Présentation SafeGuard Easy

Page 1 su [Utimaco Safeware] Présentation SafeGuard Easy Page 1

Page 2 su SOMMAIRE 1. PRESENTATION GENERALE...3 2. ADMINISTRATION...8 3. SUPPORT UTILISATEUR...25 4. UTILISATION...33 5. DIVERS...44 6. SPECIFICATIONS...46 Page 2

Page 3 su 1. Présentation générale Les ordinateurs individuels contiennent fréquemment des données spécifiques à des personnes, des informations confidentielles relatives à une entreprise ou d autres données sensibles. Le vol d ordinateurs portables, par exemple, est un danger qu il ne faut pas sous-estimer. Les informations ultraconfidentielles de clients sur l ordinateur portable de type Notebook d un collaborateur du service commerciale ou management pourraient tomber entre les mains d un concurrent et être ainsi dommageables pour l entreprise. Pour se protéger de tels risques sans investir un temps considérable dans l implémentation de mesures de sécurité, SafeGuard Easy est la solution idéale. Comment SafeGuard Easy protège-t-il les postes de travail des accès non autorisées? Les fonctions de sécurité principales du programme sont l authentification au démarrage (pre-boot), le chiffrement de données et la protection du secteur d amorçage. Les gros avantages de SafeGuard Easy sont les suivants : Efficacité de la confidentialité des données enregistrées Implémentation rapide du programme Très grande convivialité et transparence pour l utilisateur Concept de sécurité approprié pour de nombreux domaines d application SafeGuard Easy est simple à installer et ne requiert que peu d organisation. Il est ainsi particulièrement bien approprié pour les ordinateurs portables mais convient parfaitement à la protection de tout PC. Page 3

Page 4 su Fonctions de sécurité centrales Chiffrement Contrôle d accès avec l authentification avant amorçage (PBA) Protection des zones d'amorçage Autres fonctions de sécurité Authentification par mot de passe, token Aladdin ou RSA Authentification biométrique (capteurs IBM/Lenovo) Chiffrement des médias externes (clés USB, Disquettes, Zip, Jazz) Prise en charge d IBM Thinkvantage technologies Auto-logon avec l ouverture de session Windows Déblocage des utilisateurs à distance Support des modes veille et hibernation Support Wake On LAN sécurisé Règles étendues pour mots de passe et codes PIN de token Log et Audit dans la PBA et le système d'exploitation Base de données d'administration centrale en option Mot de passe utilisateur commun pour SafeGuard Easy et Windows (synchronisation de mot de passe) Scripting Interface Installation basée sur Windows Installer Gestionnaire d'amorçage intégré (Double-amorçage) Réutilisation de fichiers de configuration de versions plus anciennes Démarrage de secours possible d une disquette, d un CD ou d une clé USB Prise en charge du nouveau Aladdin Token (etoken 64 K et NG OTP) Module d extension SafeGuard pour le Token Management System (TMS) d Aladdin Compatibilité avec le service de copie d instantané de volume de Windows XP Evaluations : SafeGuard Easy est évalué Critères Communs EAL3 niveau moyen. SafeGuard Easy est évalué FIPS 140-2 level 1. SafeGuard Easy est évalué VS-NfD (environnement militaire). Page 4

Page 5 su 1.1. Installation SafeGuard Easy se compose de différents "modules" qui fonctionnent indépendamment l'un de l'autre. Les différents modules se présentent sous forme de paquets MSI Ces modules sont disponibles : SGEasy.msi Runtime.msi Server.msi Client Application pour SafeGuard Easy Système exécutable Composant SafeGuard Easy Server Il est possible d installer la solution de différentes manières : Locale Automatisée : Le mode silencieux peut être mis en place grâce à la génération d un fichier de configuration. 1.2. Chiffrement La fonction principale de SafeGuard Easy est le chiffrement des données des supports les plus divers, tels que par exemple les disques durs, les disquettes et les clés USB. Le chiffrement de disquettes et de périphériques amovibles offre l avantage que l ensemble des données circulantes sont inaccessibles au monde extérieur. Sur un ordinateur PC avec chiffrement activé, les disquettes normales en texte clair sont illisibles. Le chiffrement avec des clés respectivement différentes peut être exécuté en utilisant divers algorithmes (AES-128, AES-256, Rijndael-256, IDEA, 3DES, DES, DES SB-II, Blowfish-8, Blowfish-16, STEALTH-40, XOR et XOR SB-I A=B). La clé n est pas stockée dans le système pour des raisons de sécurité. A chaque amorçage du système, elle est recalculée de nouveau à partir du mot de passe SafeGuard Easy de l utilisateur. Les zones du système ou des partitions isolées, ou encore un maximum de quatre disque durs, peuvent être chiffrés. Les systèmes de données suivants sont pris en charge : FAT- 12, FAT-16, FAT-32, HPFS, NTFS et NTFS5. Page 5

