Sophos SafeGuard Manuel d'administration. Version du produit : 7

Transcription

1 Sophos SafeGuard Manuel d'administration Version du produit : 7 Date du document : décembre 2014

2 Table des matières 1 À propos de Sophos SafeGuard (SafeGuard Easy) SafeGuard Policy Editor Sophos SafeGuard sur les ordinateurs d'extrémité Démarrage Stratégie de déploiement Téléchargement des programmes d'installation Paramètres de langue Compatibilité avec les autres produits SafeGuard Bon usage en matière de sécurité Installation Préparation à l'installation Installation de SafeGuard Policy Editor Exécution de la première configuration dans SafeGuard Policy Editor Installation de Sophos SafeGuard sur les ordinateurs d'extrémité Configuration des instances supplémentaires de SafeGuard Policy Editor Connexion à SafeGuard Policy Editor Licences Licences de token Importation de licences Utilisation de stratégies Création de stratégies Modification des paramètres de stratégie Groupes de stratégies Sauvegarde de stratégies et de groupes de stratégies Restauration de stratégies et de groupes de stratégies Utilisation des packages de configuration Publication des stratégies dans un package de configuration Distribution de packages de configuration Exportation du certificat d'entreprise et de celui du responsable de la sécurité Exportation du certificat d'entreprise Exportations du certificat de responsable de la sécurité Ordres de changement du certificat d'entreprise (CCO) Remplacement du certificat d'entreprise Gestion des ordres de changement du certificat d'entreprise Modification de l'algorithme pour les certificats autosignés

3 11 Vérification de l'intégrité de la base de données Types d'utilisateur et accès administratif aux ordinateurs d'extrémité Listes de comptes de service pour la connexion Windows Utilisateurs de l'authentification au démarrage pour connexion à l'authentification au démarrage SafeGuard Authentification au démarrage de SafeGuard Retard de connexion Configuration de l'authentification au démarrage SafeGuard Raccourcis clavier pris en charge dans l'authentification au démarrage SafeGuard Authentification au démarrage SafeGuard désactivée et Lenovo Rescue and Recovery Stratégies par défaut Stratégies par défaut disponibles Paramètres de stratégie Paramètres généraux Authentification Création de listes de codes confidentiels interdits à utiliser dans les stratégies Règles de syntaxe des codes confidentiels Création d'une liste de mots de passe interdits à utiliser dans les stratégies Règles de syntaxe des mots de passe Règles de phrase secrète pour SafeGuard Data Exchange Protection des périphériques Paramètres de machine spécifiques - Paramètres de base Journalisation Chiffrement du disque Chiffrement intégral du disque SafeGuard Chiffrement de lecteur BitLocker SafeGuard Data Exchange Clés locales Phrase secrète des supports Configuration des applications sécurisées et ignorées pour SafeGuard Data Exchange Configuration des périphériques ignorés pour SafeGuard Data Exchange Configuration du chiffrement permanent pour SafeGuard Data Exchange Suivi de fichiers sur supports amovibles Cloud Storage Conditions requises pour le logiciel de Cloud Storage

4 18.2 Création de définitions Cloud Storage (CSD) Création d'une stratégie de protection des périphériques avec une définition Cloud Storage Suivi de fichiers dans le stockage Cloud Sophos SafeGuard et disques durs à chiffrement automatique compatibles Opal Comment Sophos SafeGuard intègre-t-il les disques durs compatibles Opal? Amélioration des disques durs compatibles Opal avec Sophos SafeGuard Chiffrement de disques durs compatibles Opal Verrouillage des disques durs compatibles Opal Autorisation de déverrouillage des disques durs compatibles Opal aux utilisateurs Journalisation des événements pour les ordinateurs d'extrémité équipés de disques durs compatibles Opal Éveil par appel réseau (WOL) sécurisé Exemple d'éveil par appel réseau sécurisé Tokens et cartes à puce Types de token Composants Configuration de l'utilisation d'un token non cryptographique Préparation à l'utilisation d'un token Configuration du mode de connexion Autres paramètres de token Options de récupération Récupération avec Local Self Help Définition des paramètres de Local Self Help dans une stratégie Définition de questions Définition du nombre de questions en attente de réponse Utilisation d'un modèle Importation de sujets de question Création d'un nouveau sujet de question et ajout de questions Modification de sujets de question Suppression de sujets de question Enregistrement de textes de bienvenue Récupération avec Challenge/Réponse Flux de travail Challenge/Réponse Lancement de l'assistant de récupération Types de récupération Récupération d'un mot de passe par Challenge/Réponse

5 24.5 Récupération de l'accès aux données chiffrées par Challenge/Réponse Récupération pour BitLocker Réponse pour les clients Sophos SafeGuard chiffrés BitLocker : ordinateurs d'extrémité UEFI Clé de récupération pour les clients Sophos SafeGuard chiffrés par BitLocker : ordinateurs d'extrémité BIOS Récupération du système pour le chiffrement intégral du disque SafeGuard Récupération des données en démarrant depuis un support externe MBR corrompu Volumes Configuration de WinPE pour Sophos SafeGuard Restauration d'une base de données Sophos SafeGuard Restauration d'une configuration de base de données en réinstallant SafeGuard Policy Editor Restauration d'une installation corrompue de SafeGuard Policy Editor À propos de la désinstallation Bon usage en matière de désinstallation Désinstallation du logiciel de chiffrement Sophos SafeGuard Protection antialtération Sophos Support technique Mentions légales

