Transcription

1

2 Trend Micro Incorporated se réserve le droit de modifier sans préavis ce document et le produit qui y est décrit. Avant d'installer et d'utiliser votre produit, veuillez consulter les fichiers Lisez-moi, les notes de mise à jour et/ou la dernière version de la documentation applicable que vous trouverez sur le site Web de Trend Micro à l'adresse suivante : Trend Micro, le logo t-ball de Trend Micro, Endpoint Encryption, PolicyServer, Full Disk Encryption, FileArmor et KeyArmor sont des marques commerciales ou des marques déposées de Trend Micro Incorporated. Tous les autres noms de produit ou de société peuvent être des marques commerciales ou des marques déposées de leurs propriétaires respectifs. Copyright Trend Micro Incorporated. Tous droits réservés. Partie du document n : APFM35737/ Date de publication : Dec 2012 Protégée par le brevet américain n : Brevets en instance.

3 Cette documentation présente les principales fonctionnalités du produit et/ou fournit les instructions d'installation pour votre environnement de production. Lisez attentivement cette documentation avant d'installer ou d'utiliser le produit. Vous trouverez des informations détaillées sur l utilisation des fonctionnalités spécifiques du produit dans le fichier d aide en ligne de Trend Micro et/ou dans la Base de connaissances sur le site Web de Trend Micro. Trend Micro cherche toujours à améliorer sa documentation. Si vous avez des questions, des commentaires ou des suggestions à propos de ce document ou de tout autre document Trend Micro, veuillez nous contacter à l'adresse docs@trendmicro.com. Veuillez évaluer cette documentation sur le site Web suivant :

4

5 Table des matières Préface Préface... v Ensemble des documents relatifs au produit... vi Conventions typographiques du document... vi Public cible... vii Terminologie... viii À propos de Trend Micro... x Chapitre 1: Présentation de Trend Micro Endpoint Encryption À propos d'endpoint Encryption Composants d'endpoint Encryption Configuration système requise Fonctionnalités et avantages principaux Gestion et intégration Définition du chiffrement Chiffrement de fichier Full Disk Encryption Gestion des clés À propos de la norme FIPS Chapitre 2: Éléments à prendre en compte pour le déploiement Liste de contrôle préalable au déploiement et plates-formes prises en charge Questions relatives au déploiement initial Attribution d'une équipe de projet Liste de contrôle de l'infrastructure de sécurité i

6 Guide d'installation de Trend Micro Endpoint Encryption Établissement de stratégies et de profils de sécurité L'importance d'un programme pilote Éléments à prendre en compte pour modifier la gestion Communication à l'intention des utilisateurs finaux Questions Implémenter une stratégie de déploiement par phase Communiquer aux utilisateurs de quoi il s'agit, quand et pourquoi 2-12 Mise à l'échelle : Conditions requises pour PolicyServer et la base de données SQL Exemple de mise à l'échelle Chapitre 3: Installation de PolicyServer Présentation de PolicyServer Contenu du dossier d'installation Configuration minimale requise pour PolicyServer Configuration matérielle Configuration logicielle requises Fichiers d'installation requis Comptes requis Processus d'installation de PolicyServer Installation de la base de données et des services Web PolicyServer PolicyServer MMC Synchronisation AD de PolicyServer Présentation d'active Directory Configuration d'active Directory Proxy LDAP facultatif Configuration requise pour LDAP Liste de contrôle matériel du proxy LDAP Chapitre 4: Installation du client Endpoint Encryption Éléments à prendre en compte avant l'installation ii

7 Table des matières Installation de Full Disk Encryption Options préalables au déploiement Liste de contrôle préalable à l'installation Configuration système requise pour Full Disk Encryption Préparation disque dur Installation de Full Disk Encryption Installation de FileArmor Aperçu du déploiement de FileArmor Installation de FileArmor KeyArmor Configuration système requise pour KeyArmor Composants de périphérique Aperçu du déploiement de KeyArmor Directives pour les utilisateurs finaux de KeyArmor Protection des fichiers KeyArmor Utilisation de scripts pour automatiser les installations Configuration requise Arguments de script Aide de l'installateur de ligne de commande Aide de ligne de commande Chapitre 5: Mises à niveau, migrations et désinstallations Mise à niveau du serveur et du logiciel client Mise à niveau de PolicyServer Mise à niveau de Full Disk Encryption Mise à niveau de FileArmor Mise à niveau vers Windows Gestion des correctifs avec Full Disk Encryption Utilisation de l'aide de ligne de commande Processus d'application des correctifs de Full Disk Encryption Remplacement d'un produit de chiffrement précédemment installé Option 1: Supprimer le produit de chiffrement précédent Option 2: Sauvegarder le dispositif et en créer une nouvelle image iii

8 Guide d'installation de Trend Micro Endpoint Encryption Migration de points finaux vers un nouveau serveur PolicyServer Modification du serveur PolicyServer de Full Disk Encryption Déplacement de Full Disk Encryption vers une nouvelle entreprise Modification du serveur PolicyServer de FileArmor Déplacement de KeyArmor vers une nouvelle entreprise Désinstallation d'application clientes Désinstallation de Full Disk Encryption Désinstallation de FileArmor Chapitre 6: Obtenir de l'aide Communauté de Trend Portail de l'assistance technique Comment contacter l'assistance technique Résolution plus rapide des problèmes TrendLabs Annexe A: Liste de contrôle du programme pilote Endpoint Encryption Annexe B: Liste de contrôle de l'infrastructure de sécurité Annexe C: Liste de contrôle préalable à l'installation de Full Disk Encryption Index Index... IN-1 iv

9 Préface Préface Bienvenue dans le Guide d'installation Trend Micro Endpoint Encryption. Ce guide encourage les administrateurs à être prêts le plus rapidement possible aux fonctions et à l'architecture de sécurité d'endpoint Encryption. Les sujets comprennent les configurations minimales requises, la manière de préparer le déploiement et d'installer PolicyServer et le logiciel client, explique ce qui doit être dit aux utilisateurs finaux et la manière de mettre à niveau ou de migrer le serveur et les applications de clients. Cette préface aborde les sujets suivants : Ensemble des documents relatifs au produit à la page vi Conventions typographiques du document à la page vi Public cible à la page vii Terminologie à la page viii À propos de Trend Micro à la page x v

10 Guide d'installation de Trend Micro Endpoint Encryption Ensemble des documents relatifs au produit L'ensemble des documents relatifs à Trend Micro Endpoint Encryption comprennent ce qui suit : TABLEAU 1. Documentation relative au produit DOCUMENT Guide d'installation Manuel de l'administrateur Fichier Lisez-moi Base de connaissances DESCRIPTION Le Guide d'installation explique la configuration système requise et contient les informations détaillées sur la manière de déployer, d'installer, de migrer et de mettre à niveau PolicyServer et les points finaux. Le Guide de l'administrateur contient des explications sur les concepts et fonctionnalités du produit ainsi que des instructions détaillées sur la manière de configurer et gérer PolicyServer et les points finaux. Le fichier Lisez-moi contient des informations de dernière minute sur le produit qui ne se trouvent pas dans la documentation en ligne ou imprimée. Les rubriques contiennent une description des nouvelles fonctionnalités, les problèmes connus et l'historique des versions du produit. Base de données en ligne contenant des informations sur la résolution des problèmes et le dépannage. Elle contient les dernières informations sur les problèmes connus identifiés pour les produits. Pour accéder à la base de connaissances, consultez le site Web suivant : Remarque Toute la documentation est accessible à l'adresse : Conventions typographiques du document Cette documentation utilise les conventions suivantes : vi

11 Préface TABLEAU 2. Conventions typographiques du document NOMENCLATURE MAJUSCULES Gras Italique Police monospace Navigation > Chemin d'accès Remarque DESCRIPTION Acronymes, abréviations, noms de certaines commandes et touches sur le clavier Menus et commandes de menus, boutons de commande, onglets et options Références à d'autres documents Exemples de lignes de commande, code de programme, URL Web, noms de fichier et sortie de programme Chemin d'accès pour atteindre un écran particulier Par exemple, Fichier > Enregistrer signifie, cliquez sur Fichier, puis sur Enregistrer dans l'interface Remarques sur la configuration Conseil Recommandations ou suggestions Important Informations relatives aux paramètres de configuration par défaut ou requis ainsi qu'aux limitations de produits AVERTISSEMENT! Mesures essentielles et options de configuration Public cible Ce guide est écrit à l'intention des administrateurs IT déployant Trend Micro Endpoint Encryption dans des entreprises moyennes à grandes et au personnel du Centre d'assistance qui gère les utilisateurs, les groupes, les stratégies et les périphériques. La documentation suppose des connaissances de base en informatique, réseautage et sécurité, y compris : vii

12 Guide d'installation de Trend Micro Endpoint Encryption Paramétrage et configuration du matériel informatique Partitionnement de disque dur, formatage et entretien Architecture client-serveur Terminologie Le tableau ci-dessous présente la terminologie officielle employée dans toute la documentation : TABLEAU 3. Terminologie Endpoint Encryption TERME Authentification ColorCode Aide de ligne de commande Aide de l'installateur de ligne de commande Périphérique Authentification de domaine DriveTrust Client de point final FileArmor FIPS DESCRIPTION Processus d'identification d'un utilisateur. Un mot de passe en séquence de couleurs. Crée des valeurs chiffrées pour sécuriser les informations d'identification lors de la création d'un script d'installation. Crée des valeurs chiffrées pour sécuriser les informations d'identification lors de la création de scripts pour installations automatisées. Ordinateur, ordinateur portable, support amovible (lecteur externe, lecteur USB). Authentification unique (SSO) à l'aide d'active Directory. Technologie de chiffrement matériel de Seagate. Tout périphérique sur lequel l'application Endpoint Encryption est installée. Client Endpoint Encryption pour le chiffrement de fichiers et de dossiers sur les disques locaux et les supports amovibles. Standard de traitement des informations fédérales. Normes informatiques du gouvernement fédéral des États-Unis. viii

13 Préface TERME Mot de passe défini Full Disk Encryption KeyArmor OCSP OPAL Mot de passe PolicyServer SED Carte à puce Code confidentiel Console de restauration Aide à distance DESCRIPTION Un mot de passe utilisateur standard composé de lettres, de chiffres ou encore des caractères spéciaux. Client Endpoint Encryption pour le chiffrement matériel et logiciel avec authentification préalable au démarrage. Client Endpoint Encryption pour avoir un lecteur USB protégé par mot de passe et chiffré. Le protocole OCSP (Online Certificate Status Protocol) est un protocole Internet utilisé pour les certificats numériques X Classe des sous-systèmes de sécurité informatique de groupe fiable pour les périphériques clients. Tout type de données d'authentification, tel que le mot de passe fixe, le code confidentiel et le ColorCode. Serveur d'administration central qui déploie des stratégies de chiffrement et d'authentification pour les points finaux (Full Disk Encryption, FileArmor et KeyArmor). Périphérique chiffré sécurisé. Un disque dur, ou un autre périphérique, qui est chiffré. Utilisation conjointe d'une carte physique à un code confidentiel ou un mot de passe fixe. Numéro d'identification personnel, couramment utilisé pour les transactions de DAB. Restaure un périphérique dans le cas d'une défaillance primaire du système d'exploitation, d'un problème de réseau ou de gestion d'utilisateurs, de stratégies et de journaux. Authentification interactive pour les utilisateurs ayant oublié leurs informations d'identification ou pour les dispositifs sur lesquels les stratégies n'ont pas été synchronisées avant un délai prédéterminé. ix

14 Guide d'installation de Trend Micro Endpoint Encryption TERME CD de réparation RSA SecurID Auto-assistance DESCRIPTION Utilisez ce CD amorçable pour déchiffrer un lecteur avant de supprimer Full Disk Encryption en cas de corruption du disque. Mécanisme qui effectue une authentification à deux facteurs pour qu'un utilisateur se connecte à une ressource réseau. Combinaisons de question et de réponse permettant aux utilisateurs de réinitialiser leur mot de passe, s'ils l'ont oublié, sans avoir à contacter l'assistance. À propos de Trend Micro En tant que leader mondial en matière de sécurité en ligne, Trend Micro développe des solutions de sécurité de contenus sur Internet ainsi que des solutions de gestion des menaces, créant ainsi un univers totalement sûr pour que particuliers et entreprises puissent y partager des informations numériques. Fort de 20 ans d'expérience, Trend Micro fournit des solutions de haut niveau client, serveur et en nuage, qui bloquent les menaces plus rapidement et protègent les données dans les environnements physiques, virtuels et en nuage. À mesure que les menaces et les failles voient le jour, Trend Micro s'engage auprès de ses clients pour les aider à sécuriser leurs données, assurer leur conformité, réduire leurs coûts et préserver leur intégrité commerciale. Pour plus d'informations, consultez : Trend Micro et le logo t-ball de Trend Micro sont des marques commerciales ou des marques déposées de Trend Micro Incorporated et sont enregistrées dans certains pays. Toutes les autres marques sont des marques commerciales ou marques déposées par leur propriétaire respectif. x

15 Chapitre 1 Présentation de Trend Micro Endpoint Encryption Lorsqu'on évalue la valeur d'un projet Endpoint Encryption, il est essentiel d'établir un plan précis. Ce chapitre aborde les sujets suivants : À propos d'endpoint Encryption à la page 1-2 Configuration système requise à la page 1-5 Fonctionnalités et avantages principaux à la page 1-8 Gestion et intégration à la page 1-9 Définition du chiffrement à la page

16 Guide d'installation de Trend Micro Endpoint Encryption À propos d'endpoint Encryption Trend Micro Endpoint Encryption est une solution de chiffrement totalement intégrée, visant le matériel et les logiciels, qui permet de protéger les ordinateurs portables et de bureau, les fichiers et dossiers, les supports amovibles et les lecteurs USB chiffrés grâce à une protection intégrée contre les virus/programmes malveillants. Grâce à Trend Micro Endpoint Encryption, les administrateurs peuvent utiliser une console d'administration unique afin de gérer avec flexibilité une combinaison de chiffrements matériels et logiciels en toute transparence pour les utilisateurs finaux. Trend Micro Endpoint Encryption assure une protection des données de bout en bout en fournissant un chiffrement FIPS de toutes les données présentes sur le serveur d'administration, de celles transmises de/vers le serveur, de celles stockées sur le dispositif point final ainsi que de tous les journaux clients stockés localement. Grâce à la cryptographie accréditée FIPS 140-2, Endpoint Encryption offre les avantages suivants : Protection complète des données grâce à un chiffrement totalement intégré des disques, fichiers, dossiers, lecteurs USB et support amovibles. Administration centralisée des stratégies et gestion des clés via une console et un serveur d'administration uniques. Gestion des dispositifs via la collecte d'informations ciblées par dispositif et le verrouillage à distance, la réinitialisation et la possibilité d'effacer toutes les données présentes sur le point final. Génération avancée de rapports et d'audits en temps réel afin d'assurer la conformité de la sécurité. Composants d'endpoint Encryption Endpoint Encryption est un serveur d'administration central (Service Web PolicyServer) qui gère les bases de données de stratégies et de journaux (MobileArmorDB), l'authentification LDAP avec Active Directory et toute activité client-serveur. Les clients Endpoint Encryption ne peuvent pas se connecter directement à PolicyServer et doivent passer par le service Web client. Pour voir une illustration de cette architecture, consultez Figure 1-1: Architecture client-serveur d'endpoint Encryption à la page

17 Présentation de Trend Micro Endpoint Encryption Remarque Les paramètres de port pour le trafic HTTP peuvent être configurés au moment de l'installation ou via le client Endpoint Encryption. FIGURE 1-1. Architecture client-serveur d'endpoint Encryption Le tableau suivant décrit ces composants. 1-3

