows Mobile 800400 Sauvegarde dupériphérique OTA


Alertes Windows Mobile 800500 Restauration dupériphérique OTA


Alerte d'installation 905001 L'installation desdisques a réussi.


Alerte d'installation 905002 Échec del'installation desdisques.



A-50



905003 Le déplacement desdisques a réussi.



905004 Échec dudéplacement desdisques.



907001 Corruption de labase de données



907002 Réparation de labase de donnéesréussie



907003 Impossible deréparer la base dedonnées



907004 Corruption de labase de données dedisques de données



907005 Réparation de labase de données dedisques de donnéesréussie



907006 Impossible deréparer la base dedonnées de disquesde données


B-1

Annexe B

Services Endpoint EncryptionLe tableau suivant décrit tous les services Endpoint Encryption. Utilisez-le pourcomprendre quels services contrôlent un agent ou une fonctionnalité EndpointEncryption donnés et pour résoudre un problème.


B-2

Tableau B-1. Services Endpoint Encryption

Plate-formeNom de

service oudu démon

Nomd'affichage Description Nom du

fichier

PolicyServer ServiceWindowsPolicyServer

ServiceWindowsPolicyServer

Gère lescommunicationsentre les basesde données etles servicesEndpointEncryption.

PolicyServerWindowService.exe

Service TMEE ServiceEndpointEncryption

Gère lescommunicationsde l'agentEndpointEncryption 5.0(et versionsultérieures)dans un canalchiffré(RESTful).

TMEEService.exe

IIS/MAWebService2

Service Webhérité

Gère lescommunicationsde l'agentEndpointEncryption 3.1.3(et versionsantérieures)dans un canalchiffré (SOAP).

N/A

TMEEForward TMEEForward Transfère letrafic desagents EndpointEncryption 6.0versPolicyServer.

TMEEForward.exe

TMEEProxyWindowsService

ServiceWindows proxyLDAPPolicyServer

Fournit descommunicationssécuriséesentre TrendMicroPolicyServer etles serveursLDAP distants.

LDAProxyWindowsServices.exe

Services Endpoint Encryption

B-3

Plate-formeNom de

service oudu démon

Nomd'affichage Description Nom du

fichier

Full DiskEncryption

DrAService Trend MicroFull DiskEncryption

Fournit lasécurité depoint deterrminaison deTrend Micro etFull DiskEncryption.

DrAService.exe

EncryptionManagementfor MicrosoftBitLocker

FDE_MB Trend MicroFull DiskEncryption,EncryptionManagementfor MicrosoftBitLocker

Assure lasécurité desdonnées despoints finaux àl'aide deMicrosoftBitLocker.

FDEforBitLocker.exe

EncryptionManagementfor AppleFileVault

Démon :TMFDEMM

Agent : TrendMicro Full DiskEncryption

Trend MicroFull DiskEncryption,EncryptionManagementfor AppleFileVault

Fournit unesécurité auxpoints finauxpour les pointsfinaux quiutilisent AppleFileVault.

File Encryption FileEncryptionService

Trend MicroFile Encryption

Fournit unesécurité TrendMicro auxpoints finaux etune protectiondes donnéespour lesfichiers,dossiers etsupportsamovibles.

FEService.exe

C-1

Annexe C

Mappage de stratégies entre desconsoles d'administration

Les administrateurs peuvent gérer Endpoint Encryption de manière flexible en utilisantuniquement PolicyServer MMC ou gérer Endpoint Encryption en utilisant ControlManager pour les stratégies, les utilisateurs et les périphériques et en utilisantPolicyServer MMC pour la gestion avancée des journaux et l'établissement de rapports.

Les tableaux suivants expliquent comment les stratégies sont mappées entre PolicyServerMMC et Control Manager. Pour les environnements qui utilisent Control Manager pourgérer PolicyServer, utilisez PolicyServer MMC pour contrôler les stratégies qui ne sontpas répertoriées dans le tableau.