6 Sophos SafeGuard 1 À propos de Sophos SafeGuard (SafeGuard Easy) 7.0 Sophos SafeGuard assure une protection puissante des données à travers le chiffrement et une authentification supplémentaire à la connexion. Cette version de Sophos SafeGuard (SafeGuard Easy) prend en charge Windows 7 et Windows 8 sur des ordinateurs d'extrémité dotés de BIOS ou d'uefi. Pour les plates-formes BIOS, vous pouvez choisir entre le chiffrement intégral du disque Sophos SafeGuard et le chiffrement BitLocker administré par Sophos SafeGuard. La version BIOS est livrée avec le mécanisme de récupération BitLocker original. Remarque : si l'authentification au démarrage SafeGuard ou le chiffrement intégral du disque SafeGuard sont mentionnés dans le présent manuel, il font uniquement référence aux ordinateurs d'extrémité Windows 7 avec BIOS. Pour les plates-formes UEFI, veuillez utiliser BitLocker géré par Sophos SafeGuard (SafeGuard Easy) pour le chiffrement du disque. Pour ces ordinateurs d'extrémité, Sophos SafeGuard offre des fonctionnalités améliorées de Challenge/Réponse. Retrouvez plus de renseignements sur les versions UEFI prises en charge et sur les limites de la prise en charge du Challenge/Réponse SafeGuard BitLocker dans les Notes de publication disponibles sur Remarque : la mention UEFI apparaît de manière explicite à chaque fois qu'elle doit être utilisée. Le tableau ci-dessous indique quels composants sont disponibles. Chiffrement intégral du disque SafeGuard avec authentification au démarrage SafeGuard BitLocker avec authentification préalable au démarrage par SafeGuard Récupération C/R SafeGuard pour l'authentification préalable au démarrage BitLocker Windows 7 BIOS OUI OUI Windows 7 UEFI OUI OUI Windows 8 BIOS OUI Windows 8 UEFI OUI OUI Windows 8.1 BIOS OUI Windows 8.1 UEFI OUI OUI Remarque : la Récupération C/R SafeGuard pour l'authentification préalable au démarrage BitLocker est uniquement disponible sur les systèmes 64 bits. 6

7 Manuel d'administration Le Chiffrement intégral du disque SafeGuard avec authentification au démarrage SafeGuard est le module Sophos permettant de chiffrer les volumes sur les ordinateurs d'extrémité. Il est livré avec l'authentification préalable au démarrage Sophos nommée authentification au démarrage SafeGuard qui prend en charge les options de connexion par cartes à puce, par empreinte digitale et qui offre un mécanisme Challenge/Réponse pour la récupération. L'authentification préalable au démarrage BitLocker gérée par SafeGuard est le composant qui active et gère le moteur de chiffrement BitLocker et l'authentification préalable au démarrage BitLocker. Elle est disponible sur les plates-formes BIOS et UEFI : La version UEFI propose également un mécanisme Challenge/Réponse SafeGuard pour la récupération de BitLocker lorsque l'utilisateur oublie son code confidentiel. La version UEFI peut être utilisée si la plate-forme répond à certaines conditions préalables requises. Par exemple, la version UEFI doit être Retrouvez plus de renseignements dans les Notes de publication. La version BIOS ne propose pas toutes les fonctions de récupération offertes par le mécanisme Challenge / Réponse SafeGuard. Elle sert d'option de secours lorsque les conditions requises à l'utilisation de la version UEFI ne sont pas remplies. Le programme d'installation Sophos vérifie si les conditions requises sont remplies et en cas contraire, il installe automatiquement la version BitLocker sans Challenge/Réponse. Pour protéger les informations sur les ordinateurs d'extrémité, Sophos SafeGuard (SafeGuard Easy) utilise une stratégie de chiffrement. L'administration s'effectue via SafeGuard Policy Editor utilisé pour créer et gérer les stratégies de sécurité et pour proposer des fonctions de récupération. Les stratégies sont déployées sur les ordinateurs d'extrémité via des packages de configuration. Côté utilisateur, les fonctions de sécurité principales sont le chiffrement des données et la protection contre l'accès non autorisé. Sophos SafeGuard peut être intégré de façon transparente à l'environnement normal de l'utilisateur, et son utilisation est facile et intuitive. L'authentification au démarrage SafeGuard, le système d'authentification de Sophos SafeGuard, fournit une protection efficace des accès et propose une assistance conviviale lors de la récupération des codes d'accès. Composants Sophos SafeGuard Sophos SafeGuard est constitué des composants suivants : 7

8 Sophos SafeGuard Composant Description SafeGuard Policy Editor L'outil de gestion Sophos SafeGuard permet de créer des stratégies de chiffrement et d'authentification. SafeGuard Policy Editor crée une stratégie par défaut lors de la toute première configuration. SafeGuard Policy Editor contient par ailleurs des fonctions de récupération pour permettre à l'utilisateur de retrouver l'accès à son ordinateur, lorsqu'il a, par exemple, oublié son mot de passe. Base de données Sophos SafeGuard La base de données Sophos SafeGuard contient tous les paramètres de stratégie des ordinateurs d'extrémité. Logiciel Sophos SafeGuard sur les ordinateurs d'extrémité Logiciel de chiffrement sur les ordinateurs d'extrémité Noms de produit Les noms de produit suivants sont utilisés dans cette aide : Nom de produit Description Sophos SafeGuard Easy (SGE) Logiciel de chiffrement autonome Sophos SafeGuard. À partir des versions 5.x, SafeGuard Policy Editor est utilisé pour les tâches de configuration des stratégies et de support technique. Sophos SafeGuard Disk Encryption (SDE) jusqu'à 5.60 Logiciel de chiffrement autonome Sophos SafeGuard disponible avec l'offre groupée Endpoint Security and Data Protection (ESDP) jusqu'à la version 10. Sophos Disk Encryption 5.61 Chiffrement intégral du disque administré via la version 5.1 et supérieure de Sophos Enterprise Console. SafeGuard Enterprise Suite de chiffrement SafeGuard étendue et modulaire avec administration centralisée à base de rôles qui empêche la lecture ou le changement des données par des personnes non autorisées sur les ordinateurs d'extrémité. Sophos Enterprise Console Console Sophos qui administre et met à jour le logiciel de sécurité Sophos. Avec la version 5.1, elle administre également le chiffrement sur les ordinateurs d'extrémité (Sophos Disk Encryption 5.61). 8