Page 6 su 1.3. Démarrage du système et ouverture de session SafeGuard Easy apporte un mécanisme d authentification avant amorçage (PBA). Quand l authentification avant amorçage est activée, le démarrage du poste n est possible qu avec les données d accès SafeGuard Easy. A partir du mot de passe saisi, la clé de déchiffrement d un disque dur chiffré, requise pour l amorçage, est calculée. Selon la méthode d'authentification réglée par défaut, l'ouverture de session dans la PBA se fait : comme utilisateur régulier (avec nom d'utilisateur et mot de passe) comme utilisateur par défaut (avec mot de passe uniquement) avec clé cryptographique (avec mot de passe de token) Voir également le chapitre 4.1.1 pour plus de précisions 1.3.1. Réinitialisation de mot de passe oublié SafeGuard Easy offre un mécanisme Requête/Réponse pour réinitialiser les mots de passe "oubliés". Si l'utilisateur a besoin d'aide, il doit générer un code de requête dans la PBA en appuyant sur la touche [F9]. Puis contacter l administrateur ou le helpdesk Voir également le chapitre 4.1.2 pour plus de précisions 1.3.2. Ouverture de session automatique dans le système d exploitation SafeGuard Easy peut en option exécuter une ouverture de session automatique dans Windows. Dans SafeGuard Easy, cette fonction est appelée Ouverture de session automatique sécurisée (en abrégé SAL). Voir également le chapitre 4.1.3 pour plus de précisions Page 6

Page 7 su 1.4. Administration SafeGuard Easy peut être configuré de 3 manières différentes : Par le biais de l utilitaire d administration local d un poste équipé de SafeGuard Easy. Vous intervenez directement dans la configuration SGE de l'ordinateur. Il sert à l administration locale sur un ordinateur individuel. Via l assistant de configuration pour le déploiement. Cet outil réunit les paramètres SafeGuard Easy dans un fichier, distribué ensuite aux clients pour installation ou modification automatisée. A travers l administration centralisée. Elle administre tous les clients installés dans un réseau d entreprise et se charge également de la distribution sécurisée et centrale d éventuelles mises à jour de configuration à des groupes de clients, de l affichage de leur état actuel, ainsi que de l archivage central de sauvegardes de noyau du système. Page 7

Page 8 su 2. Administration 2.1. Déploiement 2.1.1. Installation locale Dans le cas d'une installation locale, SafeGuard Easy est installé sur un client autonome à partir du CD package du produit. Un utilisateur qui souhaite installer SafeGuard Easy doit disposer des droits d administrateur de Windows car il est nécessaire de pouvoir accéder ici au disque dur ou d installer des pilotes et services système requérant également des droits d administrateur. Les packages d installation fournis par Utimaco reposent sur la technologie MSI. 2.1.2. Installation automatisée Les administrateurs peuvent définir la configuration globale SafeGuard Easy avant de distribuer le logiciel. La fonction séparée entre l'administrateur du système et l'utilisateur permet une répartition des tâches particulièrement utile quand plusieurs ordinateurs doivent être administrés. L'administrateur du système crée sur son ordinateur un fichier de configuration et installe SafeGuard Easy à l'aide des outils de distribution habituel sur les ordinateurs des utilisateurs. Si l'administrateur du système souhaite procéder à une modification sur tous ces ordinateurs, il n'a pas à la faire directement sur les différents PC : il peut créer sur son ordinateur un autre fichier de configuration, en définir les modifications et les transmettre aux utilisateurs respectifs. Les modifications sont validées quand le fichier de configuration est exécuté sur les ordinateurs des utilisateurs. Pour automatiser l'installation, l'administrateur du système doit prendre certaines dispositions. Création d'un fichier de configuration Distribution de fichier "msi" (avec / sans Active Directory) 2.1.3. Mis à jour Si vous avez déjà installé une version antérieure de SafeGuard Easy sur votre poste de travail, il vous est facile de procéder à un changement de version. Les paramètres déjà définis (nom d utilisateur, mot de passe, etc.) sont conservés. Il n est pas nécessaire de déchiffrer le disque pour changer de version. Page 8

Page 9 su 2.2. Outils d administration 2.2.1. Administration locale Après une installation complète, SafeGuard Easy crée un dossier de même nom sous Programmes / Utimaco. L utilitaire Administration peut y être démarré. Quand l utilitaire d administration est démarré, un pop-up d ouverture de session apparaît, requérant l authentification SafeGuard Easy afin d autoriser l accès. Page 9

Page 10 su Après saisie correcte des données d utilisateur SafeGuard Easy, l utilitaire d administration apparaît. La partie de gauche présente une liste de toutes les pages de configuration disponibles. Si, dans la fenêtre de gauche, un élément de configuration est sélectionné, des détails sur les possibilités de réglage sont affichés dans la partie de droite. Les paramètres dans la partie de droite sont modifiés en double-cliquant sur l option souhaitée. Page 10

Page 11 su 2.2.2. Administration avec l assistant de configuration pour le déploiement La seule tâche de l'assistant de configuration pour le déploiement est de créer des fichiers à l'aide desquels l'installation, désinstallation et modification de SafeGuard Easy peuvent être automatisées. Dans les environnements réseau, l'administrateur envoie les fichiers de configuration aux ordinateurs des utilisateurs et les y exécute. Une fois le même fichier de configuration exécuté sur plusieurs ordinateurs, SafeGuard Easy fonctionne sur ceux-ci avec une configuration homogène. Un fichier de configuration ne dépend pas d un système particulier, c est à-dire qu il peut être utilisé avec des systèmes autres que celui sur lequel il a été créé. L essentiel est que la version de SafeGuard Easy utilisée sur les différents systèmes soit identique. Il n est pas nécessaire d installer entièrement SafeGuard Easy pour accéder l assistant de configuration pour le déploiement. Les outils d administration suffisent. L assistant peut ensuite être démarré. Page 11

Page 12 su Après le démarrage, vous déterminez d'abord dans quel but le fichier de configuration est créé. Page 12