Tableau C-1. Mappage de stratégies de Full Disk Encryption

Étiquette de ControlManager Chemin de PolicyServer MMC

Chiffrement

Chiffrer le point final Full Disk Encryption > Chiffrement > Chiffrer lepériphérique

Paramètres client


C-2


Contourner le pré-amorçage de Full DiskEncryption

Full Disk Encryption > Connexion > Contournementdu pré-amorçage

Les utilisateurs sontautorisés à accéder auxoutils de restauration dusystème sur le périphérique

Full Disk Encryption > Agent > Autoriser larestauration d'un utilisateur

Notifications

Si le point final est trouvé,afficher le message suivant

Full Disk Encryption > Connexion > Si trouvé

Afficher les informations decontact de l'assistancetechnique

Full Disk Encryption > Connexion > Informationssur la prise en charge

Afficher les mentionslégales

Full Disk Encryption > Connexion > Mention légale

• Afficher les mentionslégales > Installation

• Afficher les mentionslégales > Démarrage

Full Disk Encryption > Connexion > Mentionslégales > Mentions légales > Heure d'affichage desmentions légales

Afficher les mentionslégales

Full Disk Encryption > Connexion > Mentionslégales > Mentions légales > Texte des mentionslégales

Tableau C-2. Mappage des stratégies de File Encryption


Dossiers à chiffrer

Zone de texte Dossiers à chiffrer File Encryption > Chiffrement > Spécifier lesdossiers à chiffrer

Clé de chiffrement utilisée

Mappage de stratégies entre des consoles d'administration

C-3


Clé de chiffrement utilisée File Encryption > Chiffrement > Clé dechiffrement utilisée

Périphériques de stockage

Désactiver les lecteurs optiques File Encryption > Chiffrement > Désactiverlecteur optique

Désactiver les lecteurs USB File Encryption > Chiffrement > Supportamovible > Désactiver lecteur USB

Chiffrer tous les fichiers etdossiers sur les lecteurs USB

File Encryption > Chiffrement > Supportamovible > Chiffrer entièrement le périphérique

Spécifier le chemin d'accès auxfichiers à chiffrer sur lespériphériques USB

File Encryption > Chiffrement > Supportamovible > Dossiers à chiffrer sur le supportamovible

Notifications

Afficher les mentions légales File Encryption > Connexion > Mention légale

• Afficher les mentionslégales > Installation

• Afficher les mentionslégales > Démarrage

File Encryption > Connexion > Mentionslégales > Heure d'affichage des mentionslégales

Zone de texte Afficher lesmentions légales

File Encryption > Connexion > Mentionslégales > Texte des mentions légales

Tableau C-3. Mappage des stratégies d'agent communes

Étiquette de Control Manager Chemin de PolicyServer MMC

Autoriser l'utilisateur à désinstaller

Autoriser les comptes non-administrateur à désinstaller le logicielde l'agent

• Full Disk Encryption > Agent >Autoriser l'utilisateur à désinstaller

• File Encryption > Agent > Autoriserl'utilisateur à désinstaller


C-4


Actions de verrouillage et de blocage de périphériques

Verrouiller un compte après<number> jours

Full Disk Encryption > Connexion >Période de verrouillage du compte

Action de verrouillage du compte Full Disk Encryption > Connexion >Action de verrouillage du compte

Nombre de tentatives de connexioninfructueuses autorisé

Full Disk Encryption > Connexion >Nombre de tentatives de connexionéchouées autorisé

Full Disk Encryption :

Action de verrouillage du périphérique

Full Disk Encryption > Connexion >Action de verrouillage du périphérique

Full Disk Encryption :

Nombre de minutes de verrouillage dupériphérique

Full Disk Encryption > Connexion >Délai du verrouillage du périphérique

File Encryption :

Action de périphérique verrouillé

File Encryption > Connexion > Actionde verrouillage du périphérique

File Encryption :

Nombre de minutes de verrouillage dupériphérique

File Encryption > Connexion > Délai duverrouillage du périphérique

Mot de passe

Les utilisateurs doivent modifier le motde passe après <number> jours

Commun > Authentification >Connexion locale > Mot de passeutilisateur > Modifier le mot de passetous les

L'utilisateur ne peut pas réutiliser les<number> mots de passe précédents

Commun > Authentification >Connexion locale > Mot de passeutilisateur > Conservation del'historique des mots de passe

Mappage de stratégies entre des consoles d'administration

C-5


Nombre de caractères successifsautorisés dans un mot de passe.