9 Manuel d'administration 1.1 SafeGuard Policy Editor SafeGuard Policy Editor est une console d'administration des ordinateurs d'extrémité protégés par Sophos SafeGuard. SafeGuard Policy Editor est installé sur l'ordinateur que vous utilisez pour réaliser des tâches administratives. En tant que responsable de la sécurité, vous utilisez SafeGuard Policy Editor pour gérer les stratégies Sophos SafeGuard et pour créer des paramètres de configuration destinés aux ordinateurs d'extrémité. Publiez les stratégies et les paramètres dans un package de configuration pour les déployer sur les ordinateurs d'extrémité. Vous pouvez créer plusieurs packages de configuration et les distribuer à l'aide de mécanismes tiers. Distribuez les packages lorsque vous installez le logiciel de chiffrement Sophos SafeGuard. Vous pourrez déployer ultérieurement des packages supplémentaires pour changer les paramètres sur les systèmes d'extrémité. SafeGuard Policy Editor propose également des fonctions de récupération pour accéder de nouveau aux ordinateurs d'extrémité, lorsqu'un utilisateur oublie son mot de passe, par exemple. Fonctions SafeGuard Policy Editor contient les éléments suivants : Configuration par défaut : lors de la première configuration, SafeGuard Policy Editor crée automatiquement une stratégie par défaut avec les stratégies préconfigurées conseillées pour les ordinateurs d'extrémité. Vous pouvez personnaliser la stratégie par défaut en fonction de vos exigences particulières. Options d'accès administratif : les options d'accès administratif, comptes de service et utilisateurs de l'authentification au démarrage permettent l'accès aux tâches d'après-installation et administratives sur les ordinateurs d'extrémité. Clés de chiffrement : une clé machine générée automatiquement est utilisée pour SafeGuard Device Encryption (chiffrement basé sur volume). Les clés générées localement sur le système d'extrémité sont utilisées pour SafeGuard Data Exchange (chiffrement basé sur fichier). 9

10 Sophos SafeGuard Local Self Help : pour récupérer les mots de passe oubliés, Sophos SafeGuard propose une option de récupération pratique appelée Local Self Help. Local Self Help permet aux utilisateurs de récupérer leur mot de passe, sans recourir à l'aide du support. Challenge/Réponse avec aide du support : une procédure Challenge/Réponse avec l'assistance du support technique peut être demandée par un utilisateur qui a oublié son mot de passe ou qui l'a trop souvent saisi de façon incorrecte. Elle peut également être utilisée pour récupérer des données en cas de corruption de l'authentification au démarrage SafeGuard. La procédure Challenge/Réponse est basée sur des fichiers de récupération de clé générés automatiquement lors de l'installation de Sophos SafeGuard sur l'ordinateur d'extrémité. Base de données Les stratégies Sophos SafeGuard sont stockées dans une base de données SQL sur l'ordinateur de l'administrateur. Vous êtes invité à installer Microsoft SQL Server 2012 Express lors de l'installation du SafeGuard Policy Editor si aucune instance existante du serveur SQL n'est disponible. Microsoft SQL 2012 Express est donc fourni avec le produit. Migration Vous pouvez facilement migrer vers la suite SafeGuard Enterprise via la gestion centralisée, afin d'utiliser l'ensemble des fonctions de SafeGuard Enterprise. Journalisation Les événements des ordinateurs protégés par Sophos SafeGuard sont journalisés dans l'observateur d'événements Windows. Quelle est la différence entre SafeGuard Policy Editor et SafeGuard Management Center? SafeGuard Management Center dispose d'un serveur de gestion centralisée et propose des fonctionnalités de gestion étendues, notamment : Importation d'active Directory avec gestion utilisateur et domaine. Journalisation centrale. Possibilité de définir des rôles administratifs. SafeGuard Management Center est disponible avec SafeGuard Enterprise. Remarque : dans SafeGuard Management Center, vous pouvez aussi définir des paramètres et créer des packages de configuration pour les ordinateurs Sophos SafeGuard qui n'ont pas de connexion à un serveur SafeGuard Enterprise. 1.2 Sophos SafeGuard sur les ordinateurs d'extrémité Le chiffrement des données et leur protection contre tout accès non autorisé constituent les principales fonctions de sécurité de Sophos SafeGuard. Sophos SafeGuard peut être intégré de façon transparente à l'environnement normal de l'utilisateur, et son utilisation est facile et intuitive. Le système d'authentification de Sophos SafeGuard, l'authentification au démarrage 10

11 Manuel d'administration SafeGuard (POA pour Power-On Authentication), assure une protection nécessaire des accès et une prise en charge conviviale lors de la récupération des codes d'accès. Fonctions prises en charge Remarque : la disponibilité des fonctions dépend de la licence respective. Chiffrement intégral du disque SafeGuard Garantit que toutes les données présentes sur les volumes spécifiés (volume d'initialisation, disque dur, partitions) sont chiffrées de manière transparente (fichiers d'initialisation, fichiers d'échange, fichiers inactifs/de mise en veille prolongée, fichiers temporaires et informations sur les répertoires, etc.) sans que l'utilisateur n'ait besoin de modifier ses habitudes de travail ou de tenir compte de problèmes de sécurité. Authentification au démarrage SafeGuard La connexion de l'utilisateur se fait immédiatement après la mise sous tension de l'ordinateur. Une fois l'authentification au démarrage SafeGuard réussie, les utilisateurs sont automatiquement connectés au système d'exploitation. SafeGuard Data Exchange SafeGuard Data Exchange permet aux utilisateurs de chiffrer des données stockées sur des supports amovibles connectés à leurs ordinateurs et de les échanger avec d'autres utilisateurs. Tous les processus de chiffrement et de déchiffrement sont exécutés de manière transparente et impliquent une intervention minimale de l'utilisateur. SafeGuard Cloud Storage SafeGuard Cloud Storage offre un chiffrement basé sur les fichiers des données stockées dans le Cloud. Il ne change pas la façon dont les utilisateurs exploitent les données stockées dans le Cloud. Les copies locales des données du Cloud sont chiffrées de manière transparente et restent chiffrées une fois stockées dans le Cloud. 11

