Présentation SafeGuard Easy

Transcription

1 Page 1 su [Utimaco Safeware] Présentation SafeGuard Easy Page 1

2 Page 2 su SOMMAIRE 1. PRESENTATION GENERALE ADMINISTRATION SUPPORT UTILISATEUR UTILISATION DIVERS SPECIFICATIONS...46 Page 2

3 Page 3 su 1. Présentation générale Les ordinateurs individuels contiennent fréquemment des données spécifiques à des personnes, des informations confidentielles relatives à une entreprise ou d autres données sensibles. Le vol d ordinateurs portables, par exemple, est un danger qu il ne faut pas sous-estimer. Les informations ultraconfidentielles de clients sur l ordinateur portable de type Notebook d un collaborateur du service commerciale ou management pourraient tomber entre les mains d un concurrent et être ainsi dommageables pour l entreprise. Pour se protéger de tels risques sans investir un temps considérable dans l implémentation de mesures de sécurité, SafeGuard Easy est la solution idéale. Comment SafeGuard Easy protège-t-il les postes de travail des accès non autorisées? Les fonctions de sécurité principales du programme sont l authentification au démarrage (pre-boot), le chiffrement de données et la protection du secteur d amorçage. Les gros avantages de SafeGuard Easy sont les suivants : Efficacité de la confidentialité des données enregistrées Implémentation rapide du programme Très grande convivialité et transparence pour l utilisateur Concept de sécurité approprié pour de nombreux domaines d application SafeGuard Easy est simple à installer et ne requiert que peu d organisation. Il est ainsi particulièrement bien approprié pour les ordinateurs portables mais convient parfaitement à la protection de tout PC. Page 3

4 Page 4 su Fonctions de sécurité centrales Chiffrement Contrôle d accès avec l authentification avant amorçage (PBA) Protection des zones d'amorçage Autres fonctions de sécurité Authentification par mot de passe, token Aladdin ou RSA Authentification biométrique (capteurs IBM/Lenovo) Chiffrement des médias externes (clés USB, Disquettes, Zip, Jazz) Prise en charge d IBM Thinkvantage technologies Auto-logon avec l ouverture de session Windows Déblocage des utilisateurs à distance Support des modes veille et hibernation Support Wake On LAN sécurisé Règles étendues pour mots de passe et codes PIN de token Log et Audit dans la PBA et le système d'exploitation Base de données d'administration centrale en option Mot de passe utilisateur commun pour SafeGuard Easy et Windows (synchronisation de mot de passe) Scripting Interface Installation basée sur Windows Installer Gestionnaire d'amorçage intégré (Double-amorçage) Réutilisation de fichiers de configuration de versions plus anciennes Démarrage de secours possible d une disquette, d un CD ou d une clé USB Prise en charge du nouveau Aladdin Token (etoken 64 K et NG OTP) Module d extension SafeGuard pour le Token Management System (TMS) d Aladdin Compatibilité avec le service de copie d instantané de volume de Windows XP Evaluations : SafeGuard Easy est évalué Critères Communs EAL3 niveau moyen. SafeGuard Easy est évalué FIPS level 1. SafeGuard Easy est évalué VS-NfD (environnement militaire). Page 4

5 Page 5 su 1.1. Installation SafeGuard Easy se compose de différents "modules" qui fonctionnent indépendamment l'un de l'autre. Les différents modules se présentent sous forme de paquets MSI Ces modules sont disponibles : SGEasy.msi Runtime.msi Server.msi Client Application pour SafeGuard Easy Système exécutable Composant SafeGuard Easy Server Il est possible d installer la solution de différentes manières : Locale Automatisée : Le mode silencieux peut être mis en place grâce à la génération d un fichier de configuration Chiffrement La fonction principale de SafeGuard Easy est le chiffrement des données des supports les plus divers, tels que par exemple les disques durs, les disquettes et les clés USB. Le chiffrement de disquettes et de périphériques amovibles offre l avantage que l ensemble des données circulantes sont inaccessibles au monde extérieur. Sur un ordinateur PC avec chiffrement activé, les disquettes normales en texte clair sont illisibles. Le chiffrement avec des clés respectivement différentes peut être exécuté en utilisant divers algorithmes (AES-128, AES-256, Rijndael-256, IDEA, 3DES, DES, DES SB-II, Blowfish-8, Blowfish-16, STEALTH-40, XOR et XOR SB-I A=B). La clé n est pas stockée dans le système pour des raisons de sécurité. A chaque amorçage du système, elle est recalculée de nouveau à partir du mot de passe SafeGuard Easy de l utilisateur. Les zones du système ou des partitions isolées, ou encore un maximum de quatre disque durs, peuvent être chiffrés. Les systèmes de données suivants sont pris en charge : FAT- 12, FAT-16, FAT-32, HPFS, NTFS et NTFS5. Page 5