Commun > Authentification >Connexion locale > Mot de passeutilisateur > Caractères consécutifsautorisés

Longueur minimale autorisée pour lesmots de passe

Commun > Authentification >Connexion locale > Mot de passeutilisateur > Longueur minimale

Exigences relatives aux caractères dans les mots de passe

Lettres Commun > Authentification >Connexion locale > Mot de passeutilisateur > Nombre de caractèresrequis

Caractères minuscules Commun > Authentification >Connexion locale > Mot de passeutilisateur > Nombre de caractères enminuscule requis

Caractères majuscules Commun > Authentification >Connexion locale > Mot de passeutilisateur > Nombre de caractères enmajuscule requis

Chiffres Commun > Authentification >Connexion locale > Mot de passeutilisateur > Nombre de chiffres requis

Symboles Commun > Authentification >Connexion locale > Mot de passeutilisateur > Nombre de caractèresspéciaux requis


C-6

Tableau C-4. Emplacement des stratégies de l'assistance à distance

Nom de lastratégie

Chemin de menu dePolicyServer MMC

Chemin de menu deControl Manager

Action deverrouillage ducompte

Connexion > Action deverrouillage du compte

Commun > Action deverrouillage dupériphérique > Action deverrouillage du compte

Période deverrouillage ducompte

Connexion > Période deverrouillage du compte

Commun > Actions deverrouillage et deblocage de périphériques> Verrouiller un compteaprès [ ] jours

Action deverrouillage dupériphérique

Pour chaque agent :

Connexion > Action deverrouillage du périphérique

Pour chaque agent :

Commun > Actions deverrouillage et deblocage de périphériques> Device locked action

Nombre detentatives deconnexionéchouées autorisé

Pour chaque agent :

Connexion > Nombre detentatives de connexionéchouées autorisé

Pour chaque agent :

Commun > Actions deverrouillage et deblocage de périphériques> Nombre de tentativesde connexioninfructueuses autorisé

D-1

Annexe D

GlossaireLe tableau ci-dessous explique la terminologie officielle employée dans toute ladocumentation Endpoint Encryption.

Tableau D-1. Terminologie Endpoint Encryption

Terme Description

Agent Logiciel installé sur un point final qui communique avec unserveur de gestion.

Authentification Processus d'identification d'un utilisateur.

ColorCode™ Méthode d'authentification nécessitant un mot de passe enséquence de couleurs.

Création de commande Outil Trend Micro permettant de générer des scripts utiliséspour installer le serveur PolicyServer et les agents EndpointEncryption pour les déploiements automatiques ou demasse.

Aide de ligne decommande

Outil Trend Micro permettant de créer des valeurs chiffréesdestinées à sécuriser les informations d'authentificationutilisées par les scripts d'installation d'agents EndpointEncryption.


D-2

Terme Description

Control Manager Trend Micro Control Manager est une consoled'administration centralisée qui gère les produits et servicesTrend Micro au niveau de la passerelle, du serveur demessagerie, du serveur de fichiers et des postes de travail del'entreprise.

Périphérique Tout ordinateur, ordinateur portable ou support amovible(lecteur externe, lecteur USB) géré par Endpoint Encryption.

Authentification dedomaine

Méthode d'authentification pour l'authentification unique(SSO) à l'aide d'Active Directory.

DriveTrust™ Technologie de chiffrement matériel de Seagate™.

Encryption Managementfor Microsoft BitLocker

Agent Endpoint EncryptionFull Disk Encryption pour lesenvironnements Microsoft Windows qui ont simplementbesoin d'activer Microsoft BitLocker sur le point finald'hébergement.

Utilisez l'agent Encryption Management for MicrosoftBitLocker pour sécuriser les points finaux avec la protectionpar chiffrement complet de disques de Trend Micro dans uneinfrastructure Windows existante.

Encryption Managementfor Apple FileVault

Agent Endpoint Encryption Full Disk Encryption pour lesenvironnements Mac OS qui ont simplement besoin d'activerApple FileVault sur le point final d'hébergement.