12 Sophos SafeGuard 2 Démarrage Cette section explique comment préparer avec succès votre installation de Sophos SafeGuard. 2.1 Stratégie de déploiement Avant de déployer Sophos SafeGuard sur les ordinateurs d'extrémité, nous vous conseillons de définir une stratégie de déploiement. Les options suivantes doivent être considérées. Stratégies Sophos SafeGuard propose les options suivantes : Stratégie par défaut Sophos SafeGuard propose une stratégie par défaut avec des paramètres prédéfinis de chiffrement et d'authentification pour un déploiement simple et rapide des stratégies. Lors de la première configuration dans SafeGuard Policy Editor, la stratégie par défaut est automatiquement créée. Retrouvez plus de renseignements sur la stratégie par défaut et sur les paramètres définis à la section Stratégies par défaut à la page 72. Définition de vos propres stratégies Si la stratégie par défaut n'englobe pas toutes les conditions requises, vous pouvez la modifier ou créer vos propres stratégies dans SafeGuard Policy Editor. Retrouvez plus de renseignements sur la création de stratégies à la section Utilisation de stratégies à la page 41. Retrouvez plus de renseignements sur le déploiement des stratégies sur les ordinateurs d'extrémité à la section Utilisation de packages de configuration à la page 45. Retrouvez une description détaillée de toutes les stratégies et de tous les paramètres à la section Paramètres de stratégie à la page 77. Options d'accès administratif Sophos SafeGuard utilise deux types de comptes pour permettre aux utilisateurs de se connecter aux ordinateurs d'extrémité et d'exécuter des tâches administratives après l'installation de Sophos SafeGuard. Comptes de service pour la connexion Windows Grâce aux comptes de service, les utilisateurs (par exemple, les opérateurs chargés du déploiement ou les membres de l'équipe informatique) peuvent se connecter à Windows sur les ordinateurs d'extrémité après l'installation de Sophos SafeGuard, sans avoir à activer l'authentification au démarrage SafeGuard et sans être ajoutés en tant qu'utilisateurs sur les ordinateurs. Les listes de comptes de service sont attribuées aux ordinateurs d'extrémité dans les stratégies. Elles doivent être affectées dans le premier package de configuration Sophos SafeGuard, créé pour la configuration des ordinateurs d'extrémité. Vous pouvez mettre à 12

13 Manuel d'administration jour les listes de comptes de service en créant un nouveau package de configuration et en le déployant sur les ordinateurs d'extrémité avant l'activation de l'authentification au démarrage SafeGuard. Retrouvez plus d'informations à la section Listes de comptes de service pour la connexion Windows à la page 54. Utilisateurs de l'authentification au démarrage pour connexion à l'authentification au démarrage SafeGuard Les utilisateurs de l'authentification au démarrage sont des comptes locaux prédéfinis qui permettent aux utilisateurs (membres de l'équipe informatique, par exemple) de se connecter à des ordinateurs d'extrémité pour effectuer des tâches administratives après activation de l'authentification au démarrage SafeGuard. Les utilisateurs de l'authentification au démarrage permettent les connexions à partir de l'authentification au démarrage SafeGuard. Il n'y a pas de connexion automatique à Windows. Vous pouvez créer des utilisateurs de l'authentification au démarrage dans SafeGuard Policy Editor, les regrouper dans des groupes d'authentification au démarrage et attribuer ces groupes à des ordinateurs d'extrémité à l'aide des packages de configuration Sophos SafeGuard. Retrouvez plus d'informations à la section Utilisateurs de l'authentification au démarrage pour connexion à l'authentification au démarrage SafeGuard à la page 58. Options de récupération Pour les situations nécessitant une procédure de récupération (en cas d'oubli du mot de passe, par exemple), Sophos SafeGuard propose deux options de récupération : Récupération de connexion avec Local Self Help Local Self Help permet aux utilisateurs ayant oublié leur mot de passe de se connecter à leur ordinateur sans l'aide du support. Pour accéder de nouveau à leur ordinateur, il leur suffit de répondre à un certain nombre de questions prédéfinies dans l'authentification au démarrage SafeGuard. Dans la stratégie par défaut, Local Self Help est activé et configuré par défaut. Si vous n'utilisez pas la configuration par défaut, vous devez activer Local Self Help dans une stratégie et définir les questions auxquelles l'utilisateur final doit répondre. Retrouvez plus d'informations à la section Récupération avec Local Self Help à la page 148. Récupération avec Challenge/Réponse Le mécanisme Challenge/Réponse est un système de récupération de connexion sécurisé et fiable qui vient en aide aux utilisateurs qui ne peuvent pas se connecter à leur ordinateur ou accéder aux données chiffrées. Pour lancer une procédure Challenge/Réponse, veuillez demander l'aide du support. Dans la stratégie par défaut, la procédure Challenge/Réponse est activée par défaut. Si vous n'utilisez pas la configuration par défaut, vous devez activer la procédure Challenge/Réponse dans une stratégie. Pour la récupération des données à l'aide de la procédure Challenge/Réponse, vous devez auparavant créer des fichiers spécifiques appelés clients virtuels dans SafeGuard Policy Editor. Retrouvez plus d'informations aux sections Récupération avec Challenge/Réponse à la page 153 et Création d'un client virtuel à la page

14 Sophos SafeGuard 2.2 Téléchargement des programmes d'installation 1. À l'aide de l'adresse Web et des codes d'accès de téléchargement fournis par votre administrateur système, allez sur le site Web Sophos et téléchargez les programmes d'installation et la documentation. 2. Placez-les à un emplacement auquel vous pouvez accéder pour effectuer l'installation. 2.3 Paramètres de langue Les paramètres de langue pour SafeGuard Policy Editor et le logiciel de chiffrement Sophos SafeGuard sur les ordinateurs d'extrémité sont les suivants : SafeGuard Policy Editor Vous pouvez définir la langue de SafeGuard Policy Editor comme suit : Dans SafeGuard Policy Editor, cliquez sur Outils > Options > Général. Sélectionnez Utiliser la langue définie par l'utilisateur et sélectionnez une langue disponible. Les langues prises en charge sont l'anglais, l'allemand, le français et le japonais. Redémarrez SafeGuard Policy Editor. Il apparaît dans la langue sélectionnée. Sophos SafeGuard sur les ordinateurs d'extrémité Définissez la langue de Sophos SafeGuard sur les ordinateurs d'extrémité dans une stratégie de type Paramètres généraux dans SafeGuard Policy Editor, paramètre Personnalisation > Langue utilisée sur le client : Si la langue du système d'exploitation est sélectionnée, Sophos SafeGuard utilise le paramètre de langue du système d'exploitation. Si la langue du système d'exploitation n'est pas disponible dans Sophos SafeGuard, la langue par défaut choisie est l'anglais. Si l'une des langues sélectionnées est sélectionnée, les fonctions de Sophos SafeGuard apparaissent dans la langue sélectionnée sur l'ordinateur d'extrémité. 2.4 Compatibilité avec les autres produits SafeGuard Cette section décrit la compatibilité de la version 7.0 de Sophos SafeGuard avec les autres produits SafeGuard. Compatibilité avec SafeGuard LAN Crypt La version 3.90 de SafeGuard LAN Crypt et la version 7.0 de Sophos SafeGuard peuvent cohabiter sur un ordinateur. Les versions plus anciennes de SafeGuard LAN Crypt ne sont plus prises en charge. Elles ne peuvent pas cohabiter avec Sophos SafeGuard 7.0 sur un ordinateur d'extrémité. 14