Page 13 su Par la suite il est possible de configurer ce fichier Avec un fichier de configuration de base, les paramètres de celui-ci sont chargés; sans configuration de base, les paramètres par défaut apparaissent. Vous pouvez y configurer divers éléments : Paramètres d ordre générale (token, wake on lan, politique de mot de passe ) Chiffrement (Disque dur, disquette, clé usb, choix de l algorithme ) Profils utilisateurs (mot de passe admin, mot de passe initial utilisateur, ) Une fois le fichier configuré, il est nécessaire de déterminer le chemin dans lequel vous souhaiter l enregistrer. Il ne restera ensuite plus qu à le déployer avec vos outils et méthodes. Page 13

Page 14 su 2.2.3. Administration centralisée Pour compléter les deux précédents modes d administration, il existe une application propre qui remplit des tâches centrales. Elle administre tous les clients installés dans un réseau d entreprise et se charge également de la distribution sécurisée et centrale d éventuelles mises à jour de configuration à des groupes de clients, de l affichage de leur état actuel, ainsi que de l archivage central de sauvegardes de noyau du système. Même les clients qui ne sont qu occasionnellement connectés au réseau (clients offline) peuvent être intégrés dans l administration centrale. Le mécanisme d administration via fichiers de configuration et outil de distribution tiers de logiciel, reste utilisable et d actualité si vous préférez conserver vos outils d administration (Active Directory, Tivoli ). Mode de fonctionnement : Dans le cadre de l administration centrale, des ordinateurs clients SafeGuard Easy sont administrés d un poste central via la console d administration. La console d administration gère une base de données centrale qui contient les paramètres de configuration des clients SafeGuard Easy. Des données supplémentaires comme par ex. des modifications souhaitées de paramètres de configuration sont en outre enregistrées également dans la base de données. L administration centrale de SafeGuard Easy requiert les composants suivants: le serveur SafeGuard Easy (appelé ci-après serveur SGE) avec la base de données SafeGuard Easy (base de données SGE) la console d administration SafeGuard Easy qui contrôle la base de données sur le serveur (console d administration SGE) les ordinateurs clients SafeGuard Easy (clients SGE) Page 14

Page 15 su La base de données SGE centrale rassemble diverses informations sur les clients SGE. L administrateur SGE utilise la console d administration pour gérer les contenus de la base de données et pour générer des souhaits de modification sous forme de ce qu on appelle des requêtes. A l aide d un agent de réseau, les clients SGE lisent les modifications de configuration de la base de données via le serveur et rendent compte des modifications effectuées au serveur qui enregistre alors les nouveaux paramètres de configuration dans la base de données. La communication avec le serveur SGE est réalisée par le processus serveur SGE qui utilise une interface ODBC garantissant la plus grande flexibilité possible dans le choix du type de base de données. Page 15

Page 16 su 2.2.4. Configuration applicable au trois mode d administration (local, package, administration centralisée). 2.2.4.1. Chiffrement Les paramètres suivants sont définis dans cette fenêtre : Quels lecteurs sont chiffrés et quelles clés et algorithmes sont utilisés à cet effet. Un certain nombre d'algorithmes sont disponibles avec différents niveaux de sécurité et de performances. Page 16

Page 17 su Lecteurs pris en charge Disques durs : Disques durs IDE/SCSI Disques durs Serial-ATA ("connectables à chaud") Disques durs PCMCIA ("connectables à chaud") Disques durs Firewire ("connectables à chaud") Disques durs USB ("connectables à chaud") Disquettes : SafeGuard Easy prend en charge tout lecteur intégré dans un PC standard. Périphériques amovibles : Support mémoire USB Carte mémoire avec emplacement de lecteur intégré (carte SD, carte CF, etc.) Lenovo Microdrive Lecteur ZIP USB Lecteur ZIP parallèle Page 17

Page 18 su 2.2.4.2. Création de profil utilisateur Vous déterminez ici les utilisateurs autorisés à travailler sur un poste de travail protégé par SafeGuard Easy. Vous pouvez créer ici de nouveaux utilisateurs SafeGuard Easy, modifier des utilisateurs existants ou supprimer des utilisateurs inutiles. Vous déterminez en outre de quels droits et pouvoirs complémentaires les utilisateurs SafeGuard Easy définis disposent. SafeGuard Easy autorise l accès au système pour 16 utilisateurs au maximum. SYSTEM et USER sont définis par défaut, l'utilisateur SYSTEM ne devant jamais être supprimé. Page 18

Page 19 su Utilisateurs prédéfinis SafeGuard Easy fournit les profils d'utilisateurs prédéfinis suivants : SYSTEM Cet utilisateur est le seul à posséder les droits du niveau hiérarchique le plus élevé. Il ne peut pas modifier ses propres paramètres. Il ne peut être supprimé par personne et personne ne peut l administrer. L'utilisateur SYSTEM est le seul à pouvoir modifier les paramètres de tous les autres profils d'utilisateurs. Seul le responsable au niveau supérieur de la sécurité du système doit par conséquent pouvoir ouvrir une session avec le nom d utilisateur SYSTEM. Le mot de passe de l utilisateur SYSTEM ne doit être connu que du responsable au niveau supérieur de la sécurité. Il doit noter ce mot de passe et le conserver p. ex. dans un coffre-fort. User Comme l'utilisateur SYSTEM, l'utilisateur USER est automatiquement présent après une installation de SafeGuard Easy. Ce profil d'utilisateur dispose des droits minimum. Généralement, Utimaco conseil la création de 1 ou 2 comptes supplémentaires : Helpdesk distant Un compte «Helpdesk distant» si le déblocage de l utilisateur à distance via challenge réponse est mis en place. Administrateur délégué Un compte «Administrateur délégué» si l on veut intervenir localement sur la configuration SafeGuard Easy sans toutefois octroyer tous les droits du compte «SYSTEM». Page 19