6 Page 6 su 1.3. Démarrage du système et ouverture de session SafeGuard Easy apporte un mécanisme d authentification avant amorçage (PBA). Quand l authentification avant amorçage est activée, le démarrage du poste n est possible qu avec les données d accès SafeGuard Easy. A partir du mot de passe saisi, la clé de déchiffrement d un disque dur chiffré, requise pour l amorçage, est calculée. Selon la méthode d'authentification réglée par défaut, l'ouverture de session dans la PBA se fait : comme utilisateur régulier (avec nom d'utilisateur et mot de passe) comme utilisateur par défaut (avec mot de passe uniquement) avec clé cryptographique (avec mot de passe de token) Voir également le chapitre pour plus de précisions Réinitialisation de mot de passe oublié SafeGuard Easy offre un mécanisme Requête/Réponse pour réinitialiser les mots de passe "oubliés". Si l'utilisateur a besoin d'aide, il doit générer un code de requête dans la PBA en appuyant sur la touche [F9]. Puis contacter l administrateur ou le helpdesk Voir également le chapitre pour plus de précisions Ouverture de session automatique dans le système d exploitation SafeGuard Easy peut en option exécuter une ouverture de session automatique dans Windows. Dans SafeGuard Easy, cette fonction est appelée Ouverture de session automatique sécurisée (en abrégé SAL). Voir également le chapitre pour plus de précisions Page 6

7 Page 7 su 1.4. Administration SafeGuard Easy peut être configuré de 3 manières différentes : Par le biais de l utilitaire d administration local d un poste équipé de SafeGuard Easy. Vous intervenez directement dans la configuration SGE de l'ordinateur. Il sert à l administration locale sur un ordinateur individuel. Via l assistant de configuration pour le déploiement. Cet outil réunit les paramètres SafeGuard Easy dans un fichier, distribué ensuite aux clients pour installation ou modification automatisée. A travers l administration centralisée. Elle administre tous les clients installés dans un réseau d entreprise et se charge également de la distribution sécurisée et centrale d éventuelles mises à jour de configuration à des groupes de clients, de l affichage de leur état actuel, ainsi que de l archivage central de sauvegardes de noyau du système. Page 7

8 Page 8 su 2. Administration 2.1. Déploiement Installation locale Dans le cas d'une installation locale, SafeGuard Easy est installé sur un client autonome à partir du CD package du produit. Un utilisateur qui souhaite installer SafeGuard Easy doit disposer des droits d administrateur de Windows car il est nécessaire de pouvoir accéder ici au disque dur ou d installer des pilotes et services système requérant également des droits d administrateur. Les packages d installation fournis par Utimaco reposent sur la technologie MSI Installation automatisée Les administrateurs peuvent définir la configuration globale SafeGuard Easy avant de distribuer le logiciel. La fonction séparée entre l'administrateur du système et l'utilisateur permet une répartition des tâches particulièrement utile quand plusieurs ordinateurs doivent être administrés. L'administrateur du système crée sur son ordinateur un fichier de configuration et installe SafeGuard Easy à l'aide des outils de distribution habituel sur les ordinateurs des utilisateurs. Si l'administrateur du système souhaite procéder à une modification sur tous ces ordinateurs, il n'a pas à la faire directement sur les différents PC : il peut créer sur son ordinateur un autre fichier de configuration, en définir les modifications et les transmettre aux utilisateurs respectifs. Les modifications sont validées quand le fichier de configuration est exécuté sur les ordinateurs des utilisateurs. Pour automatiser l'installation, l'administrateur du système doit prendre certaines dispositions. Création d'un fichier de configuration Distribution de fichier "msi" (avec / sans Active Directory) Mis à jour Si vous avez déjà installé une version antérieure de SafeGuard Easy sur votre poste de travail, il vous est facile de procéder à un changement de version. Les paramètres déjà définis (nom d utilisateur, mot de passe, etc.) sont conservés. Il n est pas nécessaire de déchiffrer le disque pour changer de version. Page 8