18 Guide d'installation de Trend Micro Endpoint Encryption TABLEAU 1-1. Composants d'endpoint Encryption COMPOSANT Service Web PolicyServer PolicyServer MMC Client Endpoint Encryption MobileArmorDB Active Directory DESCRIPTION Service Web IIS qui fournit la gestion centrale de l'administration, l'authentification et la génération de rapports des stratégies. PolicyServer Microsoft Management Console (MMC) est l'interface utilisée pour contrôler PolicyServer. Un client Endpoint Encryption consiste en tout dispositif sur lequel Full Disk Encryption, FileArmor ou KeyArmor est installé. Full Disk Encryption fournit un chiffrement de disque complet, à la fois matériel et logiciel, ainsi que l'authentification pre-boot. FileArmor fournit le chiffrement de fichiers et de dossiers applicable au contenu se trouvant sur des lecteurs locaux et des supports amovibles. KeyArmor est un lecteur USB renforcé et chiffré à protection antivirus intégrée. Base de données Microsoft SQL Server qui stocke toutes les informations sur les utilisateurs, les stratégies et les journaux. Le Service Web PolicyServer effectue la synchronisation des informations de compte en communiquant avec Active Directory via LDAP. Les informations de compte sont mises localement en mémoire cache dans MobileArmorDB. Remarque Active Directory est facultatif. Service Web client Service Web IIS permettant aux clients Endpoint Encryption de communiquer avec le service Web PolicyServer. 1-4

19 Présentation de Trend Micro Endpoint Encryption Configuration système requise Les tableaux ci-dessous décrivent la configuration système requise pour Endpoint Encryption. TABLEAU 1-2. Configuration matérielle requise pour PolicyServer HÔTES SÉPARÉS HÔTE UNIQUE Hôte PolicyServer (3 000 utilisateurs) Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 4 Go de mémoire vive 40 Go d'espace disque Hôte SQL Server (3 000 utilisateurs) Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 8 Go de mémoire vive 100 Go d'espace disque PolicyServer et SQL Server (1 500 utilisateurs) Processeurs 2 GHz Quad Core Core2 Intel Xeon 8 Go de mémoire vive 120 Go d'espace disque TABLEAU 1-3. Configuration logicielle minimale requise pour PolicyServer FONCTION CONFIGURATION REQUISE Système d'exploitation Windows Server 2003 SP2 32/64 bits Windows Server 2008 ou 2008 R2 64 bits Applications et paramètres Serveur d'application IIS Autoriser les pages Active Server Autoriser ASP.NET.Net Framework 2.0 SP2 Remarque PolicyServer requiert deux emplacements IIS. L'interface d'administration de PolicyServer et l'interface d'application client doivent êtres installées à des emplacements IIS différents. 1-5

20 Guide d'installation de Trend Micro Endpoint Encryption FONCTION CONFIGURATION REQUISE Base de données Microsoft SQL 2005/2008/2008 R2 Microsoft SQL Express 2005(SP3)/2008 Authentification en mode mixte (mot de passe SA) installée Services de rapport installés TABLEAU 1-4. Configuration système requise pour Full Disk Encryption Processeur PHASE CONFIGURATION REQUISE Processeur Intel Core 2 ou compatible. Mémoire Minimum : 1 Go Espace disque Minimum : 30 Go Requis : 20 % d'espace disque disponible Requis : 256 Mo d'espace disque libre contigu Connectivité réseau Une communication avec PolicyServer est requise pour les installations gérées Systèmes d'exploitation Windows 8 (32/64 bits) Windows 7 (32/64 bits) Windows Vista avec SP1 (32/64 bits) Windows XP avec SP3 (32 bits) Autres logiciels Programmes supplémentaires pour Windows 8 : Microsoft.NET Framework 3.5 est activé Pour les dispositifs munis de UEFI, consultez Préparation du dispositif à la page 4-5 pour modifier la séquence de démarrage. Programmes supplémentaires pour Windows XP : Microsoft.NET Framework 2.0 SP1 ou ultérieur Microsoft Windows Installer

21 Présentation de Trend Micro Endpoint Encryption PHASE CONFIGURATION REQUISE Disque dur Lecteurs DriveTrust de Seagate Lecteurs Seagate OPAL et OPAL 2 Remarque Les disques RAID et SCSI ne sont pas pris en charge. Full Disk Encryption pour Windows 8 ne prend pas en charge les disques RAID, SCSI, edrive ou OPAL 2. Autre matériel Contrôleur de disque dur ATA, AHCI ou IRRT TABLEAU 1-5. Configuration système requise pour FileArmor Processeur PHASE CONFIGURATION REQUISE Processeur Intel Core 2 ou compatible. Mémoire Minimum : 512 Mo Recommandé : 1 Go Espace disque Minimum : 2 Go Requis : 20 % d'espace disque disponible Connectivité réseau Une communication avec PolicyServer est requise pour les installations gérées Systèmes d'exploitation Windows 8 (32/64 bits) Windows 7 (32/64 bits) Windows Vista avec SP1 (32/64 bits) Windows XP avec SP3 (32 bits) 1-7

22 Guide d'installation de Trend Micro Endpoint Encryption PHASE CONFIGURATION REQUISE Autres logiciels Programmes supplémentaires pour Windows 8 : Microsoft.NET Framework 3.5 est activé Pour les dispositifs munis de UEFI, consultez Préparation du dispositif à la page 4-5 pour modifier la séquence de démarrage. Programmes supplémentaires pour Windows XP : Microsoft.NET Framework 2.0 SP1 ou ultérieur Microsoft Windows Installer 3.1 TABLEAU 1-6. Configuration système requise pour KeyArmor PHASE CONFIGURATION REQUISE Matériel Port USB 2.0 Connectivité réseau Une communication avec PolicyServer est requise pour les installations gérées Systèmes d'exploitation Windows 7 (32/64 bits) Windows Vista avec SP1 (32/64 bits) Windows XP avec SP3 (32 bits) Autres logiciels Un logiciel supplémentaire est nécessaire lors de l'installation sous Windows XP : Microsoft.NET Framework 2.0 SP1 ou ultérieur Fonctionnalités et avantages principaux Endpoint Encryption inclut les fonctionnalités et avantages principaux suivants : 1-8

23 Présentation de Trend Micro Endpoint Encryption TABLEAU 1-7. Fonctionnalités principales d'endpoint Encryption FONCTION AVANTAGES Chiffrement Protection de l'intégralité du disque, y compris du MBR (enregistrement de démarrage principal), du système d'exploitation et de tous les fichiers système. Chiffrement matériel et logiciel pour environnements mixtes. Authentification Méthodes d'authentification flexibles, à facteur unique et multifactorielles. Mises à jour des stratégies avant authentification et démarrage du système. Actions configurables lorsque le nombre de tentatives de saisie du mot de passe a été dépassé. Gestion des dispositifs Stratégies pour protéger les données sur les ordinateurs de bureau, ordinateurs portables, tablettes, lecteurs USB, CD et DVD. Possibilité d'actions à distance : verrouillage, nettoyage, réinitialisation. Administration centralisée Conservation des informations, génération de rapports et d'audits. Contrôle total du chiffrement, de la surveillance et de la protection des données. Application automatisée des stratégies avec actions correctives pour remédier aux événements de sécurité. Analyse des statistiques d'utilisation via des rapports programmés et des notifications d'alerte. Gestion et intégration Lorsque les utilisateurs finaux requièrent une protection des données renforcée sur des dispositifs de types différents, nécessitant des types de chiffrement différents, une solution Endpoint Encryption intégrée et centralement gérée réduit les coûts 1-9

24 Guide d'installation de Trend Micro Endpoint Encryption administratifs et de maintenance. Endpoint Encryption est une solution gérée de manière centralisée offrant les fonctionnalités de protection des données suivantes : Mise à jour centrale et transparente des clients Endpoint Encryption lors de la parution de nouvelles versions Gestion et récupération des stratégies de sécurité pour les individus et les groupes à partir d'un serveur à stratégie unique Vérification de l'efficacité et de la régularité d'un mot de passe lors des changements de mot de passe Mise à jour des stratégies de sécurité en temps réel, avant l'authentification, afin de révoquer les informations d'identification de l'utilisateur avant le démarrage du système d'exploitation Définition du chiffrement Le chiffrement est un processus qui rend des données illisibles, à moins de disposer de la clé de chiffrement. Le chiffrement peut être matériel ou logiciel (ou une combinaison des deux) afin de garantir la protection locale des données sur un dispositif, sur un support amovible, dans des fichiers et dossiers spécifiques, ainsi que lors du transfert de données sur des réseaux ou sur Internet. Le chiffrement de point final est la manière la plus importante d'assurer la sécurité des données mais aussi d'assurer que la protection des données est conforme aux exigences réglementaires à ce sujet. Chiffrement de fichier FileArmor protège chaque fichier et dossier sur les disques durs locaux ainsi que sur les supports amovibles (lecteurs USB). Les administrateurs peuvent définir des stratégies indiquant quels dossiers et lecteurs doivent être chiffrés sur le dispositif. Ils peuvent également définir les stratégies concernant les données chiffrées sur les supports amovibles. Le chiffrement des fichiers et des dossiers est effectué après l'authentification. FileArmor peut également protéger différents fichiers avec différentes clés, ce qui permet ainsi aux administrateurs de définir des stratégies pour accéder à un dispositif et 1-10

25 Présentation de Trend Micro Endpoint Encryption d'autres stratégies pour accéder à certains fichiers. Cela s'avère utile dans les environnements dans lesquels plusieurs utilisateurs accèdent à un même point final. Full Disk Encryption Le chiffrement complet de disque est la solution de chiffrement la plus couramment déployée sur les points finaux de nos jours, car elle protège toutes les données du disque, y compris les fichiers temporaires ainsi que ceux du système d'exploitation, des programmes et des utilisateurs finaux. De nombreuses applications de chiffrement complet de disque renforcent la sécurité du système d'exploitation en rendant obligatoire une authentification de l'utilisateur avant le démarrage/déverrouillage du lecteur, et donc avant même tout accès au système d'exploitation. En tant que solution de chiffrement, Trend Micro Full Disk Encryption offre à la fois un chiffrement matériel et logiciel. Le chiffrement matériel est plus simple à déployer sur du matériel neuf, plus facile à gérer et offre un haut niveau de performances. Quant au chiffrement logiciel, il ne nécessite aucun matériel et est moins coûteux à déployer sur des points finaux existants. Trend Micro PolicyServer est capable d'administrer de manière centralisée Full Disk Encryption, fournissant ainsi aux organisations la flexibilité nécessaire pour utiliser le chiffrement logiciel ou matériel, selon les besoins. Endpoint Encryption dispose d'une fonctionnalité réseau unique qui met à jour les stratégies en temps réel avant d'autoriser l'authentification. Endpoint Encryption permet également aux administrateurs de verrouiller ou de nettoyer un lecteur avant tout accès au système d'exploitation (et ainsi aux données sensibles potentielles). Gestion des clés Les produits de chiffrement non gérés nécessitent que les administrateurs (ou les utilisateurs) assurent le suivi de la clé de chiffrement sur un dispositif USB. Endpoint Encryption sécurise et stocke les clés de chiffrement de manière transparente, tout en permettant à un administrateur d'utiliser une clé pour se connecter au dispositif protégé afin de récupérer les données protégées. Les lecteurs USB KeyArmor garantissent la sécurité des données grâce au chiffrement matériel activé en permanence et à une protection contre les virus/programmes malveillants intégrée. Cet ensemble répond aux exigences de conformité réglementaires 1-11

26 Guide d'installation de Trend Micro Endpoint Encryption et aux demandes gouvernementales rigoureuses. Grâce à KeyArmor, les administrateurs ont une visibilité et un contrôle parfait de qui utilise un lecteur USB dans l'entreprise, quand, où et comment. À propos de la norme FIPS La norme Federal Information Processing Standard (FIPS) Publication est une norme gouvernementale des États-Unis, relative à la sécurité des dispositifs, qui régit les conditions de sécurité requises pour les modules de chiffrement. La norme FIPS inclut quatre niveaux de sécurité : TABLEAU 1-8. Niveaux de sécurité FIPS NIVEAU Niveau 1 Niveau 2 Niveau 3 Niveau 4 DESCRIPTION Requiert que tous les composants de chiffrement soient capables de fonctionner dans un environnement de production et soient exempts de failles de sécurité évidentes. Inclut les conditions de niveau 1 et ajoute des conditions de preuve de falsification physiques et d'authentification basée sur des rôles. Inclut les conditions de niveau 2 et ajoute des conditions de résistance à la falsification physiques et d'authentification basée sur l'identité. Inclut les conditions de niveau 3 et ajoute des conditions physiques de sécurité supplémentaires. Endpoint Encryption assure une protection des données de bout en bout en fournissant un chiffrement de niveau FIPS de toutes les données présentes sur le serveur PolicyServer, de celles transmises entre le serveur PolicyServer et les points finaux, de celles stockées sur le dispositif de point final ainsi que de tous les journaux clients stockés localement. 1-12

27 Chapitre 2 Éléments à prendre en compte pour le déploiement Lorsqu'il est question d'un projet de chiffrement, il est important d'identifier les objectifs de l'implémentation. Les entreprises qui doivent satisfaire à des réglementations de conformité explicites auront bien souvent besoin de solutions de chiffrement plus importantes, avec un focus sur les rapports, tandis que les entreprises qui cherchent à améliorer la sécurité des données ont des besoins plus ciblés pour protéger des actifs de données spécifiques. Aucun plan ne convient à chaque scénario, et comprendre ce que l'on attend d'une solution de chiffrement diminue fortement le temps de déploiement, minimise, voire élimine la dégradation des performances et assure le succès du projet. Une planification rigoureuse est nécessaire pour comprendre les conditions requises pour le déploiement et les limitations lors de la mise à l'échelle d'endpoint Encryption au sein d'une grande entreprise. La planification est d'autant plus importante lorsqu'il s'agit d'introduire cette modification au sein de milliers de points finaux, impactant ainsi tous les utilisateurs finaux. Ce chapitre couvre les rubriques suivantes : Liste de contrôle préalable au déploiement et plates-formes prises en charge à la page 2-3 Questions relatives au déploiement initial à la page 2-6 Attribution d'une équipe de projet à la page

28 Guide d'installation de Trend Micro Endpoint Encryption Liste de contrôle de l'infrastructure de sécurité à la page 2-8 Établissement de stratégies et de profils de sécurité à la page 2-9 L'importance d'un programme pilote à la page 2-10 Éléments à prendre en compte pour modifier la gestion à la page 2-10 Communication à l'intention des utilisateurs finaux à la page 2-11 Mise à l'échelle : Conditions requises pour PolicyServer et la base de données SQL à la page

29 Éléments à prendre en compte pour le déploiement Liste de contrôle préalable au déploiement et plates-formes prises en charge Le tableau suivant reprend les systèmes d'exploitation pris en charge pour chaque client Trend Micro Endpoint Encryption ainsi que les configurations minimales requises pour le déploiement. TABLEAU 2-1. PolicyServer PLATES-FORMES PRISES EN CHARGE Windows Server 2003 (32/64 bits) Windows Server 2008/2008 R2 (64 bits) LISTE DE CONTRÔLE PRÉALABLE AU DÉPLOIEMENT Vérifiez que Microsoft.NET 2.0 SP2 ou une version ultérieure est installé sur l'ordinateur hôte Utilisez un compte d'administrateur pour installer PolicyServer MMC Une connexion à PolicyServer est nécessaire pour s'authentifier auprès de MMC 2-3

30 Guide d'installation de Trend Micro Endpoint Encryption TABLEAU 2-2. Full Disk Encryption PLATES-FORMES PRISES EN CHARGE LISTE DE CONTRÔLE PRÉALABLE AU DÉPLOIEMENT Windows 8 (32/64 bits) Les dispositifs compatibles avec UEFI doivent définir la séquence de démarrage du BIOS sur Mode hérité d'abord plutôt que sur UEFI d'abord. Vérifiez que Microsoft.Net 3.5 est activé Exécutez Scandisk et défragmentez avant l'installation Confirmez la présence d'un secteur de démarrage normal MBR 20 % d'espace disque disponible Sauvegardez les données d'utilisateur Remarque Full Disk Encryption pour Windows 8 ne prend pas en charge les disques RAID, SCSI, edrive ou OPAL