Page 20 su Caractéristiques d utilisateur Authentification avec Token Ce paramètre indique si un utilisateur doit ouvrir une session avec un token ou non. Cette option ne peut être sélectionnée que si Token Support a été installé et l'option "Token optionnel" défini dans les paramètres généraux. Utilisateur par défaut Un utilisateur par défaut n ouvre la session qu avec son mot de passe SafeGuard Easy, dès que son authentification est demandée. Tous les autres utilisateurs doivent ouvrir leur session avec nom d'utilisateur et mot de passe. A l exception de SYSTEM, n importe quel utilisateur de SafeGuard Easy peut être défini comme utilisateur par défaut. Date d expiration La date d'expiration indique la durée de validité maximum d'un profil d'utilisateur SGE. Vous pouvez spécifier une date ou une durée (en jours) jusqu à laquelle l accès au poste est autorisé. Ce paramètre est approprié en particulier pour le cas où l utilisation d un poste de travail n est prévue que pour un certain temps, p. ex. employés temporaires ou étudiants, etc. Une fois le délai écoulé, le poste de travail est verrouillé pour l utilisateur. Ce paramètre n a aucun effet sur l utilisateur SYSTEM. Page 20

Page 21 su 2.2.4.3. Configuration du mot de passe Le mot de passe joue un rôle central dans SafeGuard Easy : A partir du mot de passe SafeGuard Easy saisi à l'authentification avant amorçage, la clé de déchiffrement d un disque dur chiffré, requise pour l amorçage, est calculée. Le mot de passe SafeGuard Easy doit être choisi avec circonspection. SafeGuard Easy met à disposition des fonctions d ouverture de session automatique sécurisée (SAL) et Synchronisation de mot de passe qui épargne l'utilisateur la redondance d authentification en lui demandant une seule fois de saisir ses données (dans la PBA). Voir également le chapitre 4.1.6 pour plus de précisions Page 21

Page 22 su 2.2.5. Activation à distance (Wake-On-Lan) Le mode Wake-On-LAN sécurisé (appelé ci-après S-WOL) de SafeGuard Easy est la méthode la plus sûre pour combiner les avantages de l activation à distance et la protection de l ordinateur par chiffrement de disque dur. SafeGuard Easy S-WOL autorise à cette fin la désactivation de l authentification avant amorçage pendant un certain nombre de redémarrages, puis sa réactivation pour par ex. distribuer un nouveau logiciel. Pendant cette période, il est impossible de procéder à une ouverture de session dans Windows (GINA verrouillée). Verrouillage de l ouverture de sessions Windows. En mode Wake On LAN, l ordinateur est protégé contre les ouvertures de session Windows locales par l utilisateur. Au lieu de la boîte de dialogue d ouverture de session Windows usuelle, le message indiquant qu'une ouverture de session sur Windows est impossible car l ordinateur a été démarré via Wake On LAN. L utilisateur a seulement la possibilité de redémarrer l ordinateur. Page 22

Page 23 su 2.2.6. Modification des paramètres de registre Pour améliorer le confort lors de la configuration, Utimaco a généré un propre modèle d administration pour l éditeur de stratégies de groupes Microsoft (Gpedit.msc). Ce modèle (nom de fichier : sguard_040c.adm) permet de définir confortablement certains paramètres SafeGuard Easy sans avoir à éditer le registre. Les paramètres du modèle d administration pour un ordinateur d utilisateur sont modifiés localement par un administrateur via l éditeur de stratégies de groupes (Gpedit.msc) ou centralement via les objets Stratégies de groupes (OSG) dans un environnement Active Directory. Les utilisateurs dans un environnement d entreprise n ont normalement pas de droits d administrateur et ne peuvent par conséquent pas modifier eux-mêmes les stratégies SafeGuard Easy. Page 23

Page 24 su 2.2.7. Audit Sur la base des événements audités, des opérations effectuées sur une station de travail peuvent être suivies de manière exacte. L audit permet de prouver par exemple des violations de droits par des tiers non autorisés. A l administrateur du système, l audit offre également une aide pour retrouver ou corriger des droits d utilisateur refusés par erreur. L'audit enregistre des événements déclenchés par des produits SafeGuard installés. L utilisateur possédant les droits appropriés peut soit visualiser les événements audités directement via l observateur d événements de Windows, soit les exporter dans un fichier défini en propre régie à fins d archivage. Les données sont soit enregistrées localement, soit transmises à distance à une station de travail centrale. Outre l audit pur des données, il existe un mécanisme de filtrage qui, grâce à une sélection ciblée des événements concernés, aide à contenir le flux de données causé par l enregistrement de tous les événements possibles. L'audit enregistre les événements SafeGuard Easy suivants : déroulement du processus d'ouverture de session à la PBA (réussite/échec) actions d'administration (création d'un utilisateur, etc.) communications avec administration centrale (client assigné au serveur, etc.) succès/échec de l'exécution de fichiers de configuration processus d'installation/désinstallation processus de chiffrement/déchiffrement Page 24

Page 25 su 3. Support utilisateur 3.1. Requêtes / Réponses SafeGuard Easy propose la procédure de Requête/Réponse pour réinitialiser des mots de passe SafeGuard Easy ou token "oubliés". Page 25