15 Manuel d'administration Compatibilité avec SafeGuard PrivateDisk Sophos SafeGuard 7.0 et les produits SafeGuard PrivateDisk 3 autonomes peuvent cohabiter sur le même ordinateur. Compatibilité avec SafeGuard RemovableMedia SafeGuard RemovableMedia et Sophos SafeGuard ne peuvent pas cohabiter sur le même ordinateur. SafeGuard RemovableMedia a atteint la fin de son cycle de vie et a été retiré du marché. 2.5 Bon usage en matière de sécurité Sophos SafeGuard assure une protection puissante des données à travers le chiffrement et une authentification supplémentaire à la connexion. En suivant les étapes simples mentionnées ci-dessous, vous pourrez réduire les risques et conserver les données de votre entreprise sécurisées et protégées à tout moment. Évitez le mode veille Sur les ordinateurs protégés par Sophos SafeGuard, il est possible que certains individus malintentionnés accèdent aux clés de chiffrement dans certains modes de veille. Tout particulièrement lorsque le système d'exploitation de l'ordinateur n'est pas arrêté correctement et que les processus en tâche de fond restent en cours d'exécution. La protection est renforcée lorsque le système d'exploitation est complètement arrêté ou mis en veille prolongée. Formez les utilisateurs en conséquence ou considérez la désactivation centrale du mode veille sur les ordinateurs d'extrémité sans surveillance ou qui ne sont pas en cours d'utilisation : Évitez le mode veille (attente/veille prolongée) ainsi que le mode de veille Hybride sur Windows. Le mode de veille Hybride allie la mise en hibernation et la mise en veille. La définition d'un mot de passe supplémentaire après la reprise d'une session n'assure pas de protection complète. Évitez de verrouiller les ordinateurs de bureau et de mettre hors tension les moniteurs ou de fermer les couvercles des portables en guide de protection si ce n'est pas suivi par une véritable mise hors tension ou en veille prolongée. La demande d'un mot de passe supplémentaire après la reprise d'une session ne fournit pas une protection suffisante. Arrêtez vos ordinateurs ou mettez-les en veille prolongée. L'authentification au démarrage SafeGuard est toujours activée jusqu'à la prochaine utilisation de l'ordinateur. Ce dernier est ainsi totalement protégé. Remarque : il est important que le fichier de mise en veille prolongée soit sur le volume chiffré. Généralement, il se trouve sur C:\. Vous pouvez configurer les paramètres d'alimentation appropriés de manière centralisée à l'aide d'objets de stratégie de groupe ou localement via la boîte de dialogue Options d'alimentation du Panneau de configuration de l'ordinateur. Définissez l'action du bouton Veille sur Mettre en veille prolongée ou Arrêter. 15

16 Sophos SafeGuard Mettez en place d'une stratégie de mot de passe forte Mettez en place une stratégie de mot de passe forte et imposez des changements de mot de passe à intervalles réguliers, surtout pour la connexion à l'ordinateur. Les mots de passe ne doivent être partagés avec quiconque ni écrits. Formez vos utilisateurs pour choisir des mots de passe forts. Un mot de passe fort suit les règles suivantes : Il est assez long pour être sûr : il est conseillé d'utiliser au moins 10 caractères. Il contient un mélange de lettres (majuscules et minuscules) ainsi que des caractères spéciaux ou des symboles. Il ne contient pas de mot ou de nom fréquemment utilisé. Il est difficile à deviner mais simple à se rappeler et à saisir correctement pour vous. Ne désactivez pas l'authentification au démarrage SafeGuard L'authentification au démarrage SafeGuard fournit une protection de connexion supplémentaire sur l'ordinateur d'extrémité. Grâce au chiffrement complet du disque SafeGuard, elle est installée et activée par défaut. Pour une protection complète, ne la désactivez pas. Retrouvez plus d'informations sur Protégez-vous contre l'injection de code L'injection de code, par exemple à travers une attaque par chargement préalable de fichiers DLL, est possible lorsqu'un attaquant parvient à placer du code malveillant (comme des exécutables) dans des répertoires qui peuvent faire l'objet de recherches pour trouver du code légitime par le logiciel de chiffrement Sophos SafeGuard. Pour écarter ce type de menace : Installez le middleware chargé par le logiciel de chiffrement, par exemple un middleware de token, dans des répertoires inaccessibles aux attaquants externes. Il s'agit généralement de tous des sous-dossiers des répertoires Windows et Program Files. La variable d'environnement PATH ne doit pas contenir de composants qui pointent vers des dossiers accessibles aux attaquants externes (voir ci-dessus). Les utilisateurs standard ne doivent pas avoir de droits administratifs. Bon usage en matière de chiffrement Assurez-vous qu'une lettre a été attribuée à tous les lecteurs. Seuls les lecteurs auxquels une lettre a été attribuée sont pris en compte pour le chiffrement/déchiffrement du disque. Les lecteurs sans lettre sont susceptibles d'entraîner des fuites de données confidentielles en texte brut. Pour écarter ce type de menace : ne permettez pas aux utilisateurs de changer les attributions de lettres au lecteur. Définissez leurs droits utilisateurs en conséquence. Les utilisateurs standard de Windows n'ont pas ce droit par défaut. Appliquez un chiffrement initial rapide avec précaution. 16