31 Éléments à prendre en compte pour le déploiement PLATES-FORMES PRISES EN CHARGE LISTE DE CONTRÔLE PRÉALABLE AU DÉPLOIEMENT Windows 7 (32/64 bits) Vérifiez que Microsoft.NET 2.0 SP1 ou une version ultérieure est installé Windows Vista avec SP1 (32/64 bits) Windows Installer version 3.1 En cas de gestion, connexion au serveur PolicyServer Windows XP avec SP3 (32 bits) Exécutez Scandisk et défragmentez avant l'installation Confirmez la présence d'un secteur de démarrage normal MBR 20 % d'espace disque disponible Sauvegardez les données d'utilisateur Remarque Full Disk Encryption ne prend pas en charge les disques RAID ou SCSI. TABLEAU 2-3. FileArmor PLATES-FORMES PRISES EN CHARGE LISTE DE CONTRÔLE PRÉALABLE AU DÉPLOIEMENT Windows 8 (32/64 bits) Les dispositifs compatibles avec UEFI doivent définir la séquence de démarrage du BIOS sur Mode hérité d'abord plutôt que sur UEFI d'abord. Vérifiez que Microsoft.Net 3.5 est activé Windows 7 (32/64 bits) Vérifiez que Microsoft.NET 2.0 SP1 ou une version ultérieure est installé Windows Vista avec SP1 (32/64 bits) Windows XP avec SP3 (32 bits) 2-5

32 Guide d'installation de Trend Micro Endpoint Encryption TABLEAU 2-4. KeyArmor PLATES-FORMES PRISES EN CHARGE LISTE DE CONTRÔLE PRÉALABLE AU DÉPLOIEMENT Windows 8 (32/64 bits) Windows 8 n'est pas pris en charge. Windows 7 (32/64 bits) Un port USB est disponible Windows Vista avec SP1 (32/64 bits) Windows XP avec SP3 (32 bits) Questions relatives au déploiement initial Ce questionnaire aidera à composer l'équipe de projet, à documenter votre environnement de fonctionnement, à évaluer les conditions requises pour l'architecture, à faciliter la vérification des profils logiciels et matériels de bureau et à définir les problèmes de sécurité ainsi que les processus administratifs et d'assistance. Utilisateurs finaux : 1. Quel est le nombre total d'utilisateurs concernés par le déploiement? 2. Parmi tous ces utilisateurs, combien sont : Administrateurs d'entreprise Administrateurs de groupe Authentificateurs (Personnel du service d'assistance) Utilisateurs finaux Dispositifs de points finaux : 1. Y-a-t-il un nombre standard de partitions par ordinateur? 2. Les dispositifs ont-il plusieurs disques durs physiques? 2-6

33 Éléments à prendre en compte pour le déploiement 3. Un ou plusieurs de ces dispositifs disposent-ils de gestionnaires de doubledémarrage? 4. Quel logiciel standard est installé? Vérifiez ce qui suit: a. Antivirus b. Applications de sécurité qui bloquent l'installation de logiciels c. Produits de chiffrement précédents Réseaux et bases de données de l'entreprise : 1. Combien de PolicyServers seront nécessaires à la prise en charge des besoins des utilisateurs? a. Estimez le nombre maximal d'utilisateurs en trois ans. b. En cas d'utilisation de l'authentification de domaine, un PolicyServer est nécessaire pour chaque domaine Active Directory. 2. L'équilibrage de charge est-il requis pour les serveurs? a. L'équilibrage de charge est recommandé pour les installations nécessitant la redondance et une grande disponibilité des PolicyServers. b. Le clustering peut être utilisé pour fournir la redondance et une grande disponibilité des serveurs de la base de données. 3. Quelle est l'estimation de la taille de la base de données? a. Estimez le nombre maximal d'utilisateurs en trois ans. b. Environ 1 Go d'espace est requis par an pour utilisateurs finaux. 4. Les points finaux devront-ils communiquer avec le serveur PolicyServer via Internet? a. Discutez avec l'équipe du réseau interne/de sécurité pour identifier les conditions requises pour rendre un serveur Web disponible sur Internet. b. Les éléments suivants sont entièrement pris en charge par un PolicyServer externe : Authentification de domaine/authentification unique via Internet 2-7

34 Guide d'installation de Trend Micro Endpoint Encryption Mises à jour des stratégies via Internet Audit du dispositif via Internet Réinitialisation du mot de passe en ligne Attribution d'une équipe de projet Une implémentation réussie inclut, pour tout produit, le maintien de la continuité ainsi que l'assurance d'achat par les utilisateurs internes. Structurer l'équipe afin d'inclure un ou plusieurs membres stratégiques des départements impactés par le déploiement du logiciel peut aider à l'achat et résulter en une direction d'équipe plus forte. Il vous est recommandé d'inclure au minimum dans votre équipe de projet un ou plusieurs membres de chacun des groupes suivants : Direction Serveurs d'application d'entreprise Administrateurs de base de données d'entreprise Sécurité des données Support des ordinateurs de bureau Plan anti-sinistre Liste de contrôle de l'infrastructure de sécurité Il est primordial de revoir l'infrastructure de sécurité existante avant de déployer un nouveau service IT dans l'environnement de production. Trend Micro fournit une liste de contrôle de l'infrastructure de sécurité contenant les éléments devant être vérifiés pour les zones suivantes : Utilisateur final Réponse d'incident (IR) Évaluation des risques 2-8

35 Éléments à prendre en compte pour le déploiement Ressources humaines Conformité Consultez Liste de contrôle de l'infrastructure de sécurité à la page B-1 pour obtenir des informations détaillées. Établissement de stratégies et de profils de sécurité Trend Micro Endpoint Encryption a établi des stratégies de sécurité par défaut, qui doivent être revues en fonction du déploiement et des objectifs de protection. Il existe, entre autres, des paramètres de stratégies par défaut pour le nom d'utilisateur, la complexité du mot de passe, les conditions requises pour les modifications, le contrôle des dispositifs, la synchronisation des stratégies, le verrouillage et la réinitialisation des dispositifs. Les stratégies par défaut peuvent facilement être modifiées en fonction des objectifs de sécurité et des règles de conformité de protection des données. Si vous utilisez Endpoint Encryption pour contrôler l'utilisation des périphériques USB et autres supports amovibles, vous devez déterminer préalablement quels supports USB peuvent être utilisés ainsi que le moment et le lieu de leur utilisation (en réseau, hors réseau ; à tout moment) afin de vous assurer que les utilisateurs se conforment à vos stratégies et objectifs de sécurité. Consultez le Manuel de l'administrateur pour une description complète des stratégies, des valeurs par défaut et des options de configuration. Remarque Lorsque vous utilisez Endpoint Encryption pour gérer les stratégies et les supports amovibles : Testez et validez les modèles de stratégies avant de les distribuer. Afin de vous assurer que les utilisateurs se conforment aux stratégies, déterminez quels périphériques USB sont autorisés comme lecteurs USB et supports amovibles mais également quand et où ils peuvent être utilisés (en réseau, hors réseau ou les deux). 2-9

36 Guide d'installation de Trend Micro Endpoint Encryption L'importance d'un programme pilote Trend Micro recommande l'exécution d'un programme pilote ainsi qu'un test de déploiement vers un petit groupe d'utilisateurs avant de déployer vers un public plus vaste. Un programme pilote permet à une organisation de finaliser la méthodologie de déploiement à utiliser lors de l'installation d'endpoint Encryption. Les programmes pilotes les plus efficaces impliquent plusieurs départements, des utilisateurs et des périphériques cibles. Par exemple, si l'entreprise prend en charge dix fabricants d'ordinateurs portables différents, chacun de ces périphériques doit être inclus dans le pilote. De même, si certains groupes de haut-niveau ont des questions particulières, un ou deux membres de ce groupe doivent participer au projet pilote. Voir Liste de contrôle du programme pilote Endpoint Encryption à la page A-1 pour obtenir des informations détaillées. Éléments à prendre en compte pour modifier la gestion PolicyServer et les bases de données associées sont des services critiques. Modifier les éléments à prendre en compte est important pour assurer la disponibilité du service aux utilisateurs finaux qui tentent de s'identifier sur le réseau à tout moment. Quand la modification est nécessaire : Contrôlez activement l'utilisation de l'uc et définissez un seuil à partir duquel les services Windows PolicyServer doivent être redémarrés. Redémarrez le service de manière régulière, en suivant un programme conforme à la fenêtre de maintenance établie par l'entreprise (quotidien, hebdomadaire ou mensuel). Redémarrez le service Windows PolicyServer lorsque la maintenance est effectuée sur l'environnement Active Directory, le serveur, la base de données ou les communications associées. Effectuez une sauvegarde régulière des bases de données PolicyServer, comme pour toute base de données critique d'une entreprise. 2-10

37 Éléments à prendre en compte pour le déploiement Outre un enregistrement de la base de données sur un autre site, une sauvegarde de nuit est recommandée. AVERTISSEMENT! Tout changement dans les environnements Active Directory ou de la base de données peut affecter la connectivité à PolicyServer. Communication à l'intention des utilisateurs finaux Les utilisateurs finaux doivent être prévenus via un plan de communication intelligent, afin de limiter l'impact et de faciliter la transition. De plus, la communication faisant suite au déploiement joue un rôle important dans l'adaptation à l'utilisation de Trend Micro Endpoint Encryption. Questions Un obstacle commun à l'adoption par les entreprises est le manque de communication. Le besoin de communication claire à l'intention de l'utilisateur final et répondant aux trois questions ci-dessous est essentiel à une mise en œuvre réussie : 1. Pourquoi avons-nous besoin d'endpoint Encryption? 2. Comment Endpoint Encryption m'aide-t-il ainsi que la société? 3. Qu'est-ce qui va changer? Implémenter une stratégie de déploiement par phase En cas de succès de votre programme pilote, lancez le déploiement du programme en ciblant des lots de 25 à 50 points finaux pour démarrer la distribution de la solution. Veiller à ce que les ingénieurs de déploiement soient sur place avec le groupe de premier déploiement au lendemain de l'installation de la nouvelle solution de façon apporter une assistance immédiate. Lorsque le succès est au rendez-vous pour le premier lot, lancez le 2-11

38 Guide d'installation de Trend Micro Endpoint Encryption déploiement vers 100 à 200 points finaux par nuit. Lorsque la méthodologie de déploiement est validée dans votre environnement de production, et lorsque vos équipes informatiques et d'assistance internes sont d'accord, le déploiement peut être effectué vers des milliers de dispositifs à la fois. Communiquer aux utilisateurs de quoi il s'agit, quand et pourquoi Trend Micro recommande que le sponsor commercial du projet de protection des données envoie un message aux utilisateurs finaux afin de leur communiquer l'importance du projet pour l'entreprise et les avantages pour les utilisateurs. Notre base de connaissances comporte un certain nombre de modèles de communication à l'intention des utilisateurs finaux qui peuvent être récupérés et personnalisés en fonction de vos besoins en communication avant la distribution d'endpoint Encryption. Introduire le changement 1. Un mois avant le déploiement, demandez au sponsor commercial d'expliquer brièvement pourquoi le nouveau chiffrement matériel/logiciel est introduit et en quoi l'adoption des nouveaux processus sera bénéfique pour les utilisateurs finaux ainsi que pour l'entreprise. 2. Fournissez la chronologie du calendrier de déploiement aux utilisateurs, ce à quoi ils peuvent s'attendre après le 1er jour, et confirmez la manière dont les utilisateurs finaux peuvent obtenir de l'aide. Communiquer une semaine avant le déploiement 1. Réitérez la description des changements à venir et à quoi s'attendre le jour où les nouvelles procédures d'authentification sont nécessaires sur leurs ordinateurs, dispositifs mobiles, supports amovibles, etc. 2. Inclure des captures d'écran et des instructions détaillées sur le nom d'utilisateur, les conventions mot de passe et d'autres des services d'assistance internes. 2-12

39 Éléments à prendre en compte pour le déploiement Communiquer la veille du déploiement 1. Renforce la chronologie du calendrier de déploiement, ce à quoi s'attendre et où demander de l'aide. 2. Distribuez des aide-mémoire, des informations du service d'assistance et fournissez les coordonnées du point de contact sur site qui sera disponible pour aider les utilisateurs dès le lendemain. Communiquer après le déploiement 1. Réitérez les informations du service d'assistance et fournissez les coordonnées du point de contact sur site qui sera disponible pour aider les utilisateurs dès le lendemain. 2. Fournit des outils pour le dépannage. Mise à l'échelle : Conditions requises pour PolicyServer et la base de données SQL Vous trouverez ci-dessous des recommandations relatives à la mise à l'échelle d'un déploiement sur site unique offrant une série d'options matérielles tenant compte de la redondance du système et de l'absence de point de défaillance. 2-13

40 Guide d'installation de Trend Micro Endpoint Encryption TABLEAU 2-5. Mise à l'échelle sans redondance PÉRIPHÉRIQU ES CONFIGURATION MINIMALE REQUISE BASE DE DONNÉES SQL POLICYSERVER FRONTAL POLICYSERVER 1,500 PolicyServer et serveur multirôles de base de données Processeurs 2 GHz Quad Core Core2 Intel Xeon 8 Go de mémoire vive Installé sur l'hôte PolicyServer frontal Espace disque dur 120 Go RAID 5 3,000 1 hôte PolicyServer frontal Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 4 Go de mémoire vive Espace disque dur 40 Go RAID 1 1 hôte base de données SQL PolicyServer Processeurs 2 GHz Quad Core Core2 Intel Xeon 8 Go de mémoire vive Espace disque dur 100 Go RAID 5 TABLEAU 2-6. Mise à l'échelle avec redondance et grande disponibilité PÉRIPHÉRIQU ES CONFIGURATION MINIMALE REQUISE BASE DE DONNÉES SQL POLICYSERVER FRONTAL POLICYSERVER 10,000 2 hôtes PolicyServer frontaux Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 4 Go de mémoire vive Espace disque dur 40 Go RAID 1 1 hôte base de données SQL PolicyServer Processeurs 2 GHz Quad Core Core2 Intel Xeon 8 Go de mémoire vive Espace disque dur 120 Go RAID

41 Éléments à prendre en compte pour le déploiement PÉRIPHÉRIQU ES CONFIGURATION MINIMALE REQUISE BASE DE DONNÉES SQL POLICYSERVER FRONTAL POLICYSERVER 20,000 4 hôtes PolicyServer frontaux Processeurs 2 GHz Dual Quad Core2 Intel Xeon 4 Go de mémoire vive Espace disque dur 40 Go RAID 1 40,000 8 hôtes PolicyServer frontaux Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 4 Go de mémoire vive Espace disque dur 40 Go RAID 1 1 hôte base de données SQL PolicyServer Processeurs 2 GHz Quad Core2 Intel Xeon 16 Go de mémoire vive Espace disque dur 160 Go RAID 5 2 hôtes de cluster base de données SQL PolicyServer Processeurs 2 GHz Quad Core Core2 Intel Xeon 16 Go de mémoire vive Espace disque dur 320 Go RAID

42 Guide d'installation de Trend Micro Endpoint Encryption TABLEAU 2-7. Mise à l'échelle sans aucune défaillance PÉRIPHÉRIQU ES CONFIGURATION MINIMALE REQUISE BASE DE DONNÉES SQL POLICYSERVER FRONTAL POLICYSERVER 10,000 2 hôtes PolicyServer frontaux Processeurs 2 GHz Quad Core Core2 Intel Xeon 4 Go de mémoire vive Espace disque dur 40 Go RAID 1 Remarque Le matériel informatique virtuel est pris en charge par VMware Virtual Infrastructure. 2 hôte base de données SQL PolicyServer Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 8 Go de mémoire vive Espace disque dur 60 Go RAID 5 Espace disque dur 130 Go RAID 5 SAN partagé Remarque Microsoft Cluster Service n'est pas pris en charge par Microsoft ou VMWare sur le matériel informatique virtuel. 2-16