Page 26 su Mode de fonctionnement Si un utilisateur a besoin d'aide, il doit générer un code de requête. Ce code de requête est affiché sur l'ordinateur de l'utilisateur sous forme de chaîne de caractères ASCII. L'utilisateur communique à son administrateur ou helpdesk ses informations propres ainsi que le code de requête. L administrateur ou helpdesk ouvre l'assistant de déblocage à distance SafeGuard Easy et génère le code de réponse. L administrateur ou helpdesk fournit le code de réponse à l'utilisateur via téléphone ou SMS. Après saisie de ce code de réponse, l'utilisateur peut redéfinir son mot de passe. En règle générale, les droits spéciaux suivants peuvent être octroyés via Requête/Réponse : définition d'un nouveau mot de passe d utilisateur SafeGuard Easy (quand l ancien a été oublié) ouverture de session unique (par ex. pour travaux de maintenance) attribution temporaire du droit de commutation du chiffrement de disquettes (pendant la durée d'une ouverture de session) autorisation d'ouverture de session sans token autorisation d'initialisation d'un token désinstallation de SafeGuard Easy Page 26

Page 27 su L'assistant de déblocage à distance peut être installé sur un ordinateur ou sur PDA. Avantages de la procédure Requête/Réponse pas d'échange de données confidentielles l'interception de données est sans effets une connexion réseau n est pas nécessaire l'utilisateur peut reprendre son travail en très peu de temps 3.1.1. Outils Requête/Réponse Outre le procédé standard (exécutable fournit de base avec l achat d une licence SafeGuard Easy), il existe encore diverses solutions Requête/Réponse logicielles et matérielles : Pour les environnements de plus grande étendue, dans lesquels le personnel du service d'assistance ne doit pas connaître les mots de passe principaux des clients SGE, le système Requête/Réponse peut être enrivhi au moyen d'un module cryptographique matériel (CryptoServer) ou d'une solution logicielle. Console d assistance reposant sur un Hardware cryptographique (HSM) : Cryptoserver 2000 Quand on utilise le CryptoServer 2000, les mots de passe system SafeGuard Easy sont saisis une fois dans le CryptoServer 2000 et y restent mémorisés de façon sûre. Ces mots de passe ne sont pas connus du personnel du service d'assistance. Le code de réponse est généré dans le CryptoServer 2000. Le personnel du service d'assistance peut de cette manière générer un code de réponse pour les données d'utilisateur correspondantes (nom, code de requête) sans connaître personnellement le mot de passe system ou helpdesk de SafeGuard Easy. Chaque collaborateur du service d'assistance se voit attribuer à cet effet par l'administrateur du CryptoServer 2000 un compte (nom d'utilisateur, mot de passe) sur le Cryptoserver qui l'autorise à générer un code de réponse. Ce compte peut à tout moment être supprimé (par exemple quand le collaborateur quitte le service), ce qui fait que le collaborateur concerné n'est alors plus en mesure d'accéder au CryptoServer 2000. Page 27

Page 28 su Page 28

Page 29 su Console d assistance reposant sur un Software La console d assistance software fonctionne de façon similaire à la solution CryptoServer. Là non plus, le personnel du service d'assistance ne connaît pas les mots de passe de l'administrateur ou helpdesk de SafeGuard Easy. Avec cette variante logicielle (interface Web), l'information nécessaire pour générer une réponse est enregistrée dans une base de données protégée (chiffrée avec AES-256) sur un ordinateur sur lequel fonctionne le Microsoft Internet Information Service. Pour générer le code de réponse, les collaborateurs du service d'assistance s'authentifient à la page Web sur le serveur. Page 29

Page 30 su Web Self Help L'avantage de l'assistance via le Web est que les utilisateurs peuvent réinitialiser les mots de passe SGE oubliés sans faire appel au service d'assistance. Pour qu'un utilisateur soit autorisé à redéfinir lui-même son mot de passe, il doit d'abord s'enregistrer dans une base de données centrale. L'enregistrement se fait via un mécanisme spécial : l'utilisateur répond à une liste de questions. Ces réponses sont enregistrées dans la base de données. L'utilisateur enregistré est validé par l'administrateur et reçoit un courrier électronique avec un code PIN. Si l'utilisateur souhaite ensuite générer un code de réponse au moyen de l'auto-assistance via le Web pour son profil SGE enregistré, il doit saisir le code PIN et les réponses correctes. La procédure s'effectue via le Web et est donc largement accessible aux utilisateurs ; il n'est pas non plus nécessaire qu'un logiciel supplémentaire soit installé sur le client. Page 30

Page 31 su VOICE.TRUST Une autre extension possible du système Requête/Réponse est la configuration d'un serveur biométrique de VOICE.TRUST avec modules à connecter pour SafeGuard Easy ou SafeGuard PDA. Le serveur VOICE.TRUST est en mesure d'authentifier les utilisateurs appelant à leur voix (Voiceprint) et exécute automatiquement la procédure Requête/Réponse complète avec l'utilisateur via reconnaissance et synthèse vocale, 24 heures sur 24. Le personnel du service d'assistance n'est mis à contribution que dans des cas exceptionnels, ce qui permet de le libérer des tâches de routine telles que la réinitialisation de mots de passe oubliés. Page 31

Page 32 su 3.2. Cas d urgence Quand votre ordinateur affiche des messages d erreur SafeGuard Easy une fois le disque dur chiffré, le noyau du système SafeGuard Easy ne peut dans la plupart des cas pas être trouvé. Le noyau du système contient les pilotes pour SafeGuard Easy et le Master Boot Record. Les erreurs qui se sont produites peuvent être fréquemment corrigées en chargeant un noyau de système actuel sécurisé. Pour charger le noyau du système, le support doit cependant disposer à la fois d'un noyau de système intact et d'une disquette/cd/clé de USB de secours. Cette disquette/cd/clé USB contient le noyau de système sécurisé et les fichiers utiles pour corriger les erreurs SafeGuard Easy. Comme vous ne pourrez probablement pas, en cas de défaillance du système, accéder au disque dur, le noyau du système et tous les fichiers de secours doivent être toujours sauvegardés sur une disquette, un serveur de fichiers ou sur un périphérique amovible. Page 32

