Deployment Guide
Table Of Contents
- Dell Encryption Personal Guide d’installation v11.1
- Table des matières
- Présentation
- Configuration requise
- Téléchargement du logiciel
- Installation
- Assistants de configuration d'Advanced Authentication et d'Encryption Personal
- Configuration des paramètres de la console
- Désinstaller le programme d'installation principal
- Désinstaller à l'aide des programme d'installation enfants
- Programme de désinstallation de Data Security
- Descriptions des règles et des modèles
- Stratégies
- Description des modèles
- Protection avancée pour tous les lecteurs fixes et supports externes
- Norme PCI DSS
- Législation relative à la protection des données
- Législation relative à l'HIPAA
- Protection de base pour tous les lecteurs fixes et supports externes (par défaut)
- Protection de base pour tous les lecteurs fixes
- Protection de base pour le disque système uniquement
- Protection de base pour les supports externes
- Cryptage désactivé
- Extraire les programmes d'installation enfant
- Dépannage
- Glossaire
Glossaire
Advanced Authentication : ce produit fournit des options de lecteur de carte à puce. Advanced Authentication aide à la gestion de
ces nombreuses méthodes d'authentification, prend en charge la connexion aux lecteurs à chiffrement automatique et SSO, et gère les
informations d'identification de l'utilisateur et les mots de passe.
Mot de passe administrateur de cryptage : le mot de passe administrateur de cryptage est un mot de passe d'administration propre à
chaque ordinateur. Vous aurez besoin de ce mot de passe pour la majorité des modifications de configuration dans la console locale de
gestion. Il s'agit également du mot de passe qui sera demandé pour exécuter le programme LSARecovery_[hostname].exe en vue de
récupérer les données. Enregistrez et conservez-le en lieu sûr.
Client Encryption : le client Encryption est un composant du périphérique qui permet d'appliquer les règles de sécurité, qu'un point final soit
connecté au réseau, déconnecté du réseau, perdu ou volé. En créant un environnement de calcul de confiance pour les points finaux, le
client Encryption opère à un niveau supérieur du système d'exploitation du périphérique et fournit une authentification, un cryptage et une
autorisation constamment renforcés qui permettent d'optimiser la protection des informations sensibles.
Clés de cryptage : dans la plupart des cas, Encryption utilise la clé de cryptage de l'utilisateur et deux clés de cryptage supplémentaires.
Cependant, il y a des exceptions : toutes les règles SDE et la règle Identifiants Windows sécurisés utilisent la clé SDE. La règle Crypter le
fichier de pagination Windows et la règle Fichier de mise en veille prolongée Windows utilisent leur propre clé, la clé General Purpose Key
(GPK). La clé de cryptage commun rend les fichiers accessibles à tous les utilisateurs gérés sur leur périphérique de création. La clé de
cryptage de l'utilisateur rend les fichiers accessibles uniquement à l'utilisateur qui les a créés, uniquement sur le périphérique où ils ont été
créés. La clé de cryptage « Utilisateur itinérant » rend les fichiers accessibles uniquement à l'utilisateur qui les a créés sur le périphérique
Windows ou Mac protégé.
Balayage de cryptage : le processus d'analyse des dossiers à crypter afin de s'assurer que les fichiers contenus se trouvent en état de
cryptage adéquat. Les opérations de création de fichier et de renommage ne déclenchent pas de balayage de cryptage. Il est important
de savoir à quel moment une analyse de chiffrement peut avoir lieu et ce qui risque d'affecter les temps d'analyse résultants et ce, de
la manière suivante : une analyse de chiffrement se produira à la réception initiale d'une règle pour laquelle le chiffrement est activé.
Ceci peut se produire immédiatement après l'activation si le cryptage a été activé sur votre règle. - Si la règle Analyser la station de
travail lors de la connexion est activée, les dossiers à crypter seront analysés à chaque connexion de l'utilisateur. - Un balayage peut
être déclenché à nouveau en raison de certaines modifications ultérieures apportées à des règles. Toute modification de règle en relation
avec la définition des dossiers de chiffrement, les algorithmes de chiffrement, l'utilisation de clés de chiffrement (commun par rapport à
utilisateur), déclenchera une analyse. De plus, le basculement entre l'activation et la désactivation du chiffrement déclenche une analyse de
chiffrement.
Authentification avant démarrage : l'authentification avant démarrage (PBA – Preboot Authentication) joue le rôle d'extension du BIOS
ou du micrologiciel de démarrage et garantit un environnement sécurisé inviolable extérieur au système d'exploitation sous forme de
couche d'authentification fiable. L'authentification avant démarrage empêche toute lecture sur le disque dur, par exemple du système
d'exploitation, tant que l'utilisateur n'a pas confirmé les identifiants corrects.
Authentification unique (SSO – Single Sign-On) : cette méthode simplifie le processus de connexion lorsque le service Multi-Factor
Authentication est activé à la fois avant démarrage et pour la connexion Windows. Si elle est activée, l'authentification est uniquement
requise avant le démarrage et les utilisateurs sont automatiquement connectés à Windows. Si cette option n'est pas activée,
l'authentification peut être requise plusieurs fois.
Cryptage des données système (SDE) : SDE est conçu pour crypter le système d'exploitation et les fichiers programmes. Pour ce faire,
SDE doit pouvoir ouvrir sa clé lorsque le système d'exploitation démarre sans que l'utilisateur n'ait à saisir de mot de passe. Ceci a pour
but d'empêcher les altérations ou les attaques hors ligne du système d'exploitation. SDE n'est pas conçu pour être utilisé pour les données
utilisateur. Les clés de chiffrement commun et utilisateur sont destinées aux données utilisateur sensibles, car elles exigent l'utilisation
d'un mot de passe pour déverrouiller les clés de chiffrement. Les règles SDE ne cryptent pas les fichiers nécessaires au démarrage du
système d'exploitation. Elles ne nécessitent pas d'authentification avant démarrage et n'affectent en rien l'enregistrement de démarrage
principal. Au démarrage de l'ordinateur, les fichiers cryptés sont disponibles avant l'identification de l'utilisateur (pour permettre la gestion
des correctifs, les SMS et l'utilisation des outils de sauvegarde et de récupération). La désactivation de SDE déclenche le décryptage
automatique de tous les fichiers et répertoires SDE cryptés pour les utilisateurs pertinents, quelles que soient les autres règles SDE, par
exemple les règles de cryptage SDE.
TPM (Trusted Platform Module) : TPM est une puce de sécurité assurant trois fonctions majeures : stockage sécurisé, mesure et
attestation. Le client Encryption utilise TPM pour assurer sa fonction de stockage sécurisé. Le TPM peut également fournir les conteneurs
cryptés pour le coffre de logiciels.
13
Glossaire 93