43 Éléments à prendre en compte pour le déploiement PÉRIPHÉRIQU ES CONFIGURATION MINIMALE REQUISE BASE DE DONNÉES SQL POLICYSERVER FRONTAL POLICYSERVER 20,000 4 hôtes PolicyServer frontaux Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 4 Go de mémoire vive Espace disque dur 40 Go RAID 1 Remarque Le matériel informatique virtuel est pris en charge par VMware Virtual Infrastructure. 40,000 8 hôtes PolicyServer frontaux Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 4 Go de mémoire vive Espace disque dur 40 Go RAID 1 Remarque Le matériel informatique virtuel est pris en charge par VMware Virtual Infrastructure. 2 hôte base de données SQL PolicyServer Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 8 Go de mémoire vive Espace disque dur 60 Go RAID 5 Espace disque dur 180 Go RAID 5 SAN partagé Remarque Microsoft Cluster Service n'est pas pris en charge par Microsoft ou VMWare sur le matériel informatique virtuel. 4 hôte base de données SQL PolicyServer Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 16 Go de mémoire vive Espace disque dur 60 Go RAID 5 Espace disque dur 350 Go RAID 5 SAN partagé Remarque Microsoft Cluster Service n'est pas pris en charge par Microsoft ou VMWare sur le matériel informatique virtuel. 2-17

44 Guide d'installation de Trend Micro Endpoint Encryption Exemple de mise à l'échelle FIGURE 2-1. PolicyServer mis à l'échelle pour prendre en charge utilisateurs 2-18

45 Chapitre 3 Installation de PolicyServer Ce chapitre couvre les fichiers et les comptes requis pour installer PolicyServer ainsi que le processus d'installation. Ce chapitre couvre les rubriques suivantes : Configuration minimale requise pour PolicyServer à la page 3-3 Processus d'installation de PolicyServer à la page 3-7 Synchronisation AD de PolicyServer à la page 3-13 Proxy LDAP facultatif à la page

46 Guide d'installation de Trend Micro Endpoint Encryption Présentation de PolicyServer PolicyServer utilise Microsoft Management Console (MMC). PolicyServer dispose d'une structure hiérarchique qui distribue la responsabilité administrative tout en conservant un contrôle centralisé pour : Définir les paramètres des stratégies de sécurité la gestion des utilisateurs, des périphériques et des groupes (y compris les groupes hors ligne) Activer/désactiver les applications des points finaux Utilisez les fonctions d'audit et de rapports de PolicyServer MMC pour surveiller l'infrastructure de sécurité et répondre aux exigences de conformité. Contenu du dossier d'installation Le dossier d'installation de Trend Micro PolicyServer contient les programmes d'installation suivants pour l'entreprise : PolicyServerMMCSnapinSetup.msi PolicyServerInstaller.exe LDAProxyInstaller.exe Outils Le fichier suivant est également requis : Le fichier texte de licence reçu de Trend Micro qui contient le code de déverrouillage (mot de passe). Utilisez le fichier de licence et le code de déverrouillage lors de la première connexion à PolicyServer. 3-2

47 Installation de PolicyServer Remarque PolicyServer comprend une licence d'évaluation de 30 jours. Pour plus d'informations sur la licence d'évaluation, voir Installation de la base de données et des services Web PolicyServer à la page 3-7. Configuration minimale requise pour PolicyServer Cette section couvre les conditions requises pour PolicyServer, y compris les exigences matérielles et logicielles, les fichiers requis pour exécuter les installations ainsi que les comptes nécessaires à la configuration de la base de données et des environnements des serveurs Windows. Configuration matérielle Lors de l'installation de PolicyServer, il est recommandé de disposer d'au moins deux serveurs dédiés : 1. Un serveur dédié pour la base de données (ou il faut ajouter la base de données à un cluster SQL existant). 2. Un serveur dédié aux services PolicyServer/Web. Remarque Le matériel informatique virtuel est pris en charge par VMware Virtual Infrastructure. TABLEAU 3-1. Configuration matérielle requise pour PolicyServer HÔTES SÉPARÉS HÔTE UNIQUE Hôte PolicyServer (3 000 utilisateurs) Hôte SQL Server (3 000 utilisateurs) PolicyServer et SQL Server (1 500 utilisateurs) 3-3

48 Guide d'installation de Trend Micro Endpoint Encryption HÔTES SÉPARÉS HÔTE UNIQUE Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 4 Go de mémoire vive 40 Go d'espace disque Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 8 Go de mémoire vive 100 Go d'espace disque Processeurs 2 GHz Quad Core Core2 Intel Xeon 8 Go de mémoire vive 120 Go d'espace disque Configuration logicielle requises TABLEAU 3-2. Configuration logicielle minimale requise pour PolicyServer FONCTION CONFIGURATION REQUISE Système d'exploitation Windows Server 2003 SP2 32/64 bits Windows Server 2008 ou 2008 R2 64 bits Applications et paramètres Serveur d'application IIS Autoriser les pages Active Server Autoriser ASP.NET.Net Framework 2.0 SP2 Remarque PolicyServer requiert deux emplacements IIS. L'interface d'administration de PolicyServer et l'interface d'application client doivent êtres installées à des emplacements IIS différents. 3-4

49 Installation de PolicyServer FONCTION CONFIGURATION REQUISE Base de données Microsoft SQL 2005/2008/2008 R2 Microsoft SQL Express 2005(SP3)/2008 Authentification en mode mixte (mot de passe SA) installée Services de rapport installés TABLEAU 3-3. Éléments logiciels à prendre en compte pour Windows Server 2008 et 2008 R2 Server OS R2 Rôles Installer le rôle du serveur d'applications Ajouter la prise en charge IIS Installer le rôle du serveur Web Installer le rôle du serveur d'applications Ajouter la prise en charge IIS Installer le rôle du serveur Web Fonctions Ajouter SMTP Ajouter SMTP Autres pré-requis.net 3.5 SP1 SQL 2008 SP1 doit être installé pour exécuter SQL 2008 Aucune mise à niveau de.net n'est requise Fichiers d'installation requis TABLEAU 3-4. Fichiers requis pour installer PolicyServer FICHIER PolicyServerInstaller.exe OBJET Installation de la base de données et des services PolicyServer 3-5

50 Guide d'installation de Trend Micro Endpoint Encryption FICHIER PolicyServerMMCSnapinSetup.msi Licence OBJET Installer la console d'administration PolicyServer en tant que composant logiciel enfichable MMC Fourni par Trend Micro. Requis lors de la première authentification auprès de PolicyServer MMC Important Copier tous les fichiers d'installation vers le disque local avant de procéder à l'installation. Comptes requis Pour installer PolicyServer, certains comptes doivent être disponibles. Le tableau cidessous explique le compte, le service qui lui est associé et la manière dont PolicyServer utilise ce compte. TABLEAU 3-5. Comptes requis pour l'installation de PolicyServer COMPTE SERVICE OBJET SQL SA SQL MADB Compte service Programme d'installation de PolicyServer Service Windows PolicyServer Services Windows et IIS PolicyServer Compte utilisé UNIQUEMENT lors de la création des bases de données PolicyServer. Compte créé pendant l'installation afin d'authentifier les bases de données PolicyServer. Compte utilisé pour l'exécution des services Windows PolicyServer et pools des applications des services Web. Administrateur d'entreprise PolicyServer PolicyServer MMC Compte fourni par Trend Micro (à partir du fichier licence) requis pour authentifier PolicyServer MMC la première fois. 3-6

51 Installation de PolicyServer Processus d'installation de PolicyServer Installez Microsoft SQL Server avant d'exécuter tout fichier d'installation de PolicyServer. Les programmes d'installation de chaque application PolicyServer sont destinés à simplifier le processus d'installation. Ce processus d'installation : 1. Installez la base de données Microsoft SQL. Remarque Ce document n'explique pas comment installer Microsoft SQL. 2. Installation de la base de données et des services PolicyServer. 3. Installer PolicyServer MMC. Installation de la base de données et des services Web PolicyServer Avant de commencer Microsoft SQL Server est déjà configuré. Le programme d'installation de PolicyServer configure les paramètres de la base de données et installe les services Windows. Dans la version PolicyServer 3.1.3, il est désormais possible de spécifier un numéro de port pour le service Web PolicyServer. Un second port est désormais nécessaire pour le service Web client. S'il n'existe pas de second port, un nouveau sera créé pendant le processus d'installation. Pour de plus amples informations sur la nouvelle architecture, consultez Composants d'endpoint Encryption à la page 1-2. Pour utiliser Endpoint Encryption pendant une période d'évaluation limitée, le nom de l'entreprise et le compte d'administrateur d'entreprise peuvent être configurés lors de l'installation. PolicyServer fonctionne normalement avec toutes les applications client, les périphériques illimités et jusqu'à 100 utilisateurs pour une période d'évaluation de 30 jours. Après 30 jours, contactez l'assistance technique pour recevoir un fichier de 3-7

52 Guide d'installation de Trend Micro Endpoint Encryption licence. Les utilisateurs et les périphériques peuvent toujours se connecter après l'expiration de la période d'évaluation. Procédure 1. Exécutez PolicyServerInstaller.exe. 2. Lisez attentivement le Contrat de Licence Utilisateur Final. Si vous êtes d'accord, cliquez sur Accepter. 3. Dans l'écran Services PolicyServer, vérifiez la version de PolicyServer et cliquez sur Installer. 4. Dans l'écran Connexion au service Windows, les paramètres par défaut conviennent pour la plupart des installations. Cliquez sur Continue. 5. Dans l'écran Connexion de l'administrateur de base de données, entrez le nom d'hôte ou l'adresse IP de Microsoft SQL Server ainsi que les informations d'identification d'un compte avec le rôle d'administrateur système pour l'instance SQL spécifiée. Remarque Pour des environnements disposant de plusieurs instances de serveur SQL, modifiez l'instance SQL à la fin du nom d'hôte PolicyServer ou de l'adresse IP utilisée. Utilisez la syntaxe suivante pour spécifier une instance : <nom d'hôte ou adresse IP>\<instance base de données> Le programme d'installation vérifie la connexion de base de données. 6. Dans l'écran Créer une connexion à la base de données, entrez les informations d'identification du compte que les services Windows PolicyServer peuvent utiliser pour toutes les transactions de données. S'il s'agit de la première installation de PolicyServer, le compte spécifié est créé. 7. Dans l'écran Emplacement de l'installation du service Web, spécifiez le site IIS que PolicyServer MMC et le service Web du client utiliseront pour communiquer avec PolicyServer. Le numéro de port par défaut est Si le port 8080 est déjà utilisé, le numéro de port disponible suivant sera attribué. 3-8

53 Installation de PolicyServer a. Sélectionnez un site dans le menu déroulant Site cible. b. Vérifiez le port actuellement attribué et, si nécessaire, indiquez un autre numéro de port dans le champ Nouveau port. Remarque Trend Micro recommande de réserver le port 80 pour le service Web client. c. Cliquez sur Continue. 8. L'étape suivante est conçue pour configurer le service Web client, qui est le site IIS que tous les clients Endpoint Encryption utilisent pour communiquer avec PolicyServer. Selon la disponibilité ou non de deux emplacements IIS, l'un des écrans suivants s'ouvre : Si un second site IIS est disponible, l'écran Emplacement des services Web client s'affiche. a. Sélectionnez un site dans le menu déroulant Site cible. b. Vérifiez l'attribution du port par défaut pour le service Web client. Remarque Trend Micro recommande de garder le numéro de port 80. Toutefois, si nécessaire, indiquez un numéro de port différent dans le champ Nouveau port. Le numéro de port doit être un entier positif compris entre 1 et c. Cliquez sur Continue. Si un second site IIS n'est pas disponible, l'écran Créer un emplacement de service Web client s'affiche pour configurer un nouvel emplacement IIS. a. Entrez un nom pour l'emplacement IIS dans le champ Nom du site. b. Naviguez vers l'emplacement du site. Si aucun dossier n'existe encore, créez-en un. c. Entrez l'adresse IP et le numéro de port du nouvel emplacement IIS. 3-9

54 Guide d'installation de Trend Micro Endpoint Encryption Remarque Trend Micro recommande de garder le numéro de port 80. Toutefois, si nécessaire, indiquez un numéro de port différent. Le numéro de port doit être un entier positif compris entre 1 et d. Cliquez sur Continue. 9. Dans l'écran Emplacement de l'installation du service Web mobile, vérifiez les paramètres et cliquez sur Continuer. 10. Dans l'écran Créer une connexion d'entreprise et d'administrateur, spécifiez le nouveau nom d'entreprise et les informations d'identification d'un nouveau compte d'administrateur d'entreprise utilisé pour gérer PolicyServer pendant la période d'évaluation initiale. 11. Cliquez sur Continue. Le processus d'installation commence. 12. Dans le message Installation de PolicyServer, cliquez sur OK 13. Cliquez sur Terminé. 14. Dans la fenêtre du programme d'installation de PolicyServer, cliquez surquitter. 15. Redémarrer le serveur. PolicyServer MMC L'interaction entre les administrateurs et PolicyServer se fait via PolicyServer Microsoft Management Console (MMC). PolicyServer MMC combine une structure hiérarchique avec un administrateur séparé et des rôles d'authentificateurs, ce qui permet aux organisations de distribuer la responsabilité administrative tout en gardant un contrôle centralisé. PolicyServer MMC gère : Toutes les applications de Trend Micro Endpoint Encryption Utilisateurs et groupes PolicyServer (y compris les groupes hors ligne) 3-10

55 Installation de PolicyServer Les périphériques client, y compris les ordinateurs portables, les ordinateurs de bureau, les PDA, les smartphones et les périphériques de stockage USB Toutes les stratégies, y compris le chiffrement, la complexité des mots de passe et l'authentification Les journaux des événements pour voir les événements d'authentification et de gestion, l'état du chiffrement des périphériques et les violations de sécurité Processus de réinitialisation de mot de passe de l'aide à distance Fonctionnalité de verrouillage/suppression de périphérique En outre, PolicyServer offre des avantages mesurables à travers son audit et ses options de rapports, permettant aux cadres d'entreprises et autres d'évaluer le succès. Pour une description détaillée des fonctionnalités de PolicyServer MMC, consultez le Manuel de l'administrateur Endpoint Encryption. Installation de PolicyServer MMC Procédure 1. Exécutez PolicyServerMMCSnapinSetup.msi. L'installation commence. 2. Cliquez sur Suivant pour lancer l'assistant de configuration de PolicyServer MMC. 3. Lisez attentivement le contrat de licence, sélectionnez J'accepte si vous acceptez les termes, puis cliquez sur Suivant. 4. Sélectionnez le dossier d'installation ou laissez l'emplacement par défaut et cliquez sur Suivant. 5. Cliquez sur Suivant pour confirmer l'installation. Le processus d'installation commence. Un nouveau raccourci PolicyServer MMC est créé sur le bureau. 6. Cliquez sur Fermer pour terminer l'installation. 7. Cliquez sur Oui pour redémarrer le serveur. 3-11