Utilisez l'agent Encryption Management for Apple FileVaultpour sécuriser les points finaux avec la protection parchiffrement complet de disques de Trend Micro dans uneinfrastructure Mac OS existante.

Service EndpointEncryption

Service PolicyServer qui gère de façon sécurisée toutes lescommunications des agents Endpoint Encryption 6.0.

Pour les communications des agents EndpointEncryption 3.1.3 et antérieurs, consultez la section ServiceWeb hérité.

Glossaire

D-3

Terme Description

Entreprise Entreprise Endpoint Encryption est l'identifiant unique del'organisation dans la base de données PolicyServerconfigurée lors de l'installation de PolicyServer. Une base dedonnées PolicyServer peut avoir plusieurs configurationsd'entreprise. Les configurations Endpoint Encryption utilisantControl Manager peuvent n'avoir qu'une seule entreprise.

File Encryption Agent Endpoint Encryption pour le File Encryptions et dedossiers sur les disques locaux et les supports amovibles.

Utilisez File Encryption pour protéger les fichiers et lesdossiers se trouvant virtuellement sur tout périphériqueapparaissant comme disque sur le système d'exploitationhôte.

Mot de passe fixe Méthode d'authentification pour l'utilisation d'un mot de passeutilisateur standard composé de lettres, de chiffres ou encoredes caractères spéciaux.

Full Disk Encryption Agent Endpoint Encryption pour le chiffrement matériel etlogiciel avec authentification préalable au démarrage. FullDisk Encryption sécurise les fichiers de données, lesapplications, les paramètres de registre, les fichierstemporaires, les fichiers d'échange, les spouleursd'impression et les fichiers supprimés sur un point finalWindows. Une authentification pré-amorçage forte limitel'accès aux vulnérabilités jusqu'à ce que l'utilisateur soitvalidé.

Service Web hérité Service PolicyServer qui gère de façon sécurisée toutes lescommunications des agents Endpoint Encryption 3.1.3 etantérieurs. Pour obtenir des informations détaillées,consultez la section À propos de PolicyServer à la page 2-6.

Pour les communications des agents Endpoint Encryption6.0, consultez la section Service Endpoint Encryption.

OfficeScan OfficeScan protège les réseaux d'entreprise contre lesprogrammes malveillants, les virus réseau, les menacesprovenant d'Internet, les spywares et les attaques mixtes.Solution intégrée, OfficeScan est composé d'un agentrésidant au point final et d'un programme serveur qui gèretous les agents.


D-4

Terme Description

OPAL Classe des sous-systèmes de sécurité informatique degroupe fiable pour les périphériques clients.

Mot de passe Tout type de données d'authentification utilisé encombinaison avec un nom d'utilisateur, tel que le mot depasse fixe, le code confidentiel et le ColorCode.

Code confidentiel Méthode d'authentification pour l'utilisation d'un numérod'identification personnel, couramment utilisé pour lestransactions de DAB.

PolicyServer Serveur d'administration central qui déploie des stratégies dechiffrement et d'authentification vers les agents EndpointEncryption.

Assistance à distance Méthode d'authentification pour les utilisateurs EndpointEncryption ayant oublié leurs informations d'identification oupour les périphériques Endpoint Encryption sur lesquels lesstratégies n'ont pas été synchronisées avant un délaiprédéterminé.

Console de restauration Interface Full Disk Encryption permettant de restaurer despériphériques Endpoint Encryption en cas de défaillance dusystème d'exploitation principal ou de problème de réseau etde gérer les utilisateurs, les stratégies et les journaux.

Outil de restauration Disque amorçable utilisé pour réparer un périphérique quin'est pas en mesure de démarrer. L'outil de restauration estdistribué en tant que fichier ISO dans le pack d'installation deFull Disk Encryption.

SED Disque à chiffrement autonome. Les SED proposent un« chiffrement matériel », par opposition au type dechiffrement fourni par Full Disk Encryption pour lequel onparle de « chiffrement logiciel ».

Auto-assistance Méthode d'authentification servant à aider les utilisateursEndpoint Encryption à fournir les réponses aux questions desécurité plutôt que de contacter l'assistance technique afind'obtenir une assistance pour le mot de passe.