9 Page 9 su 2.2. Outils d administration Administration locale Après une installation complète, SafeGuard Easy crée un dossier de même nom sous Programmes / Utimaco. L utilitaire Administration peut y être démarré. Quand l utilitaire d administration est démarré, un pop-up d ouverture de session apparaît, requérant l authentification SafeGuard Easy afin d autoriser l accès. Page 9

10 Page 10 su Après saisie correcte des données d utilisateur SafeGuard Easy, l utilitaire d administration apparaît. La partie de gauche présente une liste de toutes les pages de configuration disponibles. Si, dans la fenêtre de gauche, un élément de configuration est sélectionné, des détails sur les possibilités de réglage sont affichés dans la partie de droite. Les paramètres dans la partie de droite sont modifiés en double-cliquant sur l option souhaitée. Page 10

11 Page 11 su Administration avec l assistant de configuration pour le déploiement La seule tâche de l'assistant de configuration pour le déploiement est de créer des fichiers à l'aide desquels l'installation, désinstallation et modification de SafeGuard Easy peuvent être automatisées. Dans les environnements réseau, l'administrateur envoie les fichiers de configuration aux ordinateurs des utilisateurs et les y exécute. Une fois le même fichier de configuration exécuté sur plusieurs ordinateurs, SafeGuard Easy fonctionne sur ceux-ci avec une configuration homogène. Un fichier de configuration ne dépend pas d un système particulier, c est à-dire qu il peut être utilisé avec des systèmes autres que celui sur lequel il a été créé. L essentiel est que la version de SafeGuard Easy utilisée sur les différents systèmes soit identique. Il n est pas nécessaire d installer entièrement SafeGuard Easy pour accéder l assistant de configuration pour le déploiement. Les outils d administration suffisent. L assistant peut ensuite être démarré. Page 11

12 Page 12 su Après le démarrage, vous déterminez d'abord dans quel but le fichier de configuration est créé. Page 12

13 Page 13 su Par la suite il est possible de configurer ce fichier Avec un fichier de configuration de base, les paramètres de celui-ci sont chargés; sans configuration de base, les paramètres par défaut apparaissent. Vous pouvez y configurer divers éléments : Paramètres d ordre générale (token, wake on lan, politique de mot de passe ) Chiffrement (Disque dur, disquette, clé usb, choix de l algorithme ) Profils utilisateurs (mot de passe admin, mot de passe initial utilisateur, ) Une fois le fichier configuré, il est nécessaire de déterminer le chemin dans lequel vous souhaiter l enregistrer. Il ne restera ensuite plus qu à le déployer avec vos outils et méthodes. Page 13

14 Page 14 su Administration centralisée Pour compléter les deux précédents modes d administration, il existe une application propre qui remplit des tâches centrales. Elle administre tous les clients installés dans un réseau d entreprise et se charge également de la distribution sécurisée et centrale d éventuelles mises à jour de configuration à des groupes de clients, de l affichage de leur état actuel, ainsi que de l archivage central de sauvegardes de noyau du système. Même les clients qui ne sont qu occasionnellement connectés au réseau (clients offline) peuvent être intégrés dans l administration centrale. Le mécanisme d administration via fichiers de configuration et outil de distribution tiers de logiciel, reste utilisable et d actualité si vous préférez conserver vos outils d administration (Active Directory, Tivoli ). Mode de fonctionnement : Dans le cadre de l administration centrale, des ordinateurs clients SafeGuard Easy sont administrés d un poste central via la console d administration. La console d administration gère une base de données centrale qui contient les paramètres de configuration des clients SafeGuard Easy. Des données supplémentaires comme par ex. des modifications souhaitées de paramètres de configuration sont en outre enregistrées également dans la base de données. L administration centrale de SafeGuard Easy requiert les composants suivants: le serveur SafeGuard Easy (appelé ci-après serveur SGE) avec la base de données SafeGuard Easy (base de données SGE) la console d administration SafeGuard Easy qui contrôle la base de données sur le serveur (console d administration SGE) les ordinateurs clients SafeGuard Easy (clients SGE) Page 14