Page 33 su 4. Utilisation 4.1. Démarrage du système et ouverture de session 4.1.1. Authentification avant amorçage (PBA) La fonction Pre-Boot Authentication (PBA) est une fonction qui requiert une authentification avant l amorçage. Quand l authentification avant amorçage est activée, une ouverture de session n est possible qu avec les données d accès SafeGuard Easy. A partir du mot de passe saisi, la clé de déchiffrement d un disque dur chiffré, requise pour l amorçage, est calculée. Pour des raisons de sécurité, la fonction d authentification avant amorçage (PBA) ne doit jamais être désactivée! Page 33

Page 34 su Selon la méthode d'authentification réglée par défaut, l'ouverture de session dans la PBA se fait : comme utilisateur régulier (avec nom d'utilisateur et mot de passe) Page 34

Page 35 su comme utilisateur par défaut (avec mot de passe uniquement) avec clé cryptographique (avec mot de passe de token) Page 35

Page 36 su 4.1.2. Réinitialisation de mot de passe oublié SafeGuard Easy offre un mécanisme Requête/Réponse pour réinitialiser les mots de passe "oubliés". Si l'utilisateur a besoin d'aide, il doit générer un code de requête dans la PBA en appuyant sur la touche [F9]. Ce code de requête est affiché sur l'écran de l'utilisateur sous forme de chaîne de caractères ASCII (14 caractères). L'utilisateur appel ensuite le helpdesk ou son administrateur et lui fournit ses informations propres et le code de requête. Le helpdesk génère alors un code de réponse. Après saisie de ce code de réponse sur l'ordinateur de l'utilisateur, celui-ci peut, par exemple, redéfinir son mot de passe. Page 36

Page 37 su 4.1.3. Ouverture de session automatique dans le système d exploitation SafeGuard Easy peut en option exécuter une ouverture de session automatique dans Windows. Dans SafeGuard Easy, cette fonction est appelée Ouverture de session automatique sécurisée (en abrégé SAL). Après la saisie des données Windows, le SAL les place dans une plage sécurisée et y revient après chaque ouverture de session avec succès par l'utilisateur dans la PBA. Le SAL peut être également utilisée en liaison avec des cartes à puce. Page 37

Page 38 su 4.1.4. Configuration de l ouverture de session Windows Avec l'authentification avant amorçage (PBA) comme premier composant du système, SafeGuard Easy requiert une authentification. Ce n'est qu'après déverrouillage du système avec les données SafeGuard Easy valides que la boîte de dialogue d'ouverture de session de Windows apparaît. Les utilisateurs trouvent cependant souvent fastidieux de se rappeler des mots de passe différents pour avoir accès à leur ordinateur. Ceci a pour conséquence que les mots de passe sont notés par écrit, ce qui menace grandement la sécurité dans l'entreprise. Les mots de passe oubliés représentent en outre un surplus de tâches au Helpdesk dans les gros réseaux. SafeGuard Easy met donc à disposition des fonctions d ouverture de session automatique sécurisée (SAL) et Synchronisation de mot de passe qui épargne l'utilisateur la redondance d authentification en lui demandant une seule fois de saisir ses données (dans la PBA). Ouverture de session unique (SSO) dans le système d exploitation L'ouverture de session automatique est une fonction confortable pour la procédure d'ouverture de session. Un utilisateur entre une fois ses données Windows ; pour les autres ouvertures de session, la connexion à Windows s'effectue automatiquement et l'utilisateur n'a plus à s'authentifier qu'avec les données d'utilisateur SafeGuard-Easy dans la PBA. SafeGuard Easy appelle cette procédure d'ouverture de session une ouverture de session automatique sécurisée (SAL). Le SAL peut s'effectuer avec ou sans carte à puce. Ceci peut être sélectionné pendant l'installation de SafeGuard Easy. Synchronisation de mot de passe Cette fonction aide à minimiser les oublis éventuels de mot de passe en faisant du mot de passe Windows le mot de passe pour SafeGuard Easy. Le résultat en est que l utilisateur n'a plus à se rappeler qu'un seul mot de passe (celui de Windows) pour ouvrir une session à la fois dans SafeGuard Easy et dans le système d exploitation. La synchronisation du mot de passe comporte également des mécanismes permettant de conserver synchrones le mot de passe SafeGuard Easy et le mot de passe Windows après changement de ces mots de passe. Page 38