17 Manuel d'administration Sophos SafeGuard propose le chiffrement initial rapide pour réduire le temps du chiffrement initial des volumes en accédant seulement à l'espace véritablement utilisé. Ce mode conduit à un état moins sécurisé si un volume a été utilisé avant son chiffrement avec Sophos SafeGuard. À cause de leur architecture, les SSD (Solid State Disks) sont plus affectés que les disques durs standard. Ce mode est désactivé par défaut. Utilisez seulement l'algorithme AES-256 pour le chiffrement des données. Empêchez toute désinstallation. Pour renforcer la protection des ordinateurs d'extrémité, vous pouvez empêcher la désinstallation locale de Sophos SafeGuard dans une stratégie Paramètres de machine spécifiques. Définissez l'option Désinstallation autorisée sur Non et déployez cette stratégie sur les ordinateurs d'extrémité. Les tentatives de désinstallation sont annulées et les tentatives non autorisées sont journalisées. Si vous utilisez une version de démonstration, vous ne devez pas activer ce paramètre de stratégie ni le désactiver avant l'expiration de cette version. Appliquez la protection antialtération Sophos sur les ordinateurs d'extrémité utilisant Sophos Endpoint Security and Control. Retrouvez plus d'informations à la section Protection antialtération Sophos à la page

18 Sophos SafeGuard 3 Installation La configuration de Sophos SafeGuard implique ce qui suit : Tâche Package/outil d'installation 1 Installer SafeGuard Policy Editor sur l'ordinateur de l'administrateur. SGNPolicyEditor.msi 2 Procéder à la configuration initiale dans SafeGuard Policy Editor pour la création automatique d'une stratégie par défaut. Assistant de configuration de SafeGuard Policy Editor 3 Personnaliser une copie de la stratégie par défaut ou créer d'autres stratégies. Zone de navigation des stratégies de SafeGuard Policy Editor 4 Publier les stratégies dans le ou les packages de configuration. Outil de package de configuration de SafeGuard Policy Editor 5 Installer, sur les ordinateurs d'extrémité, le package de préinstallation qui contient les configurations requises nécessaires pour une installation réussie du logiciel de chiffrement. SGxClientPreinstall.msi 6 Installer le package d'installation client sur les ordinateurs d'extrémité. SGNClient.msi SGNClient_x64.msi (pour les systèmes d'exploitation Windows 64 bits) 7 Installer le(s) package(s) de configuration sur les ordinateurs d'extrémité. <packageconfig>.msi généré 3.1 Préparation à l'installation Avant de déployer Sophos SafeGuard, nous vous conseillons de vous préparer comme suit. Assurez-vous de disposer des droits d'administrateur Windows..NET Framework 4 doit être installé. Il est fourni avec le produit Sophos SafeGuard. Si vous voulez installer Microsoft SQL Server 2012 Express Edition automatiquement lors de l'installation de SafeGuard Policy Editor, assurez-vous également que Microsoft Windows Installer 4.5 est installé. Retrouvez plus d'informations sur la configuration matérielle et logicielle, sur les service packs et sur l'espace disque requis pour effectuer l'installation ainsi que pour bénéficier 18

19 Manuel d'administration d'un fonctionnement optimal de votre produit dans les Notes de publication Sophos SafeGuard sur : Installation de SafeGuard Policy Editor Avant de commencer : Vous devez vous être préparé pour l'installation. Pour utiliser un serveur de base de données Microsoft SQL existant, vous devez disposer des droits d'accès et des données de compte SQL nécessaires. Avant de déployer le logiciel de chiffrement sur les systèmes d'extrémité, vous devez d'abord installer SafeGuard Policy Editor sur l'ordinateur d'un administrateur. Vous pouvez également effectuer la première installation sur un serveur Windows. Ensuite, vous pourrez l'installer sur plusieurs ordinateurs d'administrateurs connectés à la base de données Sophos SafeGuard centrale du serveur. Le même compte est utilisé pour accéder à chaque instance de SafeGuard Policy Editor. 1. Ouvrez une session sur l'ordinateur en tant qu'administrateur. 2. Dans le dossier d'installation du produit, cliquez deux fois sur SGNPolicyEditor.msi. Un assistant vous guide tout au long de l'installation. Acceptez les options par défaut. Il se peut que vous soyez invité à installer Microsoft SQL Server 2012 Express lors de l'installation de SafeGuard Policy Editor si aucune instance existante de la base de données SQL n'est disponible. Il est inclus avec le produit livré. Vos codes d'accès Windows sont alors utilisés comme compte utilisateur SQL. Une instance de base de données SQL est nécessaire pour stocker les paramètres de stratégie de Sophos SafeGuard. SafeGuard Policy Editor est installé. Vous pouvez à présent effectuer la première configuration dans SafeGuard Policy Editor. Remarque : SafeGuard Policy Editor ne peut pas être utilisé dans un environnement Terminal Server. 3.3 Exécution de la première configuration dans SafeGuard Policy Editor Assurez-vous de disposer des droits d'administrateur Windows. L'assistant de configuration de SafeGuard Policy Editor propose une assistance conviviale pour une mise en place rapide et facile de Sophos SafeGuard : Une stratégie par défaut avec des paramètres de chiffrement et d'authentification prédéfinis est automatiquement créée pour introduire une stratégie de sécurité à l'échelle de l'entreprise sur les ordinateurs d'extrémité. Toutes les spécifications nécessaires sont fournies pour que le support informatique puisse exécuter les tâches de récupération. Les certificats nécessaires et la connexion à la base de données sont créés pour stocker les données Sophos SafeGuard. 19