15 Page 15 su La base de données SGE centrale rassemble diverses informations sur les clients SGE. L administrateur SGE utilise la console d administration pour gérer les contenus de la base de données et pour générer des souhaits de modification sous forme de ce qu on appelle des requêtes. A l aide d un agent de réseau, les clients SGE lisent les modifications de configuration de la base de données via le serveur et rendent compte des modifications effectuées au serveur qui enregistre alors les nouveaux paramètres de configuration dans la base de données. La communication avec le serveur SGE est réalisée par le processus serveur SGE qui utilise une interface ODBC garantissant la plus grande flexibilité possible dans le choix du type de base de données. Page 15

16 Page 16 su Configuration applicable au trois mode d administration (local, package, administration centralisée) Chiffrement Les paramètres suivants sont définis dans cette fenêtre : Quels lecteurs sont chiffrés et quelles clés et algorithmes sont utilisés à cet effet. Un certain nombre d'algorithmes sont disponibles avec différents niveaux de sécurité et de performances. Page 16

17 Page 17 su Lecteurs pris en charge Disques durs : Disques durs IDE/SCSI Disques durs Serial-ATA ("connectables à chaud") Disques durs PCMCIA ("connectables à chaud") Disques durs Firewire ("connectables à chaud") Disques durs USB ("connectables à chaud") Disquettes : SafeGuard Easy prend en charge tout lecteur intégré dans un PC standard. Périphériques amovibles : Support mémoire USB Carte mémoire avec emplacement de lecteur intégré (carte SD, carte CF, etc.) Lenovo Microdrive Lecteur ZIP USB Lecteur ZIP parallèle Page 17

18 Page 18 su Création de profil utilisateur Vous déterminez ici les utilisateurs autorisés à travailler sur un poste de travail protégé par SafeGuard Easy. Vous pouvez créer ici de nouveaux utilisateurs SafeGuard Easy, modifier des utilisateurs existants ou supprimer des utilisateurs inutiles. Vous déterminez en outre de quels droits et pouvoirs complémentaires les utilisateurs SafeGuard Easy définis disposent. SafeGuard Easy autorise l accès au système pour 16 utilisateurs au maximum. SYSTEM et USER sont définis par défaut, l'utilisateur SYSTEM ne devant jamais être supprimé. Page 18

19 Page 19 su Utilisateurs prédéfinis SafeGuard Easy fournit les profils d'utilisateurs prédéfinis suivants : SYSTEM Cet utilisateur est le seul à posséder les droits du niveau hiérarchique le plus élevé. Il ne peut pas modifier ses propres paramètres. Il ne peut être supprimé par personne et personne ne peut l administrer. L'utilisateur SYSTEM est le seul à pouvoir modifier les paramètres de tous les autres profils d'utilisateurs. Seul le responsable au niveau supérieur de la sécurité du système doit par conséquent pouvoir ouvrir une session avec le nom d utilisateur SYSTEM. Le mot de passe de l utilisateur SYSTEM ne doit être connu que du responsable au niveau supérieur de la sécurité. Il doit noter ce mot de passe et le conserver p. ex. dans un coffre-fort. User Comme l'utilisateur SYSTEM, l'utilisateur USER est automatiquement présent après une installation de SafeGuard Easy. Ce profil d'utilisateur dispose des droits minimum. Généralement, Utimaco conseil la création de 1 ou 2 comptes supplémentaires : Helpdesk distant Un compte «Helpdesk distant» si le déblocage de l utilisateur à distance via challenge réponse est mis en place. Administrateur délégué Un compte «Administrateur délégué» si l on veut intervenir localement sur la configuration SafeGuard Easy sans toutefois octroyer tous les droits du compte «SYSTEM». Page 19