56 Guide d'installation de Trend Micro Endpoint Encryption Après vous êtes reconnecté au serveur, ouvrez PolicyServer MMC depuis le raccourci sur le bureau. 9. Une fois que PolicyServer MMC s'affiche, effectuez l'une des opérations suivantes : Connectez-vous à l'aide du nom d'entreprise et du compte d'administrateur d'entreprise créés lorsque les services et les bases de données PolicyServer ont été installés. La période d'évaluation de 30 jours autorise des périphériques illimités et jusqu'à 100 utilisateurs. Importer un fichier de licence : Remarque Pour obtenir le fichier de licence, contactez l'assistance Trend Micro. a. Accédez à Fichier > Importer la licence. b. Spécifiez le code de déverrouillage, accédez au fichier de licence et cliquez sur Mettre à jour. c. Cliquez sur OK lorsque la fenêtre La licence a été correctement mise à jour s'ouvre. L'installation de PolicyServer est terminée. Authentifiez-vous auprès de PolicyServer MMC à l'aide des informations d'identification de l'administrateur d'entreprise qui vous ont été envoyées par Trend Micro. Que faire ensuite 1. Créez un compte d'administrateur d'entreprise de secours et modifiez le mot de passe par défaut. 2. Activez toute application qui sera utilisée au niveau de l'entreprise avant de créer tout groupe de déploiement de test ou de production. 3. Consultez le Manuel de l'administrateur Endpoint Encryption pour les tâches supplémentaires postérieures à l'installation, telles que la création de périphériques et d'utilisateurs ou la configuration de stratégies. 3-12

57 Installation de PolicyServer Synchronisation AD de PolicyServer PolicyServer prend en charge la synchronisation Active Directory (AD) pour un groupe PolicyServer configuré. La synchronisation ajoutera et supprimera automatiquement les utilisateurs AD des groupes PolicyServer configurés. Présentation d'active Directory Trois composants sont requis pour activer la synchronisation AD de PolicyServer : 1. Un domaine AD configuré. 2. Un groupe PolicyServer configuré pour pointer vers une Unité organisationnelle (OU) AD. 3. Des informations d'identification adéquates pour accéder au domaine AD correspondant au nom unique du groupe PolicyServer. Lorsqu'il est configuré correctement, le système de synchronisation crée automatiquement des utilisateurs PolicyServer et les déplace vers les groupes couplés appropriés sur PolicyServer. Pendant la synchronisation, PolicyServer est mis à jour pour refléter les utilisateurs et les attributions de groupes actuels des groupes couplés. Un nouvel utilisateur ajouté au domaine et placé dans l'unité organisationnelle sera marqué afin que, lors de la prochaine synchronisation, AD le crée dans PolicyServer et le déplace dans le groupe PolicyServer couplé approprié. Supprimer un utilisateur d'ad entraînera la suppression automatique de cet utilisateur du groupe PolicyServer couplé et de l'entreprise. Les administrateurs PolicyServer peuvent créer leurs propres utilisateurs afin de les ajouter aux groupes PolicyServer couplés, sans que ces utilisateurs ne soient modifiés par le système de synchronisation. Cela permet aux administrateurs d'ajouter à des groupes synchronisés avec le domaine des utilisateurs externes à celui-ci. Si un administrateur PolicyServer supprime manuellement un utilisateur d'un groupe couplé sur le serveur PolicyServer, cet utilisateur du domaine ne sera pas rajouté automatiquement par le système de synchronisation. Cela empêche d'outrepasser l'action de l'administrateur pour cet utilisateur. Si un administrateur replace manuellement un 3-13

58 Guide d'installation de Trend Micro Endpoint Encryption utilisateur du domaine synchronisé dans un groupe couplé, le système de synchronisation recommence à gérer automatiquement cet utilisateur au sein du groupe. Configuration d'active Directory Cette tâche présume que le contrôleur de domaine soit configuré sur Windows Server 2003 et qu'ad soit installé. Procédure 1. Accédez à Démarrer > Programmes > Outils d'administration > Utilisateurs et périphériques AD. Les utilisateurs et périphériques Active Directory s'ouvrent. FIGURE 3-1. Utilisateurs et ordinateurs Active Directory 2. Effectuez un clic droit sur le nouveau domaine créé lors de l'installation d'ad, puis sélectionnez Nouveau. 3-14

59 Installation de PolicyServer 3. Sélectionnez Unité d'organisation. 4. Cliquez sur Suivant. 5. A partir de l'écran Nouvel objet - Unité d'organisation, indiquez le nouveau nom et cliquez sur OK. Le nouveau groupe apparaît dans le volet gauche de navigation, sous le domaine. Le nouveau groupe sera utilisé pour la synchronisation avec le groupe PolicyServer mais les utilisateurs doivent d'abord être ajoutés au groupe. 6. Effectuez un clic droit sur le nouveau groupe et sélectionnez Nouvel utilisateur. 7. À partir de l'écran Nouvel objet - Utilisateur, indiquez les informations de compte du nouvel utilisateur et cliquez sur Suivant. 8. Indiquez et confirmez le mot de passe du domaine du nouvel utilisateur et cliquez sur Suivant pour continuer Remarque Décochez l'option L'utilisateur doit modifier son mot de passe lors de la prochaine connexion et cochez Le mot de passe n'expire jamais afin de simplifier les tests ultérieurs 9. Lorsque vous êtes invité à terminer l'opération, cliquez sur Terminer. Ce contrôleur de domaine est configuré avec une nouvelle unité d'organisation et un utilisateur dans ce groupe. Afin de synchroniser ce groupe avec PolicyServer, installez PolicyServer et créez un groupe pour la synchronisation. Cette section présume que PolicyServer est déjà installé. 10. Connectez-vous à PolicyServer MMC. 11. Effectuez un clic droit sur l'entreprise et sélectionnez Créer un groupe de niveau supérieur. 12. Indiquez le nom et la description du groupe et cliquez sur Appliquer. 13. Afin de configurer la stratégie de synchronisation, ouvrez le groupe et accédez à Commun > Authentification > Connexion au réseau. 3-15

60 Guide d'installation de Trend Micro Endpoint Encryption Ouvrez Nom unique et indiquez le nom unique complet depuis l'organisation AD configurée afin d'effectuer la synchronisation avec ce groupe et cliquez sur OK. Remarque Le format de nom unique pour une unité d'organisation intitulée Ingénierie sur un domaine appelé test.home est le suivant : OU=Engineering,DC=TEST,DC=HOME 15. Ouvrez Nom de domaine et indiquez le nom de domaine NetBIOS utilisé pour configurer le serveur AD. Lorsque la stratégie PolicyServer est configurée, la configuration finale requise est de créer la configuration de synchronisation via l'outil de configuration de la synchronisation AD. Cet outil permet aux administrateurs de créer des informations d'identification AD pour chaque unité d'organisation synchronisée et chaque contrôleur de domaine. 16. Pour accéder à l'outil Configuration de la synchronisation AD, accédez au dossier d'installation de Policy Server et ouvrez ADSyncConfiguration.exe PolicyServer - L'outil de la synchronisation AD s'ouvre 3-16

61 Installation de PolicyServer 17. Cliquez sur Ajouter pour spécifier les informations d'identification de l'unité d'organisation AD. Remarque Pour les serveurs nécessitant des informations d'identification supplémentaires, les utilisateurs peuvent entrer le nom d'utilisateur et le mot de passe d'administrateur pour se connecter au contrôleur de domaine via cet outil. 18. Sortez de l'outil Configuration de la synchronisation AD. La synchronisation entre AD et PolicyServer est terminée. La synchronisation se fera toutes les 45 minutes (il s'agit de l'intervalle de synchronisation par défaut utilisé par les contrôleurs de domaine Microsoft). Vous pouvez forcer la synchronisation en arrêtant et redémarrant les services Windows PolicyServer. La synchronisation du domaine s'exécute peu après le démarrage des services Windows PolicyServer et toutes les 45 minutes par la suite. 3-17

62 Guide d'installation de Trend Micro Endpoint Encryption Proxy LDAP facultatif Le proxy LDAP facultatif permet l'authentification du domaine/authentification unique (SSO) via un serveur proxy externe se trouvant dans la DMZ d'un client. Remarque L'installation du proxy LDAP est requise pour les environnements hôtes utilisant l'authentification unique (SSO)/authentification de domaine. Les versions de proxy LDAP antérieures à 3.1 ne sont plus prises en charge. Les clients existants utilisant un proxy LDAP doivent effectuer une mise à niveau vers la version 3.1. Configuration requise pour LDAP TABLEAU 3-6. Spécifications matérielles et logicielles pour LDAP Processeur PHASE CONFIGURATION REQUISE Processeur Intel Core 2 ou compatible. Mémoire Minimum : 2 Go Espace disque Minimum : 30 Go Requis : 20 % d'espace disque disponible Connectivité réseau Le serveur doit se trouver sur le domaine et disposer d'un accès à AD Le serveur doit avoir une adresse accessible via Internet Un proxy entrant doit être autorisé PolicyServer doit avoir accès au serveur IIS de ce serveur Systèmes d'exploitation Windows Server / 64 bits Windows Server 2008 ou 2008 R2 32 / 64 bits 3-18

63 Installation de PolicyServer PHASE Applications et paramètres CONFIGURATION REQUISE Rôle du serveur d'application IIS Autoriser les pages Active Server Autoriser ASP.NET.Net Framework 2.0 SP2 Liste de contrôle matériel du proxy LDAP TABLEAU 3-7. Liste de contrôle matériel du proxy LDAP SERVEUR PROXY LDAP COMMENTAIRES Informations sur Windows Server Version de SE Niveau de Service Pack Information matérielle Marque Mémoire RAM Modèle CPU Serveur IIS Microsoft.NET SP 2.0 SP1 ou version ultérieure 3-19

64 Guide d'installation de Trend Micro Endpoint Encryption SERVEUR PROXY LDAP COMMENTAIRES Informations sur le réseau Adresse IP Masque de sousréseau Nom de l'hôte Nom de domaine Informations d'identification du domaine disponibles (uniquement pour SSO) 3-20

65 Chapitre 4 Installation du client Endpoint Encryption Chaque application Endpoint Encryption dispose d'une installation et d'une configuration minimale requise uniques. Pour obtenir des informations détaillées sur l'utilisation et la configuration de l'application de point final, consultez le Manuel de l'administrateur Endpoint Encryption. Ce chapitre aborde les sujets suivants : Éléments à prendre en compte avant l'installation à la page 4-2 Liste de contrôle préalable au déploiement et plates-formes prises en charge à la page 2-3 Installation de Full Disk Encryption à la page 4-2 Installation de FileArmor à la page 4-13 KeyArmor à la page

66 Guide d'installation de Trend Micro Endpoint Encryption Éléments à prendre en compte avant l'installation Avant de continuer, préparez les éléments suivants : Copiez les fichiers d'installation de point final sur le dispositif. Toutes les applications de clients de points finaux requièrent l'installation de Microsoft.NET Framework 2.0 SP1 ou version ultérieure. Remarque Pour installer des clients de points finaux sur Windows 8, la compatibilité avec Microsoft.NET Framework 3.5 est requise. L'installation de Full Disk Encryption et de FileArmor peut être automatisée. L'installation de produits nécessite les privilèges d'administrateur. Pour obtenir des détails sur les plates-formes prises en charge et les autres éléments à prendre en compte avant le déploiement, voir Liste de contrôle préalable au déploiement et plates-formes prises en charge à la page 2-3. Installation de Full Disk Encryption Full Disk Encryption est destiné à fournir une sécurité complète pour les données des points finaux en fournissant une authentification forte obligatoire et le chiffrement complet du disque. Full Disk Encryption n'assure pas seulement la sécurité des fichiers de données mais également des applications, des paramètres de Registre, des fichiers temporaires, des fichiers d'échange, des spouleurs d'impression et des fichiers supprimés. Une authentification forte préalable au démarrage limite l'accès au système d'exploitation hôte vulnérable jusqu'à ce que l'utilisateur soit validé. Options préalables au déploiement Pour minimiser l'impact sur les utilisateurs finaux et simplifier le déploiement de masse, désactivez temporairement le chiffrement de disque. Lorsque la compatibilité est 4-2

67 Installation du client Endpoint Encryption confirmée, le chiffrement peut être réactivé en tant que partie du déploiement de produit standard. TABLEAU 4-1. Activer/Désactiver le chiffrement de dispositif PARAMÈTRE DE CONFIGURATION OPTIONS CHEMIN DU SERVEUR POLICYSERVER Chiffrement de dispositif Oui/Non Full Disk Encryption > PC > Chiffrement > Chiffrer le périphérique Liste de contrôle préalable à l'installation Avant d'installer l'application, le programme d'installation de Full Disk Encryption vérifie le système cible pour s'assurer que toutes la configuration système requise est respectée. Pour obtenir des informations supplémentaires, consultez le fichier PreInstallCheckReport.txt situé dans le répertoire d'installation après l'exécution du programme d'installation. Pour des informations détaillées sur la configuration requise du serveur et du système, voir Liste de contrôle préalable à l'installation de Full Disk Encryption à la page C-1 Configuration système requise pour Full Disk Encryption Ce chapitre décrit la configuration système requise minimale et recommandée nécessaire à l'installation de Full Disk Encryption. TABLEAU 4-2. Configuration système requise pour Full Disk Encryption Processeur PHASE CONFIGURATION REQUISE Processeur Intel Core 2 ou compatible. Mémoire Minimum : 1 Go Espace disque Minimum : 30 Go Requis : 20 % d'espace disque disponible Requis : 256 Mo d'espace disque libre contigu 4-3

68 Guide d'installation de Trend Micro Endpoint Encryption PHASE Connectivité réseau CONFIGURATION REQUISE Une communication avec PolicyServer est requise pour les installations gérées Systèmes d'exploitation Windows 8 (32/64 bits) Windows 7 (32/64 bits) Windows Vista avec SP1 (32/64 bits) Windows XP avec SP3 (32 bits) Autres logiciels Programmes supplémentaires pour Windows 8 : Microsoft.NET Framework 3.5 est activé Pour les dispositifs munis de UEFI, consultez Préparation du dispositif à la page 4-5 pour modifier la séquence de démarrage. Programmes supplémentaires pour Windows XP : Microsoft.NET Framework 2.0 SP1 ou ultérieur Microsoft Windows Installer 3.1 Disque dur Lecteurs DriveTrust de Seagate Lecteurs Seagate OPAL et OPAL 2 Remarque Les disques RAID et SCSI ne sont pas pris en charge. Full Disk Encryption pour Windows 8 ne prend pas en charge les disques RAID, SCSI, edrive ou OPAL 2. Autre matériel Contrôleur de disque dur ATA, AHCI ou IRRT Préparation disque dur Full Disk Encryption chiffre chaque secteur du disque physique. Puisque bon nombre d'applications, y compris le système d'exploitation, évitez d'utiliser tout l'espace sur le 4-4

69 Installation du client Endpoint Encryption disque dur physique, car les secteurs peuvent être endommagés ou le lecteur peut être extrêmement fragmenté. Remarque Trend Micro recommande d'exécuter un petit projet pilote sur les nouvelles installations et les mises à niveau avant de déployer la compilation la plus récente de Full Disk Encryption. Si vous avez des questions ou besoin d'une assistance technique, contactez l'assistance Trend Micro. Préparation du dispositif Procédure 1. Déconnectez tous les périphériques de stockage USB. Vous pouvez les reconnecter après l'installation. 2. Assurez-vous que le lecteur sur lequel le système d'exploitation est installé n'est pas entièrement chiffré et que BitLocker est désactivé. 3. Pour les dispositifs Windows 8 prenant en charge le BIOS UEFI, modifiez la séquence de démarrage sur Mode hérité d'abord. a. À partir de Windows 8, maintenez la touche Maj. enfoncée et redémarrez le dispositif. Le dispositif redémarre et le BIOS UEFI se charge. b. Cliquez sur la mosaïque Résolution des problèmes. L écran Options avancées s'ouvre. c. Cliquez sur la mosaïque Paramètres du microprogramme UEFI. Si la mosaïque Paramètres du microprogramme UEFI n'existe pas, le dispositif n'utilise pas UEFI et aucune modification n'est donc requise. d. Définissez UEFI/Séquence de démarrage héritée sur Mode hérité d'abord. e. Redémarrez le dispositif. 4-5