Glossaire

D-5

Terme Description

Carte à puce Méthode d'authentification nécessitant l'utilisation conjointed'une carte physique et d'un code PIN ou un mot de passefixe.

IN-1

IndexAActive Directory, 2-12, 2-13, 3-22, 6-19

configuration, 3-23importer des utilisateurs, 6-5réinitialisation d'un mot de passe, 6-23vue d'ensemble, 3-22

agents, 2-9Aide de ligne de commande, 8-33alertes, 8-11améliorations, 2-4annexes, 1à propos de

authentification, 4-2groupes, 3-6PolicyServer, 2-6, 3-1Service Endpoint Encryption, 2-6Service Web hérité, 2-6utilisateurs, 3-6

assistancerésout les problèmes plus rapidement,9-4

Assistance à distance, 2-14, 6-19, 6-29, 7-14authentification, 2-3, 2-11, 2-12

à propos de, 4-2assistance à distance, 6-32Assistance à distance, 2-11, 2-12, 2-14authentification de domaine, 2-11, 2-12Auto-assistance, 2-11, 2-12, 2-14, 6-27Carte à puce, 2-15, 6-23, 6-25ColorCode, 2-11, 2-12conditions requises pour laconfiguration, 2-13domaine, 2-12LDAP, 2-13

mot de passe fixe, 2-11–2-13PIN, 2-14prérequis, 2-13

authentification de domaine, 2-12Auto-assistance, 2-14, 6-19

support de mot de passe, 6-27

CCarte à puce, 2-15, 6-23

authentification, 6-25cartes à puce, 2-15, 6-23chiffrement, 4-36

fonctions, 2-3Code confidentiel, 2-11, 2-12ColorCode, 2-12commentaires relatifs à la documentation, 9-6consoles d'administration, 2-7, 3-1CSV, 6-5

Ddéfinitions des produits, D-1

EEndpoint Encryption, 2-1

FFile Encryption

Assistance à distance, 6-33déverrouiller le périphérique, 6-33

fonctionnalités principales, 2-3Full Disk Encryption

Assistance à distance, 6-32authentification, 2-14

Ggénération de rapports, 2-1, 2-3


IN-2

gestion centralisée, 2-3groupes, 3-6, 5-1

création de groupes hors ligne, 5-14groupes hors ligne, 5-14installer dans le groupe, 6-16modification, 5-5suppression, 5-5supprimer un périphérique, 5-13, 7-4

groupe supérieur, 3-7, 5-2

Iimportation des utilisateurs, 6-5Intégration de Control Manager, 2-7, 3-1

Jjetons, 6-25, 6-27journaux, 8-1

alertes, 8-11configuration des alertes, 8-12gestion des événements, 8-10

journaux d'événements, 8-10, 8-15

LLDAP, 2-13

Mmaintenance, 8-2mappage de stratégies

Control Manager, C-1PolicyServer, C-1

méthodes d'authentification, 2-11, 2-12moniteur de diagnostics, 8-23mot de passe fixe, 2-13

Nnouveautés, 2-4Numéro d'identification personnel (PIN),2-14

Ooutil de modification des paramètres dePolicyServer, 8-27Outil de renouvellement de licence, 8-29

prolongation de licence, 8-31

Ppériphérique, 2-3périphériques

adhésion à un groupe, 7-12afficher les attributs, 7-8ajouter à un groupe, 5-12, 7-3clé de restauration, 7-7commande Éliminer, 7-13jeton logiciel, 7-6liste de répertoires, 7-12PolicyServer MMC, 7-1redémarrer, 7-14suppression, 7-5supprimer d'un groupe, 5-13, 7-4supprimer un périphérique d'entreprise,7-5verrouillage, 7-14

PolicyServeractivation des applications, 3-20Assistance à distance, 6-29Carte à puce, 6-25configuration des journaux d'alertes,8-12démarrage, 3-1envoyer des SMS / e-mails, 8-13Fenêtre MMC, 4-8Hiérarchie MMC, 3-5hypothèse avancée, 8-14Informations sur la prise en charge, 6-31interface, 3-4journaux, 8-1