20 Page 20 su Caractéristiques d utilisateur Authentification avec Token Ce paramètre indique si un utilisateur doit ouvrir une session avec un token ou non. Cette option ne peut être sélectionnée que si Token Support a été installé et l'option "Token optionnel" défini dans les paramètres généraux. Utilisateur par défaut Un utilisateur par défaut n ouvre la session qu avec son mot de passe SafeGuard Easy, dès que son authentification est demandée. Tous les autres utilisateurs doivent ouvrir leur session avec nom d'utilisateur et mot de passe. A l exception de SYSTEM, n importe quel utilisateur de SafeGuard Easy peut être défini comme utilisateur par défaut. Date d expiration La date d'expiration indique la durée de validité maximum d'un profil d'utilisateur SGE. Vous pouvez spécifier une date ou une durée (en jours) jusqu à laquelle l accès au poste est autorisé. Ce paramètre est approprié en particulier pour le cas où l utilisation d un poste de travail n est prévue que pour un certain temps, p. ex. employés temporaires ou étudiants, etc. Une fois le délai écoulé, le poste de travail est verrouillé pour l utilisateur. Ce paramètre n a aucun effet sur l utilisateur SYSTEM. Page 20

21 Page 21 su Configuration du mot de passe Le mot de passe joue un rôle central dans SafeGuard Easy : A partir du mot de passe SafeGuard Easy saisi à l'authentification avant amorçage, la clé de déchiffrement d un disque dur chiffré, requise pour l amorçage, est calculée. Le mot de passe SafeGuard Easy doit être choisi avec circonspection. SafeGuard Easy met à disposition des fonctions d ouverture de session automatique sécurisée (SAL) et Synchronisation de mot de passe qui épargne l'utilisateur la redondance d authentification en lui demandant une seule fois de saisir ses données (dans la PBA). Voir également le chapitre pour plus de précisions Page 21

22 Page 22 su Activation à distance (Wake-On-Lan) Le mode Wake-On-LAN sécurisé (appelé ci-après S-WOL) de SafeGuard Easy est la méthode la plus sûre pour combiner les avantages de l activation à distance et la protection de l ordinateur par chiffrement de disque dur. SafeGuard Easy S-WOL autorise à cette fin la désactivation de l authentification avant amorçage pendant un certain nombre de redémarrages, puis sa réactivation pour par ex. distribuer un nouveau logiciel. Pendant cette période, il est impossible de procéder à une ouverture de session dans Windows (GINA verrouillée). Verrouillage de l ouverture de sessions Windows. En mode Wake On LAN, l ordinateur est protégé contre les ouvertures de session Windows locales par l utilisateur. Au lieu de la boîte de dialogue d ouverture de session Windows usuelle, le message indiquant qu'une ouverture de session sur Windows est impossible car l ordinateur a été démarré via Wake On LAN. L utilisateur a seulement la possibilité de redémarrer l ordinateur. Page 22

23 Page 23 su Modification des paramètres de registre Pour améliorer le confort lors de la configuration, Utimaco a généré un propre modèle d administration pour l éditeur de stratégies de groupes Microsoft (Gpedit.msc). Ce modèle (nom de fichier : sguard_040c.adm) permet de définir confortablement certains paramètres SafeGuard Easy sans avoir à éditer le registre. Les paramètres du modèle d administration pour un ordinateur d utilisateur sont modifiés localement par un administrateur via l éditeur de stratégies de groupes (Gpedit.msc) ou centralement via les objets Stratégies de groupes (OSG) dans un environnement Active Directory. Les utilisateurs dans un environnement d entreprise n ont normalement pas de droits d administrateur et ne peuvent par conséquent pas modifier eux-mêmes les stratégies SafeGuard Easy. Page 23

24 Page 24 su Audit Sur la base des événements audités, des opérations effectuées sur une station de travail peuvent être suivies de manière exacte. L audit permet de prouver par exemple des violations de droits par des tiers non autorisés. A l administrateur du système, l audit offre également une aide pour retrouver ou corriger des droits d utilisateur refusés par erreur. L'audit enregistre des événements déclenchés par des produits SafeGuard installés. L utilisateur possédant les droits appropriés peut soit visualiser les événements audités directement via l observateur d événements de Windows, soit les exporter dans un fichier défini en propre régie à fins d archivage. Les données sont soit enregistrées localement, soit transmises à distance à une station de travail centrale. Outre l audit pur des données, il existe un mécanisme de filtrage qui, grâce à une sélection ciblée des événements concernés, aide à contenir le flux de données causé par l enregistrement de tous les événements possibles. L'audit enregistre les événements SafeGuard Easy suivants : déroulement du processus d'ouverture de session à la PBA (réussite/échec) actions d'administration (création d'un utilisateur, etc.) communications avec administration centrale (client assigné au serveur, etc.) succès/échec de l'exécution de fichiers de configuration processus d'installation/désinstallation processus de chiffrement/déchiffrement Page 24