70 Guide d'installation de Trend Micro Endpoint Encryption Préparation du lecteur Procédure 1. Exécutez l'utilitaire de défragmentation Windows sur le lecteur système. 2. Assurez-vous que le lecteur système dispose au moins de 256 Mo d'espace disponible. 3. Exécutez l'utilitaire d'intégrité de disque Windows (requiert le redémarrage). a. À l'aide d'un script ou de l'invite de commande, exécutez chkdsk/f/r et programmez-le pour vérifier le disque après le prochain redémarrage du système. b. Redémarrez le dispositif. c. Remplacez le lecteur si chkdsk rapporte plusieurs secteurs défectueux. 4. Vérifiez le lecteur pour un MBR (enregistrement de démarrage principal) et confirmez qu'un secteur de démarrage normal est présent sur la partition de démarrage. Par exemple, un ordinateur à double démarrage contient un secteur de démarrage modifié. Remarque GPT n'est actuellement pas pris en charge. 5. Copiez le logiciel d'installation de Full Disk Encryption sur le lecteur système Windows. Remarques importantes concernant les versions de DataArmor antérieures à SP7 (incluse) SP6 et antérieures : 4-6

71 Installation du client Endpoint Encryption Dans le BIOS, vérifiez que le contrôleur de disque est réglé sur le mode ATA ou AHCI. Pour les ordinateurs portables avec une station d'accueil, séparez-les des stations multi-baies avant de procéder à l'installation du logiciel. Intel Rapid Recovery Technology (IRRT) : Certains nouveaux systèmes prennent l'irrt en charge dans le BIOS. Si le contrôleur de disque BIOS est configuré pour le mode IRRT, il devra être modifié en mode AHCI avant l'installation de Full Disk Encryption. IRRT doit être prise en charge par le système d'exploitation. Logiciel Intel Matrix Manager : Par défaut, Windows XP ne possède pas d'installation du logiciel Intel Matrix Manager. Les paramètres doivent être faits dans le BIOS, sans une reconstruction de système d'exploitation. Windows Vista dispose d'un logiciel Intel Matrix Manager par défaut. Remarque Si le paramètre de fonctionnement SATA de Windows VISTA est modifié et que Full Disk Encryption est installé, Windows ne démarrera pas. Revenez à IRRT et Vista se chargera normalement. Installation de Full Disk Encryption Cette section décrit comment installer Full Disk Encryption sous Windows. Types d'installation Full Disk Encryption peut être installé en mode géré ou non géré, en fonction des besoins spécifiques de l'entreprise. 4-7

72 Guide d'installation de Trend Micro Endpoint Encryption TYPE DÉTAILS Gérés Les stratégies d'authentification et de chiffrement sont gérées par PolicyServer. Type d'installation le plus courant pour les dispotitifs normalement connectés à PolicyServer. Non gérés Les stratégies d'authentification et de chiffrement sont gérées directement dans Full Disk Encryption et la console de restauration. Convient aux dispotitifs qui ne sont pas gérés de manière centralisée par PolicyServer. Options d'installation Installez Full Disk Encryption manuellement ou créez des scripts pour automatiser les tâches d'installation. TABLEAU 4-3. Options d'installation de Full Disk Encryption OPTION DÉTAILS Automatisé Requiert un logiciel de gestion de système : Tivoli, SCCM/SMS ou LANDesk ainsi qu'un script d'installation. Méthode recommandée pour les entreprises avec un grand nombre de points finaux. Manuelle Installation simple directement depuis Windows, par l'installateur graphique ou la ligne de commande. Convient aux petites entreprises, aux déploiements d'essai ou aux installations individuelles. Installation automatisée L'installation de Full Disk Encryption à l'aide de scripts automatise le processus et simplifie la distribution du logiciel au sein de l'entreprise. Voir Utilisation de scripts pour automatiser les installations à la page 4-20 pour obtenir des informations détaillées. 4-8

73 Installation du client Endpoint Encryption Installation gérée Une installation de Full Disk Encryption gérée est le type d'installation le plus courant pour les dispositifs normalement connectés au serveur PolicyServer. Les stratégies d'authentification et de chiffrement sont gérées par PolicyServer. Cette section aborde les étapes d'installation de base pour un point final géré. Avant de continuer, assurez-vous de : Consulter la Configuration système requise pour Full Disk Encryption à la page 4-3 Vérifier la Préparation disque dur à la page 4-4 AVERTISSEMENT! La configuration du système insuffisante ou la préparation de disque dur peuvent entraîner une perte de données irréversible. Configuration requise Les installations gérées requièrent : Le client est connecté au serveur PolicyServer lors de l'installation. PolicyServer doit être configuré avec une entreprise, le nom d'hôte et l'adresse IP. Remarque Trend Micro recommande l'utilisation du nom de domaine complet de PolicyServer. Si l'adresse IP PolicyServer ou le nom d'hôte change, alors il n'est pas nécessaire de procéder à une mise à jour manuelle de chaque client. Le compte d'utilisateur doit appartenir à un groupe PolicyServer et détenir l'autorisation d'ajouter des périphériques à ce groupe. AVERTISSEMENT! Les comptes d'authentificateur/administrateur d'entreprise PolicyServer ne peuvent pas servir à l'installation de Full Disk Encryption. Le compte d'installation doit disposer de privilèges d'administrateur local. 4-9

74 Guide d'installation de Trend Micro Endpoint Encryption Si l'authentification du domaine/authentification unique est activée, le nom d'utilisateur doit correspondre à Active Directory. Le mot de passe d'active Directory est alors utilisé. Installation de Full Disk Encryption en tant que client géré Consultez la configuration requise avant d'installer Full Disk Encryption en tant que client géré. Pour obtenir des informations détaillées, voir Configuration système requise pour Full Disk Encryption à la page 4-3. Une fois Full Disk Encryption installé, l'ordinateur redémarre, dans le cas d'un chiffrement logiciel, ou s'éteint, dans le cas d'un chiffrement matériel. Remarque Il est interdit d'utiliser un compte administrateur/authentificateur à l'installation. Procédure 1. Copiez le pack d'installation de Full Disk Encryption sur le disque dur local. 2. Exécutez TMFDEInstall.exe. Remarque Si la fenêtre Contrôle de compte d'utilisateur apparaît, cliquez sur Oui pour autoriser le programme d'installation à effectuer des changements sur le dispositif. La fenêtre de bienvenue dans l'installation s'affiche. 3. Sélectionnez Installation gérée et cliquez sur Suivant. L'écran Installation gérée s'affiche. 4. Indiquez les informations d'identification au compte utilisateur, l'adresse du server PolicyServer et l'entreprise, puis cliquez sur Suivant. L'installation de Full Disk Encryption démarre. Le programme se ferme après l'achèvement de l'installation, ce qui peut prendre plusieurs minutes. 4-10

75 Installation du client Endpoint Encryption Conseil Si l'installation gérée échoue, utilisez l'id du périphérique situé dans la partie inférieure droite de l'écran d'installation pour vérifier si le périphérique existe déjà dans PolicyServer. L'ID du périphérique s'affiche uniquement après un échec d'installation. 5. Sur l'écran de confirmation, cliquez sur Oui pour redémarrer/éteindre le dispositif. L'installation de Full Disk Encryption est terminée lorsque le pre-boot s'affiche. Le chiffrement du disque commence après le démarrage de Windows. Que faire ensuite Lorsque le pre-boot de Full Disk Encryption se charge, l'utilisateur doit ouvrir une session avant d'avoir accès à Windows. Si la stratégie est définie, l'utilisateur devra peutêtre modifier son mot de passe une fois connecté. Installation non gérée Une installation non gérée de Full Disk Encryption est identique à une installation gérée mais les informations d'identification des utilisateurs et les stratégies sont destinées uniquement au dispositif client. Installation de Full Disk Encryption en tant que client non géré Consultez la configuration requise avant d'installer Full Disk Encryption en tant que client géré. Pour obtenir des informations détaillées, voir Configuration système requise pour Full Disk Encryption à la page 4-3. Une fois Full Disk Encryption installé, l'ordinateur 4-11

76 Guide d'installation de Trend Micro Endpoint Encryption redémarre, dans le cas d'un chiffrement logiciel, ou s'éteint, dans le cas d'un chiffrement matériel. Procédure 1. Copiez le pack d'installation de Full Disk Encryption sur le disque dur local. 2. Exécutez TMFDEInstall.exe. Remarque Si la fenêtre Contrôle de compte d'utilisateur apparaît, cliquez sur Oui pour autoriser le programme d'installation à effectuer des changements sur le dispositif. La fenêtre de bienvenue dans l'installation s'affiche. 3. Sélectionnez Installation non gérée et cliquez sur Suivant. L'écran Installation non gérée s'ouvre. 4. Indiquez le nom d'utilisateur et le mot de passe d'un nouveau compte à utiliser pour se connecter au client non géré, puis cliquez sur Suivant. L'installation commence. 5. Sur l'écran Installation terminée, cliquez sur Fermer. 6. Sur l'écran de confirmation, cliquez sur Oui pour redémarrer/éteindre le dispositif. L'installation de Full Disk Encryption est terminée lorsque le pre-boot s'affiche. Le chiffrement du disque commence après le démarrage de Windows. Que faire ensuite Lorsque le pre-boot de Full Disk Encryption se charge, l'utilisateur doit ouvrir une session avant d'avoir accès à Windows. 4-12

77 Installation du client Endpoint Encryption Installation de FileArmor Utilisez le chiffrement FileArmor pour protéger les fichiers et les dossiers se trouvant virtuellement sur tout dispositif apparaissant comme disque sur le système d'exploitation hôte. Aperçu du déploiement de FileArmor Procédure 1. Activer FileArmor dans PolicyServer MMC. 2. Configurer les stratégies de FileArmor : a. Clé de chiffrement utilisée b. Dossiers à chiffrer c. Utiliser un média amovible d. Méthode d'authentification 3. Configurer les groupes et les utilisateurs. 4. Créer et tester le pack d'installation. 5. Vérifier que les paramètres de stratégies sont appliqués tes que définis. 6. Préparer les communications avec les utilisateurs finaux. Paramètres de stratégie requis pour FileArmor Procédure 1. La décision préalable au déploiement la plus importante pour FileArmor est de sélectionner la clé de chiffrement correcte : Clé utilisateur : Seul l'utilisateur peut accéder au fichier chiffré. 4-13

78 Guide d'installation de Trend Micro Endpoint Encryption Clé de groupe : Tous les utilisateurs du groupe de stratégies peuvent accéder au fichier. Clé de l'entreprise : Tous les utilisateurs de tous les groupes peuvent accéder à ce fichier. 2. La deuxième décision est liée aux stratégies pour supports amovibles de FileArmor. Toutes les stratégies se trouvent sous : FileArmor > Chiffrement > Support amovible. TABLEAU 4-4. Stratégies de FileArmor à configurer STRATÉGIE Support amovible Périphériques USB autorisés Chiffrer entièrement le périphérique Désactiver lecteur USB DESCRIPTION Active la protection du périphérique de stockage USB. Permet l'utilisation de n'importe quel périphérique de stockage USB ou uniquement les périphériques KeyArmor. Chiffre automatiquement tous les fichiers copiés sur le périphérique de stockage USB. Défini sur Toujours, Déconnecté ou Jamais. 3. Détermine s'il faut utiliser FileArmor pour chiffrer automatiquement les dossiers sur le périphérique hôte. Les fichiers copiés dans un dossier sécurisé sont automatiquement chiffrés. Par défaut, un dossier chiffré par FileArmor est créé sur le bureau. Utilisez Chiffrement > Spécifier les dossiers à chiffrer pour créer des dossiers sécurisés sur le périphérique hôte. Utilisez Chiffrement > Support amovible > Dossiers à chiffrer sur le support amovible pour créer des dossiers sécurisés sur un périphérique de stockage USB. Installation de FileArmor FileArmor peut être installé à l'aide d'une des méthodes suivantes : À l'aide d'un outil d'automatisation tel que Microsoft SCCM ou SMS 4-14

79 Installation du client Endpoint Encryption Manuellement sur un ordinateur local Configuration système requise pour FileArmor TABLEAU 4-5. Configuration système requise pour FileArmor Processeur PHASE CONFIGURATION REQUISE Processeur Intel Core 2 ou compatible. Mémoire Minimum : 512 Mo Recommandé : 1 Go Espace disque Minimum : 2 Go Requis : 20 % d'espace disque disponible Connectivité réseau Une communication avec PolicyServer est requise pour les installations gérées Systèmes d'exploitation Windows 8 (32/64 bits) Windows 7 (32/64 bits) Windows Vista avec SP1 (32/64 bits) Windows XP avec SP3 (32 bits) Autres logiciels Programmes supplémentaires pour Windows 8 : Microsoft.NET Framework 3.5 est activé Pour les dispositifs munis de UEFI, consultez Préparation du dispositif à la page 4-5 pour modifier la séquence de démarrage. Programmes supplémentaires pour Windows XP : Microsoft.NET Framework 2.0 SP1 ou ultérieur Microsoft Windows Installer

80 Guide d'installation de Trend Micro Endpoint Encryption Autres éléments requis L'utilisateur qui procède à l'installation doit disposer des droits d'administrateur sur le périphérique. Copiez et exécutez le pack d'installation localement. Configurez un mot de passe fixe pour tous les utilisateurs de PolicyServer. Le compte d'utilisateur doit appartenir à un groupe PolicyServer et détenir l'autorisation d'ajouter des périphériques à ce groupe. Remarque Les comptes d'authentificateur/administrateur d'entreprise PolicyServer ne peuvent pas servir à l'installation de FileArmor. Installation manuelle de FileArmor Le processus d'installation manuelle implique d'exécuter un programme d'installation sur le client et de suivre les instructions pas à pas. FileArmor peut être installé par les administrateurs ou les authentificateurs de groupe PolicyServer ou par les utilisateurs habituels. Procédure 1. Exécutez FASetup.msi pour les systèmes d'exploitation 32 bits ou FASetup(x64).msi pour les systèmes d'exploitation 64 bits. L'assistant d'installation de FileArmor est prêt pour l'installation. 2. Cliquez sur Suivant. Remarque Si vous êtes invité par Contrôle de compte d'utilisateur, cliquez sur OUI. 3. Lorsque l'installation est terminée, cliquez sur Fermer. 4. Cliquez sur Oui pour redémarrer Windows. 4-16

81 Installation du client Endpoint Encryption Lorsque le périphérique redémarre, le logiciel FileArmor est installé et deux icônes FileArmor s'affichent : une en raccourci sur le bureau et l'autre sur la barre d'état système. Installation automatique de FileArmor Installer FileArmor à l'aide de scripts automatise le processus et simplifie la distribution du logiciel au sein de l'entreprise. Voir Utilisation de scripts pour automatiser les installations à la page 4-20 pour obtenir des informations détaillées. KeyArmor Les lecteurs USB KeyArmor garantissent la sécurité des données grâce au chiffrement matériel activé en permanence et à une protection contre les virus/programmes malveillants intégrée. Cet ensemble répond aux exigences de conformité réglementaires et aux demandes gouvernementales rigoureuses. Grâce à KeyArmor, les administrateurs ont une visibilité et un contrôle parfait de qui utilise un lecteur USB dans l'entreprise, quand, où et comment. Configuration système requise pour KeyArmor Le tableau suivant reprend les configurations minimales pour l'utilisation d'un périphérique amovible USB KeyArmor. TABLEAU 4-6. Configuration système requise pour KeyArmor PHASE CONFIGURATION REQUISE Matériel Port USB 2.0 Connectivité réseau Une communication avec PolicyServer est requise pour les installations gérées 4-17