Index

IN-3

journaux d'événements, 8-10, 8-15maintenance, 8-2rapports, 8-1, 8-10, 8-15sous-groupes, 5-4stratégies, 4-1, 4-6, 4-8

Informations sur la prise encharge, 6-31modification, 4-9

Synchronisation AD, 3-22PolicyServer MMC, 2-9, 3-1

ajouter un groupe supérieur, 3-7, 5-2ajouter un utilisateur d'entreprise, 3-12,6-2authentification, 3-3champs et boutons, 3-17, 4-7groupes, 3-6

ajout d'utilisateurs, 3-9, 5-5, 6-11groupes hors ligne, 5-14

création, 5-14mise à jour, 5-16

modification de stratégies, 3-18première utilisation, 3-3stratégies, 3-16

modificationchaîne de texte, 4-16choix multiple, 4-13options multiples, 4-17stratégies avec gammes, 4-9Vrai/Faux, Oui/Non, 4-11

utilisateurs, 3-6ajouter à un groupe, 3-9, 3-14, 5-5,5-8, 6-11, 6-13ajouter un utilisateur d'entreprise,3-9, 5-5, 6-11

utilisateurs et groupes, 3-7précédents mots de passe, 2-3, 6-19

Assistance à distance, 6-29Auto-assistance, 6-27réinitialisation, 6-21

Active Directory, 6-23Administrateur de groupe, 6-21Administrateur de l'entreprise, 6-20Authentificateur de groupe, 6-21Authentificateur de l'entreprise,6-20utilisateur, 6-22, 6-23

réinitialisation vers un mot de passefixe, 6-22

Protection des données, 2-1Proxy LDAP, 6-2

Rrapports, 8-1, 8-10, 8-15

affichage des rapports, 8-20afficher les erreurs, 8-21alerte, 8-19, 8-20icônes, 8-16options, 8-16rapports programmés, 8-21standard, 8-17, 8-18types de, 8-17

Ssécurité

action de verrouillage du compte, 2-14nombre de tentatives de connexionéchouées autorisé, 2-14période de verrouillage du compte, 2-14verrouillage de compte, 2-14verrouillage de périphérique, 2-14

SSO, 2-12stratégies, 2-3

commun, 4-40


IN-4

agent, 4-40authentification, 4-41

File Encryptionagent, 4-35chiffrement, 4-36connexion, 4-38mot de passe, 4-39

Full Disk Encryption, 4-25, 4-35chiffrement, 4-28client, 4-26connexion, 4-29mot de passe, 4-34

indicateurs, 3-17, 4-7Informations sur la prise en charge, 6-31mappage de stratégies, C-1PolicyServer, 4-19

Administrateur, 4-21alertes de journal, 4-23Authentificateur, 4-22console, 4-20message d'accueil, 4-25téléchargement du service pack,4-24

stratégies du centre d'assistance, 6-31

Tterminologie, D-1

Uutilisateurs, 3-6, 4-4, 6-1

adhésion à un groupe, 6-10ajout, 6-2ajouter un nouvel utilisateur à ungroupe, 3-9, 5-5, 6-11ajouter un nouvel utilisateurd'entreprise, 3-12, 6-2

ajouter un utilisateur existant augroupe, 3-14, 5-8, 6-13gestion, 6-7importation par CSV, 6-5importer depuis AD, 6-5installer dans le groupe, 6-16modification, 6-9modifications de groupe etmodifications d'entreprise, 6-9modifier le groupe par défaut, 6-16Mots de passe Active Directory, 6-23précédents mots de passe, 6-19restaurer des éléments supprimés, 6-19,8-9supprimer d'un groupe, 5-11, 6-18trouver, 6-8

utilisateurs et groupes, 3-7

Trend Micro SA 85, avenue Albert 1er 92500 Rueil Malmaison France

Tél. : +33 (0) 1 76 68 65 00 [email protected]

Item Code: APFM68104/171128

Documents

Manuel de PolicyServer MMC - docs.trendmicro.comdocs.trendmicro.com/all/ent/endenc/v6.0/fr-fr/tmee_6.0_psmmcg.pdf · Manuel de Trend Micro Endpoint Encryption 6.0 PolicyServer MMC