25 Page 25 su 3. Support utilisateur 3.1. Requêtes / Réponses SafeGuard Easy propose la procédure de Requête/Réponse pour réinitialiser des mots de passe SafeGuard Easy ou token "oubliés". Page 25

26 Page 26 su Mode de fonctionnement Si un utilisateur a besoin d'aide, il doit générer un code de requête. Ce code de requête est affiché sur l'ordinateur de l'utilisateur sous forme de chaîne de caractères ASCII. L'utilisateur communique à son administrateur ou helpdesk ses informations propres ainsi que le code de requête. L administrateur ou helpdesk ouvre l'assistant de déblocage à distance SafeGuard Easy et génère le code de réponse. L administrateur ou helpdesk fournit le code de réponse à l'utilisateur via téléphone ou SMS. Après saisie de ce code de réponse, l'utilisateur peut redéfinir son mot de passe. En règle générale, les droits spéciaux suivants peuvent être octroyés via Requête/Réponse : définition d'un nouveau mot de passe d utilisateur SafeGuard Easy (quand l ancien a été oublié) ouverture de session unique (par ex. pour travaux de maintenance) attribution temporaire du droit de commutation du chiffrement de disquettes (pendant la durée d'une ouverture de session) autorisation d'ouverture de session sans token autorisation d'initialisation d'un token désinstallation de SafeGuard Easy Page 26

27 Page 27 su L'assistant de déblocage à distance peut être installé sur un ordinateur ou sur PDA. Avantages de la procédure Requête/Réponse pas d'échange de données confidentielles l'interception de données est sans effets une connexion réseau n est pas nécessaire l'utilisateur peut reprendre son travail en très peu de temps Outils Requête/Réponse Outre le procédé standard (exécutable fournit de base avec l achat d une licence SafeGuard Easy), il existe encore diverses solutions Requête/Réponse logicielles et matérielles : Pour les environnements de plus grande étendue, dans lesquels le personnel du service d'assistance ne doit pas connaître les mots de passe principaux des clients SGE, le système Requête/Réponse peut être enrivhi au moyen d'un module cryptographique matériel (CryptoServer) ou d'une solution logicielle. Console d assistance reposant sur un Hardware cryptographique (HSM) : Cryptoserver 2000 Quand on utilise le CryptoServer 2000, les mots de passe system SafeGuard Easy sont saisis une fois dans le CryptoServer 2000 et y restent mémorisés de façon sûre. Ces mots de passe ne sont pas connus du personnel du service d'assistance. Le code de réponse est généré dans le CryptoServer Le personnel du service d'assistance peut de cette manière générer un code de réponse pour les données d'utilisateur correspondantes (nom, code de requête) sans connaître personnellement le mot de passe system ou helpdesk de SafeGuard Easy. Chaque collaborateur du service d'assistance se voit attribuer à cet effet par l'administrateur du CryptoServer 2000 un compte (nom d'utilisateur, mot de passe) sur le Cryptoserver qui l'autorise à générer un code de réponse. Ce compte peut à tout moment être supprimé (par exemple quand le collaborateur quitte le service), ce qui fait que le collaborateur concerné n'est alors plus en mesure d'accéder au CryptoServer Page 27

28 Page 28 su Page 28

29 Page 29 su Console d assistance reposant sur un Software La console d assistance software fonctionne de façon similaire à la solution CryptoServer. Là non plus, le personnel du service d'assistance ne connaît pas les mots de passe de l'administrateur ou helpdesk de SafeGuard Easy. Avec cette variante logicielle (interface Web), l'information nécessaire pour générer une réponse est enregistrée dans une base de données protégée (chiffrée avec AES-256) sur un ordinateur sur lequel fonctionne le Microsoft Internet Information Service. Pour générer le code de réponse, les collaborateurs du service d'assistance s'authentifient à la page Web sur le serveur. Page 29