82 Guide d'installation de Trend Micro Endpoint Encryption PHASE CONFIGURATION REQUISE Systèmes d'exploitation Windows 7 (32/64 bits) Windows Vista avec SP1 (32/64 bits) Windows XP avec SP3 (32 bits) Autres logiciels Un logiciel supplémentaire est nécessaire lors de l'installation sous Windows XP : Microsoft.NET Framework 2.0 SP1 ou ultérieur Composants de périphérique KeyArmor contient deux lecteurs montés lorsque le périphérique est inséré dans le port USB : FIGURE 4-1. Périphériques KeyArmor KeyArmor (E:) contient les fichiers programme KeyArmor. SECURE DATA (F:) est le stockage utilisateur de KeyArmor. KeyArmor procède au chiffrement de tous les fichiers stockés dans ce lecteur. Aperçu du déploiement de KeyArmor Similaire à Full Disk Encryption et FileArmor, l'aperçu du déploiement de KeyArmor est le suivant : 1. Activez KeyArmor dans PolicyServer. 2. Configurez les stratégies applicables pour KeyArmor : 4-18

83 Installation du client Endpoint Encryption Méthode d'authentification Une connexion avec le serveur doit exister Un utilisateur par périphérique Échec de la connexion Options de mise à jour de l'antivirus 3. Configurer les groupes et les utilisateurs. 4. Préparer l'authentification des périphériques et les mots de passe. 5. Préparer les communications avec les utilisateurs finaux. Directives pour les utilisateurs finaux de KeyArmor Si le périphérique est connecté à un port USB 2.0, il est automatiquement détecté et configuré par Windows. À la réception d'un nouveau périphérique, les utilisateurs finaux doivent effectuer un processus de configuration unique. L'utilisation de KeyArmor ne requiert rien d'autre qu'un nom d'utilisateur et un mot de passe valides. KeyArmor chiffre automatiquement les fichiers stockés dans le périphérique KeyArmor. Les activités Ouvrir, Afficher, Déplacer ou Copier des fichiers vers un périphérique hôte ne peuvent être initiées que par un utilisateur et effectuées uniquement après l'authentification auprès du périphérique KeyArmor. Protection des fichiers KeyArmor Les fichiers ou dossiers enregistrés sur KeyArmor sont automatiquement chiffrés. Seule une personne qui se connecte au périphérique à l'aide d'un nom d'utilisateur et d'un mot de passe valides peut s'y connecter. Les fichiers restent chiffrés tant qu'ils restent stockés sur KeyArmor. 4-19

84 Guide d'installation de Trend Micro Endpoint Encryption Pour s'assurer d'avoir toujours les dernières définitions de l'antivirus, Trend Micro recommande de ne pas copier de fichiers sur le périphérique KeyArmor jusqu'à ce que la mise à jour initiale de l'antivirus soit terminée. AVERTISSEMENT! Pour retirer les périphériques KeyArmor en toute sécurité, procédez comme suit : 1. Sélectionnez Se déconnecter dans l'application KeyArmor. 2. Effectuez un clic droit sur l'icône KeyArmor dans la barre d'état système et sélectionnez Se déconnecter. Retirer un périphérique KeyArmor en toute sécurité permet d'éviter l'usure prématurée et la perte de données. Utilisation de scripts pour automatiser les installations L'exécution de scripts sur les installations est une opération plus courante pour les déploiements à grande échelle à l'aide d'outils automatisés tels que Microsoft SMS ou Active Directory. L'Assistant d'installation de ligne de commande (voir Assistant d'installation de ligne de commande à la page 4-22 pour plus d'informations) est un outil utilisé pour créer des scripts. Les arguments disponibles permettent des installations entièrement ou partiellement silencieuses. AVERTISSEMENT! La configuration du système insuffisante ou la préparation de disque dur peuvent entraîner une perte de données irréversible. Configuration requise Tous les scripts d'installation doivent être exécutés localement et non pas à partir d'un partage réseau ou d'un lecteur USB. Les scripts doivent être exécutés en tant qu'administrateurs locaux. 4-20

85 Installation du client Endpoint Encryption Les scripts d'installation doivent être testés dans un programme pilote. Arguments de script Le tableau ci-dessous explique les arguments disponibles pour compiler les scripts afin d'installer automatiquement les clients points finaux. TABLEAU 4-7. Arguments scriptés Full Disk Encryption pour les installations automatisées ARGUMENT : VALEUR REMARQUES ENTERPRISE Nom de l'entreprise Vous pouvez trouver le nom de l'entreprise dans votre fichier de licence. hôte Nom d'hôte DNS ou adresse IP Le nom ou l'emplacement du serveur PolicyServer. USERNAME Administrateur de groupe Authentificateur de groupe Utilisateur de groupe (si l'installation permettre l'activation de la stratégie) Un compte d'administrateur d'entreprise ou d'authentificateur ne peut pas être utilisé pour installer Full Disk Encryption. PASSWORD Mot de passe pour le nom d'utilisateur spécifié Mot de passe configuré dans PolicyServer pour l'utilisateur ou mot de passe de domaine. TABLEAU 4-8. Arguments scriptés FileArmor pour les installations automatisées ARGUMENT : VALEUR REMARQUES PSENTERPRISE Nom de l'entreprise Vous pouvez trouver le nom de l'entreprise dans votre fichier de licence. PSHOST Nom d'hôte DNS ou adresse IP Le nom ou l'emplacement du serveur PolicyServer. 4-21

86 Guide d'installation de Trend Micro Endpoint Encryption ARGUMENT : VALEUR REMARQUES FAUSERNAME Administrateur de groupe Authentificateur de groupe Utilisateur de groupe (si l'installation permettre l'activation de la stratégie) Un compte d'administrateur d'entreprise ou d'authentificateur ne peut pas être utilisé pour installer FileArmor. FAPASSWORD Mot de passe pour le nom d'utilisateur spécifié Mot de passe configuré dans PolicyServer pour l'utilisateur ou mot de passe de domaine. Aide de l'installateur de ligne de commande L'assistant du programme d'installation de la ligne de commande (CommandLineInstallerHelper.exe) peut générer des scripts utilisés pour installer Full Disk Encryption, FileArmor et PolicyServer. Des options permettent de chiffrer et de masquer les informations de compte d'installation et en sélectionnant les différentes options rapides. Les résultats de script sont facilement copiés dans le pressepapiers pour l'exportation. L'outil dispose de deux onglets : un pour les clients et l'autre pour PolicyServer. Remarque L'installation de ligne de commande de PolicyServer est prise en charge dans les versions et ultérieures. Lorsque vous utilisez l'assistant d'installation de ligne de commande : N'exécutez les scripts d'installation que sur un client de point final, pas à partir d'un réseau. Exécutez les scripts en tant qu'administrateur local. Testez d'abord les scripts d'installation sur un programme pilote. Passez en revue tous les éléments de la liste de contrôle de préinstallation de Full Disk Encryption et FileArmor avant d'exécuter n'importe quelle distribution de masse de logiciels. 4-22

87 Installation du client Endpoint Encryption Full Disk Encryption et FileArmor sont conformes aux outils automatisés de distribution de logiciels comme SMS, SCCM, Tivoli, GPO et LANDesk. Création de scripts d'installation de PolicyServer Les informations minimales requises pour créer un script sont : l'adresse de la base de données primaire et les informations d'identification de l'administrateur le chemin du programme d'installation PolicyServer Important l'installation avec script n'est prise en charge que par la version ou ultérieure de PolicyServer. Procédure 1. la fourniture de tous les renseignements requis. 2. la fourniture des informations supplémentaires si nécessaire. 3. Cliquez sur Générer la commande. Le champ code Policy Server Installer Command se remplit automatiquement. 4. Cliquez sur Copier dans le presse-papiers. Le script résultant est copié dans le presse-papiers. Création de scripts d'installation du client Les informations suivantes sont requises pour générer un script d'installation silencieuse : Nom d'hôte ou adresse IP de PolicyServer, nom de l'entreprise, nom d'utilisateur, mot de passe, chemin d'accès et numéro de version du programme d'installation du client point final. 4-23

88 Guide d'installation de Trend Micro Endpoint Encryption Procédure 1. Fournissez les informations requises dans les champs de texte appropriés. 2. Sélectionnez les options que vous souhaitez inclure dans le script. 3. Cliquez sur Générer la commande. Les scripts sont générés. 4. Cliquez sur la commande Copier Full Disk Encryption ou sur la commande Copier FileArmor. Le script résultant est copié dans le presse-papiers. Aide de ligne de commande L'outil Aide de ligne de commande est utilisé pour créer des valeurs chiffrées pouvant être utilisées pour sécuriser des informations d'identification lorsque vous écrivez un script d'installation à déployer ou utilisez la connexion automatique DA. L'outil Aide de ligne de commande se trouve dans le dossier des outils FileArmor. Remarque L'outil Assistant de ligne de commande ne peut être exécuté que sur des systèmes sur lesquels PolicyServer, Full Disk Encryption ou FileArmor est installé étant donné qu'il utilise le module cryptographique Mobile Armor. Le programme accepte une chaîne unique comme seul argument et renvoie une valeur chiffrée à utiliser dans le script d'installation. Les signes «=» de début et de fin font partie de la chaîne chiffrée entière et doivent être inclus dans la ligne de commande. Si la valeur est chiffrée et ne retourne pas de signe de début =, alors un signe Égal doit être ajouté au script. Des options permettent de chiffrer et de masquer les informations de compte d'installation et en sélectionnant les différentes options rapides. Les résultats de script sont facilement copiés dans le presse-papiers pour l'exportation. 4-24

89 Installation du client Endpoint Encryption TABLEAU 4-9. Arguments pour l'aide de ligne de commande ARGUMENTS FONCTION FULL DISK ENCRYPTION FULL DISK ENCRYPTION CHIFFRÉ FILEARMOR Entreprise ENTERPRISE eenterprise PSENTERPRISE PolicyServer hôte ehost PSHOST Nom d'utilisateur USERNAME eusername FAUSERNAME Mot de passe PASSWORD epassword FAPASSWORD Remarque Le programme d'installation de FileArmor peut automatiquement prendre en charge les valeurs chiffrées. Exemple de script Full Disk Encryption Une seule valeur peut être passée à l'assistant de ligne de commande. Totuefois, elle peut être exécutée autant de fois que nécessaire pour réunir toutes les valeurs chiffrées. Emplacement du logiciel = C:\Program Files\Trend Micro\Full Disk Encryption\TMFDEInstaller.exe ENTREPRISE = MyCompany HÔTE = PolicyServer.mycompany.com eusername = GroupAdministrator epassword = Remarque Dans cet exemple, le nom d'utilisateur ainsi que le mot de passe seront chiffrés. Où installer Full Disk Encryption : 4-25

90 Guide d'installation de Trend Micro Endpoint Encryption C:\Program Files\Trend Micro\Full Disk Encryption \TMFDEInstaller.exe ENTERPRISE=MyCompany HOST= PolicyServer.mycompany.com eusername==jjujc/lu4c/ Uj7yYwxubYhAuCrY4f7AbVFp5hKo2PR4O epassword==5mih67ukdy7t1van2iswgqq= Exemple de script FileArmor il s'agit d'un exemple d'un script d'installation de FileArmor pour un périphérique exécutant un système d'exploitation 32 bits. Pour les périphériques 64 bits, utilisez plutôt FASetup(x64).msi. Emplacement du logiciel = C:\Program Files\Trend Micro \FileArmor\FASetup.msi PSEnterprise = MyCompany PSHost = PolicyServer.mycompany.com FAUser = GroupAdministrator FAPassword = Remarque Dans cet exemple, le nom d'utilisateur ainsi que le mot de passe seront chiffrés. Brève description pour installer FileArmor : C:\Program Files\Trend Micro\FileArmor\FASetup.msi PSEnterprise=MyCompany PSHost= PolicyServer.mycompany.com FAUser==jJUJC/Lu4C/Uj7yYwxubYhAuCrY4f7AbVFp5hKo2PR4O= FAPassword==5mih67uKdy7T1VaN2ISWGQQ= 4-26

91 Chapitre 5 Mises à niveau, migrations et désinstallations Ce chapitre décrit plusieurs aspects relatifs à la mise à jour, la gestion, la migration et la désinstallation de toute application Trend Micro Endpoint Encryption. Les rubriques présentées dans ce chapitre incluent : Mise à niveau du serveur et du logiciel client à la page 5-2 Mise à niveau vers Windows 8 à la page 5-8 Gestion des correctifs avec Full Disk Encryption à la page 5-9 Remplacement d'un produit de chiffrement précédemment installé à la page 5-11 Migration de points finaux vers un nouveau serveur PolicyServer à la page 5-13 Désinstallation d'application clientes à la page

92 Guide d'installation de Trend Micro Endpoint Encryption Mise à niveau du serveur et du logiciel client Cette section explique comment effectuer la mise à niveau du logiciel client Endpoint Encryption et de PolicyServer. Mise à niveau de PolicyServer Avant d'effectuer la mise à niveau de PolicyServer, notez ce qui suit : Tous les serveurs et services frontaux PolicyServer doivent être arrêtés avant de terminer la mise à niveau de la base de données. Lorsque vous mettez à niveau plusieurs PolicyServers connectés à la même base de données : 1. Assurez-vous que seul un PolicyServer effectue la mise à niveau de la base de données. 2. Arrêtez les services Windows PolicyServer sur tous les PolicyServers sauf un. 3. Effectuez la mise à niveau sur le serveur actif. 4. Lorsque la mise à niveau est terminée et que la base de donnée se réplique, effectuez la mise à niveau sur les serveurs restants. Si le proxy LDAP Trend Micro est utilisé, mettez à niveau le proxy LDAP avant d'effectuer la mise à niveau vers PolicyServer Remarque Trend Micro ne prend actuellement pas en charge les environnement PolicyServer hébergés. Mise à niveau des bases de données et services PolicyServer Le programme d'installation de PolicyServer configure les paramètres de la base de données et installe les services Windows. Dans la version PolicyServer 3.1.3, il est désormais possible de spécifier un numéro de port pour le service Web PolicyServer. Un 5-2

93 Mises à niveau, migrations et désinstallations second port est désormais nécessaire pour le service Web client. S'il n'existe pas de second port, un nouveau sera créé pendant le processus d'installation. Pour de plus amples informations sur la nouvelle architecture, consultez Composants d'endpoint Encryption à la page 1-2. Pour utiliser Endpoint Encryption pendant une période d'évaluation limitée, le nom de l'entreprise et le compte d'administrateur d'entreprise peuvent être configurés lors de l'installation. PolicyServer fonctionne normalement avec toutes les applications client, les périphériques illimités et jusqu'à 100 utilisateurs pour une période d'évaluation de 30 jours. Après 30 jours, contactez l'assistance technique pour recevoir un fichier de licence. Les utilisateurs et les périphériques peuvent toujours se connecter après l'expiration de la période d'évaluation. Procédure 1. Exécutez PolicyServerInstaller.exe. 2. Lisez attentivement le Contrat de Licence Utilisateur Final. Si vous êtes d'accord, cliquez sur Accepter. 3. Vérifiez la version de PolicyServer et cliquez sur Mise à niveau. 4. Dans l'écran Connexion au service Windows, les paramètres par défaut conviennent pour la plupart des installations. Cliquez sur Continue. 5. Dans l'écran Connexion de l'administrateur de base de données, entrez le nom d'hôte (localhost) ou l'adresse IP du serveur Microsoft SQL ainsi que le nom d'utilisateur et le mot de passe d'un compte avec le rôle d'administrateur système pour l'instance SQL spécifiée. Remarque Pour des environnements disposant de plusieurs instances de serveur SQL, modifiez l'instance SQL à la fin du nom d'hôte PolicyServer ou de l'adresse IP utilisée. Utilisez la syntaxe suivante pour spécifier une instance : <nom d'hôte ou adresse IP>\<instance base de données> Le programme d'installation vérifie la connexion de base de données. 5-3