20 Sophos SafeGuard Pour démarrer la première configuration : 1. Après l'installation, démarrez SafeGuard Policy Editor depuis le menu Démarrer. L'assistant de configuration démarre et vous guide tout au long des étapes nécessaires. 2. Sur la page Bienvenue, cliquez sur Suivant Création de la connexion à la base de données Une base de données sert à stocker tous les paramètres et stratégies de chiffrement Sophos SafeGuard. 1. Sur la page Base de données, exécutez l'une des actions suivantes : Pour une première installation, sous Base de données, sélectionnez Créer une base de données. Pour une installation supplémentaire ou pour réutiliser une base de données créée précédemment (par exemple pour permettre au support technique d'effectuer une procédure Challenge/Réponse), sélectionnez la base de données respective dans la liste Base de données. Toutes les bases de données disponibles sur le serveur de base de données actuellement connecté apparaissent. Les paramètres correspondants apparaissent sous Paramètres de base de données. Vous allez probablement devoir les modifier : Cliquez sur Modifier et changez les paramètres de votre choix. Retrouvez plus d'informations à la section Configuration de la connexion à la base de données à la page Cliquez sur Suivant. La connexion au serveur de base de données est établie Configuration des paramètres de connexion à la base de données 1. Dans Connexion à la base de données, sous Serveur de base de données, sélectionnez dans la liste le serveur de base de données SQL souhaité. Tous les serveurs de base de données disponibles sur votre ordinateur ou sur votre réseau s'affichent (la liste est actualisée toutes les 12 minutes). 2. Sous Base de données sur serveur, sélectionnez la base de données respective à utiliser. 3. Sélectionnez Utiliser SSL pour protéger la connexion à ce serveur de base de données avec SSL. Le chiffrement SSL requiert cependant un environnement SSL sur l'ordinateur sur lequel se trouve la base de données SQL que vous avez préalablement configurée. 4. Sous Authentification, sélectionnez le type d'authentification à utiliser pour accéder à la base de données : Sélectionnez Utiliser l'authentification Windows NT pour utiliser vos codes d'accès Windows. Remarque : utilisez ce type d'authentification si votre ordinateur appartient à un domaine. 20

21 Manuel d'administration Sélectionnez Utiliser l'authentification SQL Server pour accéder à la base de données avec vos codes d'accès SQL. Vous êtes invité à saisir vos codes d'accès et à les confirmer. si nécessaire, vous pouvez les obtenir auprès de votre administrateur SQL. Remarque : utilisez ce type d'authentification si votre ordinateur n'appartient à aucun domaine. Grâce à l'authentification SQL, vous pouvez facilement effectuer ultérieurement la mise à niveau vers le SafeGuard Management Center. Assurez-vous de sélectionner Utiliser SSL pour sécuriser la connexion au/du serveur de base de données lorsque vous choisissez ce type d'authentification. 5. Cliquez sur Vérifier la connexion. Si l'authentification à la base de données SQL a été établie, un message indiquant qu'elle a réussi s'affiche. 6. Cliquez sur OK pour revenir à la page Base de données Création du certificat du responsable de la sécurité (nouvelle base de données) Procédez à cette étape lorsque vous avez créé un nouvelle base de données. Au cours d'une première installation et lorsque vous utilisez une nouvelle base de données, un certificat du responsable de la sécurité est créé pour des besoins d'authentification. Un seul compte est créé pour chaque installation. En tant que responsable de la sécurité, vous accédez à SafeGuard Policy Editor pour créer des stratégies Sophos SafeGuard et configurer le logiciel de chiffrement pour les utilisateurs d'extrémité. Pour créer le certificat de responsable de la sécurité : 1. Sur la page Responsable de la sécurité, le nom du responsable de la sécurité (le nom d'utilisateur actuel) est déjà affiché. 2. Saisissez et confirmez un mot de passe pour accéder à SafeGuard Policy Editor. Conservez le mot de passe en lieu sûr. Si vous le perdez, vous ne pourrez plus accéder à SafeGuard Policy Editor. L'accès au compte est nécessaire pour permettre au support informatique d'effectuer les tâches de récupération. 3. Cliquez sur Suivant. Le certificat du responsable de la sécurité est créé et stocké dans le magasin de certificats. Créez ensuite le certificat d'entreprise Importation du certificat du responsable de la sécurité (base de données existante) Exécutez cette étape lorsque vous utilisez une base de données existante. Lorsque vous utilisez une base de données existante, vous devez importer le certificat du responsable de la sécurité. Seuls les certificats générés par le SafeGuard Policy Editor peuvent être importés. Les certificats créés par une infrastructure de clés publiques (par exemple, Verisign) ne sont pas autorisés. Pour importer le certificat du responsable de la sécurité : 1. Sur la page Responsable de la sécurité, cliquez sur Importer. 2. Recherchez le certificat en question, puis cliquez sur Ouvrir. 3. Saisissez le mot passe du fichier de récupération de clé que vous avez utilisé pour vous authentifier dans SafeGuard Policy Editor. 4. Cliquez sur Oui. 21

22 Sophos SafeGuard 5. Saisissez et confirmez un mot de passe d'authentification dans SafeGuard Policy Editor. 6. Cliquez sur Suivant, puis sur Terminer. La première configuration lors de l'utilisation d'une base de données existante est terminée. Les étapes de configuration restantes sont uniquement nécessaires lorsque vous créez une nouvelle base de données Création du certificat d'entreprise Le certificat d'entreprise est utilisé pour sécuriser les paramètres de stratégie dans la base de données et sur les ordinateurs d'extrémité protégés par Sophos SafeGuard. Il est nécessaire pour récupérer une configuration de base de données endommagée. Retrouvez plus d'informations à la section Restauration d'une configuration de base de données en réinstallant SafeGuard Policy Editor à la page Sur la page Entreprise, saisissez le Nom de l'entreprise. Le nom ne doit pas dépasser 64 caractères. Vérifiez que l'option Créer automatiquement un certificat est sélectionnée. Remarque : les certificats d'entreprise créés expirent toujours le 31 décembre Si vous effectuez l'installation pour la première fois et avez créé une nouvelle base de données, l'option Créer automatiquement un certificat est déjà sélectionnée. Remarque : par défaut, les certificats générés par Sophos SafeGuard (entreprise, machine, responsable de la sécurité et utilisateur) sont signés par l'algorithme SHA-256 à la première installation pour une sécurité optimale. Si vous avez toujours besoin de gérer Sophos SafeGuard 6 ou une version antérieure avec SafeGuard Policy Editor 7.0, veuillez sélectionner SHA-1 sous Algorithme de hachage pour les certificats générés. Retrouvez plus d'informations à la section Modification de l'algorithme pour les certificats autosignés à la page Cliquez sur Suivant. Le nouveau certificat d'entreprise est archivé dans la base de données et signé avec l'algorithme sélectionné. Ensuite, sauvegardez les certificats Sauvegarde de certificats Pour restaurer une base de données corrompue ou une installation de SafeGuard Policy Editor, les certificats du responsable de la sécurité et d'entreprise sont nécessaires. Pour sauvegarder les certificats : 1. Sur la page Sauvegarde des certificats d'entreprise et du responsable de la sécurité, indiquez un emplacement de stockage sûr pour la sauvegarde des certificats. Si vous les enregistrez maintenant dans l'emplacement de stockage par défaut, veillez à les exporter tout de suite après la première configuration dans un emplacement sûr accessible en cas de récupération nécessaire, par exemple un lecteur flash USB. 2. Cliquez sur Suivant. Les certificats sont sauvegardés à l'emplacement indiqué. Créez ensuite le magasin de clés de récupération Création d'un magasin de clés de récupération Pour activer la récupération pour les ordinateurs d'extrémité, les fichiers de récupération de clé spécifiques qui sont utilisés doivent pouvoir être accessibles par l'équipe du support 22