30 Page 30 su Web Self Help L'avantage de l'assistance via le Web est que les utilisateurs peuvent réinitialiser les mots de passe SGE oubliés sans faire appel au service d'assistance. Pour qu'un utilisateur soit autorisé à redéfinir lui-même son mot de passe, il doit d'abord s'enregistrer dans une base de données centrale. L'enregistrement se fait via un mécanisme spécial : l'utilisateur répond à une liste de questions. Ces réponses sont enregistrées dans la base de données. L'utilisateur enregistré est validé par l'administrateur et reçoit un courrier électronique avec un code PIN. Si l'utilisateur souhaite ensuite générer un code de réponse au moyen de l'auto-assistance via le Web pour son profil SGE enregistré, il doit saisir le code PIN et les réponses correctes. La procédure s'effectue via le Web et est donc largement accessible aux utilisateurs ; il n'est pas non plus nécessaire qu'un logiciel supplémentaire soit installé sur le client. Page 30

31 Page 31 su VOICE.TRUST Une autre extension possible du système Requête/Réponse est la configuration d'un serveur biométrique de VOICE.TRUST avec modules à connecter pour SafeGuard Easy ou SafeGuard PDA. Le serveur VOICE.TRUST est en mesure d'authentifier les utilisateurs appelant à leur voix (Voiceprint) et exécute automatiquement la procédure Requête/Réponse complète avec l'utilisateur via reconnaissance et synthèse vocale, 24 heures sur 24. Le personnel du service d'assistance n'est mis à contribution que dans des cas exceptionnels, ce qui permet de le libérer des tâches de routine telles que la réinitialisation de mots de passe oubliés. Page 31

32 Page 32 su 3.2. Cas d urgence Quand votre ordinateur affiche des messages d erreur SafeGuard Easy une fois le disque dur chiffré, le noyau du système SafeGuard Easy ne peut dans la plupart des cas pas être trouvé. Le noyau du système contient les pilotes pour SafeGuard Easy et le Master Boot Record. Les erreurs qui se sont produites peuvent être fréquemment corrigées en chargeant un noyau de système actuel sécurisé. Pour charger le noyau du système, le support doit cependant disposer à la fois d'un noyau de système intact et d'une disquette/cd/clé de USB de secours. Cette disquette/cd/clé USB contient le noyau de système sécurisé et les fichiers utiles pour corriger les erreurs SafeGuard Easy. Comme vous ne pourrez probablement pas, en cas de défaillance du système, accéder au disque dur, le noyau du système et tous les fichiers de secours doivent être toujours sauvegardés sur une disquette, un serveur de fichiers ou sur un périphérique amovible. Page 32

33 Page 33 su 4. Utilisation 4.1. Démarrage du système et ouverture de session Authentification avant amorçage (PBA) La fonction Pre-Boot Authentication (PBA) est une fonction qui requiert une authentification avant l amorçage. Quand l authentification avant amorçage est activée, une ouverture de session n est possible qu avec les données d accès SafeGuard Easy. A partir du mot de passe saisi, la clé de déchiffrement d un disque dur chiffré, requise pour l amorçage, est calculée. Pour des raisons de sécurité, la fonction d authentification avant amorçage (PBA) ne doit jamais être désactivée! Page 33

34 Page 34 su Selon la méthode d'authentification réglée par défaut, l'ouverture de session dans la PBA se fait : comme utilisateur régulier (avec nom d'utilisateur et mot de passe) Page 34

35 Page 35 su comme utilisateur par défaut (avec mot de passe uniquement) avec clé cryptographique (avec mot de passe de token) Page 35

36 Page 36 su Réinitialisation de mot de passe oublié SafeGuard Easy offre un mécanisme Requête/Réponse pour réinitialiser les mots de passe "oubliés". Si l'utilisateur a besoin d'aide, il doit générer un code de requête dans la PBA en appuyant sur la touche [F9]. Ce code de requête est affiché sur l'écran de l'utilisateur sous forme de chaîne de caractères ASCII (14 caractères). L'utilisateur appel ensuite le helpdesk ou son administrateur et lui fournit ses informations propres et le code de requête. Le helpdesk génère alors un code de réponse. Après saisie de ce code de réponse sur l'ordinateur de l'utilisateur, celui-ci peut, par exemple, redéfinir son mot de passe. Page 36