94 Guide d'installation de Trend Micro Endpoint Encryption Dans la fenêtre Question PolicyServer, cliquez sur Oui pour effectuer une sauvegarde des bases de données existantes, ou sur Non pour écraser les données existantes. FIGURE 5-1. Message relatif à la sauvegarde des bases de données 7. Dans l'écran Connexion à la base de données, entrez les informations d'identification du compte précédemment utilisé par PolicyServer pour gérer les transactions de données (Service Windows PolicyServer). Si ce compte n'est pas disponible, entrez les informations d'identification pour créer un compte. 8. Dans l'écran Emplacement de l'installation du service Web, spécifiez le site IIS que PolicyServer MMC et le service Web du client utiliseront pour communiquer avec PolicyServer. Le numéro de port par défaut est Si le port 8080 est déjà utilisé, le numéro de port disponible suivant sera attribué. a. Sélectionnez un site dans le menu déroulant Site cible. b. Vérifiez le port actuellement attribué et, si nécessaire, indiquez un autre numéro de port dans le champ Nouveau port. Remarque Trend Micro recommande de réserver le port 80 pour le service Web client. c. Cliquez sur Continue. 9. L'étape suivante est conçue pour configurer le service Web client, qui est le site IIS que tous les clients Endpoint Encryption utilisent pour communiquer avec PolicyServer. Selon la disponibilité ou non de deux emplacements IIS, l'un des écrans suivants s'ouvre : 5-4

95 Mises à niveau, migrations et désinstallations Si un second site IIS est disponible, l'écran Emplacement des services Web client s'affiche. a. Sélectionnez un site dans le menu déroulant Site cible. b. Vérifiez l'attribution du port par défaut pour le service Web client. Remarque Trend Micro recommande de garder le numéro de port 80. Toutefois, si nécessaire, indiquez un numéro de port différent dans le champ Nouveau port. Le numéro de port doit être un entier positif compris entre 1 et c. Cliquez sur Continue. Si un second site IIS n'est pas disponible, l'écran Créer un emplacement de service Web client s'affiche pour configurer un nouvel emplacement IIS. a. Entrez un nom pour l'emplacement IIS dans le champ Nom du site. b. Naviguez vers l'emplacement du site. Si aucun dossier n'existe encore, créez-en un. c. Entrez l'adresse IP et le numéro de port du nouvel emplacement IIS. Remarque Trend Micro recommande de garder le numéro de port 80. Toutefois, si nécessaire, indiquez un numéro de port différent. Le numéro de port doit être un entier positif compris entre 1 et d. Cliquez sur Continue. 10. Dans l'écran Emplacement de l'installation du service Web mobile, vérifiez les paramètres et cliquez sur Continuer. 11. Dans l'écran Créer une connexion d'entreprise et d'administrateur, spécifiez le nouveau nom d'entreprise et les informations d'identification d'un nouveau compte d'administrateur d'entreprise utilisé pour gérer PolicyServer pendant la période d'évaluation initiale. 12. Cliquez sur Continue. 5-5

96 Guide d'installation de Trend Micro Endpoint Encryption Le processus d'installation commence. 13. Dans le message Installation de PolicyServer, cliquez sur OK 14. Cliquez sur Terminé. 15. Dans la fenêtre du programme d'installation de PolicyServer, cliquez surquitter. 16. Redémarrer le serveur. Mise à niveau de PolicyServer MMC PolicyServer MMC doit être supprimé à l'aide de la fonction Ajout/Suppression de programmes de Windows avant de pouvoir installer une nouvelle version. Procédure 1. Accédez à Démarrer > Panneau de configuration > Ajout/Suppression de programmes. 2. Sélectionnez le composant logiciel enfichable PolicyServer MMC dans la liste et cliquez sur Supprimer. 3. Cliquez sur Oui pour supprimer PolicyServer MMC. 4. Exécutez PolicyServerMMCSnapinSetup.msi. 5. Cliquez sur Suivant pour lancer l'assistant de configuration de PolicyServer MMC. 6. Lisez attentivement le contrat de licence, sélectionnez J'accepte si vous acceptez les termes, puis cliquez sur Suivant. 7. Sélectionnez le dossier d'installation ou laissez l'emplacement par défaut et cliquez sur Suivant. 8. Cliquez sur Suivant pour confirmer l'installation. Le processus de mise à niveau commence. 9. Cliquez sur Fermer pour terminer l'installation. 10. Cliquez sur Oui pour redémarrer le dispositif (facultatif). 5-6

97 Mises à niveau, migrations et désinstallations 11. Après vous êtes reconnecté au serveur, ouvrez PolicyServer MMC depuis le raccourci sur le bureau. La mise à niveau de PolicyServer MMC est terminée. Authentifiez-vous auprès de PolicyServer MMC à l'aide des informations d'identification de l'administrateur de l'entreprise. Remarque Consultez le Manuel de l'administrateur d'endpoint Encryption pour les tâches postérieures à l'installation, telles que l'activation des applications, la création de dispositifs et d'utilisateurs ainsi que la configuration de stratégies. Mise à niveau de Full Disk Encryption Le programme d'installation de la mise à niveau de Full Disk Encryption (TMFDEUpgrade.exe) prend en charge DataArmor SP7g ( ) et DataArmor Pour effectuer une mise à niveau à partir de DataArmor SP7g, le dispositif doit être connecté au serveur PolicyServer. Pour les versions antérieures de DataArmor et de DriveArmor, désinstallez l'application et redémarrez le dispositif avant d'installer Full Disk Encryption. Remarque Les systèmes d'exploitation utilisant une autre langue que l'anglais et qui exécutent actuellement une version plus ancienne de Full Disk Encryption (DataArmor ou 3.1.2) continueront à utiliser la version anglaise après la mise à niveau. Pour effectuer une mise à niveau vers une langue prise en charge, commencez pas désinstaller l'application précédente, puis installez Full Disk Encryption Pour de plus amples informations sur la désinstallation de Full Disk Encryption, consultez Désinstallation de Full Disk Encryption à la page Procédure 1. Copiez le pack d'installation de Full Disk Encryption sur le disque dur local. 2. Exécutez TMFDEUpgrade.exe. 5-7

98 Guide d'installation de Trend Micro Endpoint Encryption Remarque Si le contrôle Windows UAC s'ouvre, cliquez sur Oui pour continuer. 3. Lorsque le message de notification apparaît à la fin de la mise à niveau, redémarrez le dispositif. Mise à niveau de FileArmor Utilisez FA_313_Upgrade.exe pour mettre à niveau un dispositif à partir de FileArmor ou FileArmor FA_313_Upgrade.exe se trouve dans le dossier des outils du répertoire d'installation de FileArmor. Remarque FA_313_Upgrade.exe contourne la stratégie Autoriser l'utilisateur à désinstaller et effectue la mise à niveau, que la stratégie soit définie sur Oui ou Non. Procédure 1. Exécutez FA_313_Upgrade.exe. Windows Installer désinstalle l'ancienne version de FileArmor, puis installe FileArmor Une fois cela terminé, Windows redémarre. 2. Une fois Windows redémarré, ouvrez une session et vérifiez le nouveau dossier FileArmor. Les fichiers et dossiers chiffrés sont inchangés. Mise à niveau vers Windows 8 Endpoint Encryption ne prend pas en charge la mise à niveau vers Windows 8. Si une mise à niveau est requise, Trend Micro recommande de suivre cette procédure afin d'éviter la perte de données lorsque Full Disk Encryption ou FileArmor est installé sur le client de point final. KeyArmor ne prend pas en charge l'environnement Windows

99 Mises à niveau, migrations et désinstallations Procédure 1. Suivez les instructions du Manuel de l'administrateur Endpoint Encryption pour déchiffrer le dispositif. 2. Désinstallez les applications du client de point final : Pour de plus amples informations sur la désinstallation de Full Disk Encryption, consultez Désinstallation de Full Disk Encryption à la page Pour de plus amples informations sur la désinstallation de FileArmor, consultez Désinstallation de FileArmor à la page Mettez à niveau ou installez le système d'exploitation Windows 8. Remarque Ce document n'explique pas comment installer l'environnement Windows 8. Pour de plus amples informations, consultez la documentation utilisateur appropriée de Microsoft. 4. Vérifiez que l'environnement Windows 8 est stable et que la mise à niveau a réussi. 5. Réinstallez les applications du client de point final : Pour de plus amples informations sur l'installation de Full Disk Encryption, consultez Installation de Full Disk Encryption à la page 4-2. Pour de plus amples informations sur l'installation de FileArmor, consultez Installation de FileArmor à la page Gestion des correctifs avec Full Disk Encryption Utilisez les outils Aide de ligne de commande et Connexion automatique DA ensemble sur les dispositifs Windows sur lesquels Full Disk Encryption est installé pour une gestion fluide des correctifs. L'Assistant de ligne de commande crée des valeurs chiffrées pour des scripts et la Connexion automatique DA vous octroie un contournement à usage unique du pre-boot de Full Disk Encryption. 5-9

100 Guide d'installation de Trend Micro Endpoint Encryption La Connexion automatique DA peut être utilisée avec différentes combinaisons pour répondre à des besoins différents. Les correctifs peuvent être émis, suivis d'un script à l'aide de la Connexion automatique DA, pour envoyer une commande de redémarrage afin que la fenêtre Windows GINA s'affiche sur le dispositif pour confirmer l'application du correctif ou pour lancer un autre lot de correctifs. La connexion automatique DA peut accepter les connecteurs suivants : Connexion automatique DA <Nom d'utilisateur préalable au démarrage> <mot de passe préalable au démarrage> [<Nom de domaine> <nom d'utilisateur du domaine> <mot de passe du domaine>] Chaque valeur requise peut être insérée et séparée par un espace. L'ajout de connecteurs de domaine permet l'authentification Windows. Remarque Exécutez les deux outils sur un dispositif sur lequel Full Disk Encryption est installé. Les deux outils sont disponibles dans le dossier des outils du fichier zip fourni par Trend Micro. Si vous avez besoin d'aide, contactez l'assistance Trend Micro. Utilisation de l'aide de ligne de commande Les outils Aide de ligne de commande et Connexion automatique DA peuvent être utilisés ensemble pour une gestion fluide des correctifs de Full Disk Encryption. L'aide de ligne de commande vous permet d'entrer des valeurs chiffrées via votre script vers le pre-boot de Full Disk Encryption. La Connexion automatique DA vous octroie un contournement à usage unique du pre-boot de Full Disk Encryption. Procédure 1. Copiez CommandLineHelper.exe localement vers le dispositif sur lequel Full Disk Encryption est installé. (Dans cet exemple, CommandLineHelper.exe est copié dans C:\). 2. Ouvrez l'invite de commande, entrez C:\CommandLineHelper.exe, puis spécifiez le nom d'utilisateur ou le mot de passe qui sera utilisé. Si le nom 5-10

101 Mises à niveau, migrations et désinstallations d'utilisateur est SMSUser, la commande est la suivante : C: \CommandLineHelper.exe SMSUser. 3. Cliquez sur Retour pour afficher la valeur chiffrée. 4. Exécutez à nouveau l'aide de ligne de commande pour la deuxième valeur chiffrée. Si le premier chiffrement concernait le nom d'utilisateur, exécutez une nouvelle fois la commande pour chiffrer le mot de passe. Processus d'application des correctifs de Full Disk Encryption Procédure 1. Envoyez les correctifs vers les dispositifs ciblés. 2. Effectuez un suivi grâce à un script utilisant la Connexion automatique DA. 3. Envoyez une commande de redémarrage afin que la fenêtre Windows GINA se charge sur le dispositif pour confirmer l'application du correctif ou pour lancer un autre lot de correctifs. Remplacement d'un produit de chiffrement précédemment installé Full Disk Encryption peut être installé sur un dispositif précédemment chiffré par un autre produit de chiffrement de disque complet. Étant donné que la plupart des logiciels de chiffrement affectent chaque secteur d'un disque dur, il est essentiel de tester le processus de préparation de disque et la stratégie de déploiement. En fonction du temps requis pour déchiffrer un dispositif et effectuer le chiffrement à l'aide de Full Disk Encryption, vous pouvez choisir de simplement sauvegarder les données utilisateur et de reconfigurer un dispositif avant d'installer Full Disk Encryption. 5-11

102 Guide d'installation de Trend Micro Endpoint Encryption Option 1: Supprimer le produit de chiffrement précédent Procédure 1. Déchiffrez le disque en utilisant la méthode définie par le vendeur du logiciel. 2. Désinstallez le logiciel précédemment installé (ou vérifiez que BitLocker est désactivé). 3. Redémarrez le dispositif. 4. Exécutez chkdsk et défragmentez le lecteur. 5. Vérifiez la présence, sur chaque dispositif, d'un Master Boot Record (MBR) normal et confirmez qu'un secteur de démarrage normal est présent sur la partition de démarrage. Remarque Le dispositif ne doit pas fonctionner avec un double démarrage. 6. Sauvegardez les fichiers de l'utilisateur. 7. Installez Full Disk Encryption. Pour obtenir des informations détaillées, voir Installation de Full Disk Encryption à la page 4-2. Option 2: Sauvegarder le dispositif et en créer une nouvelle image Procédure 1. Sauvegardez les fichiers de l'utilisateur. 2. Renouvelez l'image du dispositif : a. À partir d'une invite de commande, exécutez DiskPart Clean All. b. Créez une partition. 5-12

103 Mises à niveau, migrations et désinstallations c. Formatez le lecteur. d. Créez une image du lecteur. 3. Installez Full Disk Encryption et chiffrez le dispositif. 4. Restaurez les fichiers de l'utilisateur. Migration de points finaux vers un nouveau serveur PolicyServer Cette section explique comment modifier le serveur PolicyServer qui contrôle les stratégies d'un point final. Ceci est utile lorsqu'un utilisateur final va dans un autre département ou unité commerciale gérée par une instance de PolicyServer différente. Modification du serveur PolicyServer de Full Disk Encryption Les paramètres du serveur PolicyServer de Full Disk Encryption peuvent être configurés en accédant à la console de restauration à partir du pre-boot de Full Disk Encryption ou en exécutant C:\Program Files\Trend Micro\Full Disk Encryption \RecoveryConsole.exe. Gestion des paramètres PolicyServer Procédure 1. Ouvrez l'onglet PolicyServer. Il existe deux champs de texte : Serveur actuel et Entreprise actuelle. Pour modifier l'entreprise actuelle : a. Cliquez sur Modifier l'entreprise. b. Lorsqu'un message d'avertissement s'affiche, cliquez sur Oui. 5-13

104 Guide d'installation de Trend Micro Endpoint Encryption c. Saisissez le nom d'utilisateur du nouveau serveur, le mot de passe, l'entreprise et le nom du serveur, puis cliquez sur Enregistrer. AVERTISSEMENT! Modifier l'entreprise exige une nouvelle configuration des stratégies, la recréation des groupes et la suppression de tout mot de passe mis en cache, de l'historique de mots de passe et des journaux d'audits. Pour modifier le serveur actuel : a. Cliquez sur Modifier le serveur. b. Lorsqu'un message d'avertissement s'affiche, cliquez sur Oui. c. Entrez l'adresse du nouveau serveur et cliquez sur Enregistrer. 2. Cliquez sur Cancel pour revenir à l'écran des options de menu de la Console de restauration. Déplacement de Full Disk Encryption vers une nouvelle entreprise AVERTISSEMENT! Modifier l'entreprise exige une nouvelle configuration des stratégies, la recréation des groupes et la suppression de tout mot de passe mis en cache, de l'historique des mots de passe et des journaux d'audits. Procédure 1. Ouvrez la console de restauration. Il existe deux méthodes d'ouverture de la console de restauration : À partir du pre-boot de Full Disk Encryption : a. Cochez la case Console de restauration. 5-14

105 Mises à niveau, migrations et désinstallations b. Entrez de nouvelles informations d'identification et cliquez sur Connexion. À partir de Windows : a. Accédez à C:\Program Files\Trend Micro\Full Disk Encryption\. b. Exécutez RecoveryConsole.exe. c. Entrez de nouvelles informations d'identification et cliquez sur Connexion. 2. Cliquez sur Configuration réseau. 3. Sélectionnez l'onglet PolicyServer. 4. Cliquez sur Modifier l'entreprise. L'écran Modifier l'entreprise s'affiche. FIGURE 5-2. Écran Modifier l'entreprise de la console de restauration. 5-15