23 Manuel d'administration informatique en cas de besoin de récupération. Un partage réseau est créé à cette étape pour rassembler ces fichiers avec des droits d'accès suffisants. Ces fichiers de récupération de clé sont chiffrés par le certificat d'entreprise. Vous pouvez donc les laisser sur un réseau ou sur un support externe en toute sécurité. Remarque : le partage réseau doit se trouver sur un lecteur formaté avec NTFS. NTFS permet de paramétrer les autorisations d'accès. 1. Sur la page Clés de récupération, cliquez sur Suivant pour confirmer les valeurs par défaut. Les éléments suivants sont créés : Un partage réseau où les clés de récupération sont enregistrées automatiquement. Un répertoire par défaut sur l'ordinateur local où les clés de récupération sont enregistrées automatiquement. Les droits par défaut pour l'équipe du support informatique sur le partage réseau : tous les membres du groupe d'administrateurs locaux sont ajoutés au nouveau groupe Windows SafeGuardRecoveryKeyAccess. Dans un environnement de domaine, ceci inclut aussi le groupe des administrateurs du domaine. Dans SafeGuard Policy Editor, il est possible de créer plusieurs packages de configuration. Par exemple un package pour les ordinateurs dans un environnement de domaine et un autre pour les ordinateurs autonomes. 2. Pour changer les valeurs par défaut : Cliquez sur [...] près de Chemin local pour changer le répertoire de stockage local comme nécessaire. Si vous dessélectionnez Créer un partage réseau, l'utilisateur final est invité à indiquer un emplacement d'enregistrement des fichiers de clés de récupération à la fin du chiffrement. Pour afficher ou changer les membres du groupe ayant accès au partage réseau, cliquez sur Autorisations. Retrouvez plus d'informations à la section Changement des autorisations du partage réseau à la page 23. Le magasin de clés de récupération avec les autorisations correspondantes est créé. Remarque : le logiciel Sophos SafeGuard tente de se connecter au partage réseau pendant environ 4 minutes et, si cela ne fonctionne pas, essaie de nouveau de s'y connecter après chaque connexion Windows jusqu'à ce que la connexion soit établie ou que les fichiers de récupération de clé soient sauvegardés manuellement Changement des autorisations du partage réseau 1. Dans Autorisations du partage réseau, exécutez l'une des actions suivantes : Cliquez sur Ajouter des membres locaux pour ajouter des membres locaux disposant des droits d'administration pour exécuter des actions de récupération. Cliquez sur Ajouter des membres globaux pour ajouter des membres globaux disposant des droits d'administration pour exécuter des actions de récupération. 2. Cliquez sur OK. 23

24 Sophos SafeGuard Un groupe SafeGuardRecoveryKeyAccess est créé sur l'ordinateur contenant tous les membres affichés dans Autorisations du partage réseau. Les autorisations NTFS suivantes sont automatiquement définies sur le répertoire local spécifié : Tout le monde : Créer des fichiers - L'ordinateur Sophos SafeGuard fonctionnant dans le contexte des utilisateurs connectés est autorisé à ajouter des fichiers, mais ne peut pas parcourir le répertoire, supprimer ou lire des fichiers. Remarque : l'autorisation «Créer des fichiers» est disponible dans les Paramètres de sécurité avancés d'un répertoire. SafeGuardRecoveryKeyAccess : Modifier - Tous les utilisateurs qui figurent dans la boîte de dialogue Autorisations sont autorisés à lire, supprimer ou ajouter des fichiers. Administrateurs : contrôle total Sophos SafeGuard supprime aussi l'héritage des autorisations sur le répertoire pour s'assurer que les autorisations ci-dessous ne sont pas remplacées accidentellement. Le partage réseau SafeGuardRecoveryKeys$ est créé avec cette permission : Tout le monde : contrôle total Remarque : les autorisations obtenues regroupent les autorisations NTFS et les autorisations de partage. Comme les autorisations NTFS sont plus restrictives, ce sont elles qui s'appliquent. Si vous souhaitez configurer manuellement un partage réseau, nous vous suggérons d'utiliser les mêmes paramètres d'autorisation que ceux décrits ci-dessus. Dans ce cas, assurez-vous de désactiver manuellement l'héritage des autorisations sur le répertoire Importation de licences (nouvelle base de données) Un fichier de licence valide est nécessaire pour exécuter Sophos SafeGuard dans un environnement de production. Si aucune licence valide n'est disponible, vous ne pouvez pas créer de packages de configuration pour le déploiement sur les ordinateurs d'extrémité. Les licences sont disponibles auprès de votre partenaire commercial. Elles doivent être importées dans la base de données Sophos SafeGuard. Vous pouvez exécuter cette étape si vous avez créé un nouvelle base de données. Lorsque vous utilisez une base de données existante, importez les licences une fois la première configuration terminée. 1. Sur la page Licence, exécutez l'une des actions suivantes : Pour importer les licences immédiatement, cliquez sur [...] pour rechercher le fichier de licence valide. Sélectionnez le fichier et cliquez sur Ouvrir. Cliquez sur Suivant. Le fichier de licence est importé dans la base de données Sophos SafeGuard une fois la configuration initiale terminée. Vous pouvez utiliser la version complète et créer des packages de configuration. Pour importer les licences ultérieurement, cliquez sur Suivant. Vous pouvez utiliser SafeGuard Policy Editor, mais vous ne pouvez pas créer de packages de configuration. Pour utiliser la version complète, importez le fichier de licence une fois la première configuration terminée. Retrouvez plus d'informations à la section Importation de licences à la page