Page 39 su 4.1.5. Support Token L'authentification avec nom d'utilisateur et mot de passe ne satisfait aujourd'hui bien souvent plus aux exigences de la clientèle en matière de protection optimale contre la transmission à des tiers. Pour cette raison, SafeGuard Easy offre l'ouverture de session avec une clé cryptographique (token) USB, comme alternative à la méthode d'ouverture de session "traditionnelle" et pour améliorer la sécurité. L'ouverture de session via token est basée sur le principe de l'authentification à double facteur : un utilisateur dispose d'un token (possession), mais ne peut l'utiliser que lorsqu'il en connaît le mot de passe spécifique (connaissance). SafeGuard Easy utilise le token pour l'authentification dans la phase avant l'amorçage (PBA), c'est-à-dire avant le démarrage du système d'exploitation. Une autre option permet d'utiliser également le token pour l'ouverture de session dans les utilitaires d'administration SafeGuard, comme par exemple l'ouverture de session dans l'administration ou l'authentification via des fichiers de configuration. Dès que le token est connecté, un mot de passe est demandé. Si aucune connexion avec un token n'existe, les écrans d'ouverture de session usuels apparaissent. Si un utilisateur perd son token, l'administrateur peut lui autoriser provisoirement l'ouverture de session sans token via la procédure de Requête/Réponse. Par l'intégration du module de base de SafeGuard Advanced Security, l'ouverture de session avec token est également possible sur le système d'exploitation, le verrouillage de poste de travail Windows étant activé après déconnexion du token. Avantages d une ouverture de session avec token Les utilisateurs n'ont plus qu'à se rappeler le mot de passe du token, l'ouverture de session dans SafeGuard Easy et le système d'exploitation étant assurée par le token et l'ouverture de session automatique sécurisée (SAL), selon la configuration sélectionnée. Dans une entreprise, un concept d'administration hiérarchisé et centralisé peut être mis en œuvre, par ex. pour la création de fichiers de configuration. Le concept d'utilisateur SGE reste caché à l'utilisateur "normal" quand celui-ci ne connaît pas ses données SGE. Il est possible d utiliser le token pour des fonctions d administration uniquement ; ainsi les rôles d administration Safeguard Easy, d administration délégué, de maintenance du parc informatique, d administration système,. Peuvent être définis aisément en confiant un ou plusieurs tokens pour ces différents rôles. Page 39

Page 40 su Aladdin etoken En coopération avec la société Aladdin Knowledge Systems Germany, SafeGuard Easy prend en charge le token USB "Aladdin etoken Pro" compatible PKCS#11. Le Aladdin etoken comprend une carte à puce (cryptoprocesseur), qui non seulement peut être utilisé comme support mémoire pour l'enregistrement d'informations confidentielles sur les utilisateurs, mais également pour l'exécution d'opération cryptographiques. Les domaines d'application sont la création et la vérification de signatures numériques ou le chiffrement de données. SafeGuard Easy prend en charge les etoken d'aladdin suivant dans l'authentification avant amorçage : Aladdin Pro 16K Aladdin Pro 32K Aladdin Pro 64K / OTP* *Avec le token OTP, SGE n'utilise que la partie carte à puce et non pas le générateur d'otp (=One Time Password). Page 40

Page 41 su 4.1.6. Double-amorçage / Gestionnaire d amorçage Pour la protection de données professionnelles confidentielles, la fonction de doubleamorçage requiert deux partitions primaires, avec respectivement un système d'exploitation exécutable. Le double amorçage chiffre une partition (partition professionnelle), tandis que l'autre reste non chiffrée (partition privée). La partition professionnelle n'est accessible qu'avec le mot de passe SafeGuard Easy. La partition privée par contre n'est en aucun cas protégée par SafeGuard Easy ; les données ne sont pas chiffrées. Les partitions professionnelles et privées sont mutuellement invisibles et aucune donnée sensible de la partition professionnelle ne peut être transférée sur la partition privée non chiffrée. Quand l'échange de données entre la partition chiffrée et la partition non chiffrée est souhaité, une option le permet. Via le gestionnaire d amorçage SafeGuard Easy, vous décidez de la partition (professionnelle/privée) initialisée au démarrage de l ordinateur. Un menu de gestion d'amorçage apparaît à l'écran et montre les différents systèmes d'exploitation. La partition chiffrée requiert une authentification avec le mot de passe SafeGuard Easy dans la PBA ; avec la partition non chiffrée, aucune authentification n est nécessaire. Pour cette raison, il convient de déterminer de quel système d exploitation le démarrage doit s effectuer avant l authentification avant démarrage (éventuelle). L installation à double-amorçage requiert l activation du chiffrement de disquettes et de périphériques amovibles (lecteurs ZIP, MO). Les disquettes et les périphériques amovibles restent chiffrés dès qu on démarre l ordinateur de la partition chiffrée (domaine professionnel). Si la partition en texte clair (domaine privé) est sélectionnée, les disquettes et les périphériques amovibles ne sont pas chiffrés, mais ils peuvent être temporairement désactivés/réactivés par les utilisateurs possédant des droits d accès correspondants. Page 41

Page 42 su 4.1.7. Verrouillage du poste de travail SafeGuard Easy peut remplacer le verrouillage de poste de travail Windows normal par sa propre boîte de dialogue. Quand l'ordinateur est en mode veille, seul l'utilisateur l'ayant verrouillé peut réactiver l'interface utilisateur en entrant son mot de passe SafeGuard Easy. Ecran et interface utilisateur sont verrouillés : après appui sur [CTRL]+[ALT]+[SUPPR] et [Verrouiller ordinateur] après écoulement d'une durée (temps d'attente) en retirant le token (uniquement possible si le module de base de SafeGuard Advanced Security est présent) Page 42

Page 43 su 4.1.8. Mise en veille prolongée (hibernation) La fonctionnalité de Windows «Mise en veille prolongée» est très appréciée des utilisateurs pour interrompre provisoirement le travail. Si un ordinateur portable, par ex., st refermé en service quand la mise en veille prolongée est activée, l appareil s éteint automatiquement et revient exactement à l écran de la dernière session après un redémarrage. Pour la sauvegarde des données en veille prolongée, SafeGuard Easy propose ici une solution particulière qui n est pas propre à tout produit de chiffrement. Aperçu En mode de veille prolongée, le contenu de la mémoire de travail (RAM) est écrit dans le fichier système Hiberfile.sys, dans le répertoire principal de la partition du système d exploitation (en règle générale, le disque C), et enregistré sur le disque dur. La taille du fichier Hiberfile.sys correspond à peu près à la taille de la mémoire de travail disponible. L ordinateur est ensuite éteint. Si vous rallumez l ordinateur, le Bureau réapparaît exactement tel que vous l avez quitté à l extinction de l ordinateur, c'est-à dire que le contenu du fichier Hiberfile.sys est réécrit dans la mémoire de travail. Après désactivation du mode de veille prolongée, le fichier Hiberfile.sys est invalidé. Mise en veille prolongée SafeGuard Easy Dans une partition système d exploitation non chiffrée, la commutation de l ordinateur en veille prolongée représente un risque pour la sécurité, car la totalité du contenu de la mémoire principale est déplacé et aisément accessible à des tiers non autorisés. Dans une partition système d exploitation chiffrée, SafeGuard Easy permet d utiliser le mode de veille prolongée et de chiffrer le fichier Hiberfile.sys créé, puis de le stocker de façon sûre sur le disque dur. Toutes les données sont ainsi chiffrées à tout moment sur le disque dur. L accès au système est réservé exclusivement aux utilisateurs ayant pu s authentifier avec des données SafeGuard Easy correctes après un redémarrage de l ordinateur en mode PBA (pour autant qu elle soit activée). Page 43

Page 44 su 5. Divers 5.1. Certification FIPS 140-2 (Level 1) La certification FIPS décrit les exigences en matière de sécurité pour les modules de chiffrement. Les administrations gouvernementales des Etats-Unis et du Canada requièrent par exemple un logiciel certifié FIPS 140-2 pour les informations particulièrement critiques en matière de sécurité. Pour utiliser SafeGuard Easy dans une configuration certifiée et pour par conséquent garantir la plus grande sécurité de produit possible, le système doit être configuré de la manière suivante : Installation avec PBA Longueur de mot de passe minimum : 6 caractères Utiliser les algorithmes de chiffrement AES-128, AES-256 ou 3DES Activer le chiffrement intégral du disque dur Activer le chiffrement des disquettes/périphériques amovibles Les utilisateurs ne sont pas autorisés à activer le chiffrement des disquettes/périphériques amovibles Activer le verrouillage d écran SafeGuard Easy Lors de la définition manuelle de clés, un nombre si possible élevé de caractères aléatoires (max. 32 caractères) doit être saisi. Ne pas définir de clés banales susceptibles d être aisément devinées par un agresseur. Quand SafeGuard Easy est installé en mode FIPS, une icône apparaît dans la barre des tâches. Page 44

Page 45 su 5.2. Interface d automatisation OLE SafeGuard Easy exporte un serveur d'automatisation OLE (SGEA40.dll) qui peut être utilisé pour l'emploi programmatique du logiciel par toutes les transactions compatibles Windows Scripting Il comprend Windows Scripting Host (Visual Basic Scripting, JavaScript, Perl,...) au même titre que les applications MS Office, des pages Web et des environnements de programmation comme Visual Basic, Visual C++ et bien d'autres encore. Page 45

Page 46 su 6. Spécifications Page 46

Page 47 su [SafeGuard Easy] Page 47

Page 48 su Utimaco Safeware France 8, place Boulnois FR-75017 Paris Phone +33 (1) 56 21 25 25 Fax +33 (1) 42 67 30 00 www.utimaco.fr Allemagne (Siège) Autriche Suisse Utimaco Safeware AG Utimaco Safeware Handels Gmbh Utimaco Safeware (Switzerland) Ltd Hohemarkstrasse 22 Pfarrer Hessle Gasse 24 Schönenwerdstrasse 7 DE-61440 Oberursel AT-3002 Purkersdorf CH-8902 Urdorf Phone +49 (6171) 88-0 Phone +43 (22 31) 6 75 20 Phone +41 (1) 7 35 40 80 Fax +49 (6171) 88-1010 Fax +43 (2231) 6 75 20-9 Fax +41 (1) 7 35 40 85 Belgique Pays-Bas Grande-Bretagne Utimaco Safeware Belgium nv/sa Utimaco Safeware BV Utimaco Safeware Ltd. Greenhill Campus Cronjéstraat 10 Hamilton House, Interleuvenlaan 15 G NL-6814 AH Arnhem 111 Marlowes BE-3001 Heverlee Phone +31 (26) 3 55 75 75 UK-Hemel Hempstead Herts. HP1 1BB Phone +32 (16) 44 01 35 Fax +31 (26) 4 46 04 55 Phone +44 (14 42) 23 00 30 Fax +32 (16) 44 01 40 Fax +44 (14 42) 23 06 63 Utimaco Safeware, 03/2003 Finlande Etats-Unis Suède Utimaco Safeware Oy Utimaco Safeware Inc. Utimaco Safeware AB Vapaalantie 2 A 2 Chestnut Place Dackevägen 33 FI-01650 Vantaa Suite 310 SE-17734 Järfälla Phone +3 58 (9) 85 53-2 00 22 Elm Street Phone +46 (8) 5 84 00-6 00 Fax +3 58 (9) 85 53 20 30 US-Worcester, MA 01608 Fax +46 (8) 5 84 00-6 10 Phone +1 (5 08) 7 99 43-33 Fax +1 (5 08) 7 91-38-28 Hong Kong Utimaco Safeware Asia Ltd. 13/Floor Caltex House 258 Hennessy Road HK-Wanchai Hong Kong Phone +8 52 25 20 26 08 Fax +8 52 25 29 26 18 Page 48