Dell Encryption Enterprise for Mac Guide de l'administrateur v10.8 August 2020 Rév.
Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit. PRÉCAUTION : ATTENTION vous avertit d’un risque de dommage matériel ou de perte de données et vous indique comment éviter le problème. AVERTISSEMENT : un AVERTISSEMENT signale un risque d’endommagement du matériel, de blessure corporelle, voire de décès. © 2012-2020 Dell Inc. All rights reserved.
Table des matières Chapitre 1: Introduction.................................................................................................................. 5 Présentation........................................................................................................................................................................... 5 Chiffrement FileVault.................................................................................................................................................
Chapitre 7: Glossaire.....................................................................................................................
1 Introduction Le Guide de l'administrateur d'Encryption Enterprise pour Mac fournit les informations nécessaires pour déployer et installer le logiciel client. Sujets : • • • Présentation Chiffrement FileVault Contacter Dell ProSupport Présentation Encryption Enterprise for Mac peut gérer le chiffrement complet du disque FileVault. • • • • Encryption Enterprise for Mac : logiciel de chiffrement client chiffre toutes les données et déployant des mesures de contrôle d’accès.
2 Configuration requise Ce chapitre présente la configuration matérielle et logicielle requise pour le client. Avant d'effectuer toute opération de déploiement, assurez-vous que l'environnement de déploiement respecte les exigences suivantes. Sujets : • • Matériel du client Encryption Logiciel client Encryption Matériel du client Encryption La configuration minimale requise doit répondre aux spécifications minimales du système d'exploitation.
REMARQUE : Le support externe doit disposer d’environ 55 Mo, ainsi que d’un espace libre sur le support égal au plus gros fichier à chiffrer, pour héberger Encryption External Media. Systèmes d'exploitation Windows (32 et 64 bits) pris en charge pour accès aux supports cryptés • Microsoft Windows 7 SP1 - Entreprise - Professionnel - Ultimate • Microsoft Windows 8.1 - Windows 8.
3 Tâches associées à Encryption Client Sujets : • • • • • • • • • Installation/mise à niveau d’Encryption Enterprise for Mac Activation de Encryption Enterprise for Mac Collecte de fichiers journaux pour Encryption Enterprise Affichage de la règle et de l'état de cryptage Volumes système Récupération Support amovible Désinstallation d'Encryption Enterprise pour Mac Désinstallation d'Encryption External Media Installation/mise à niveau d’Encryption Enterprise for Mac Cette section présente le processus d'i
• • • • Security Management Server Virtual Quick Start Guide and Installation Guide (Guide de démarrage rapide et Guide d'installation de Security Management Server Virtual) Assurez-vous de disposer des URLs de serveur de sécurité et de proxy de règles. Vous en avez besoin pour l'installation du logiciel client et l'activation. Si votre déploiement utilise une autre configuration que celle par défaut, vérifiez que vous connaissez le numéro de port du serveur de sécurité.
Immédiatement après la fin de l'installation, vous devez redémarrer l'ordinateur. Si des fichiers sont ouverts dans d'autres applications et que vous n'êtes pas prêt à redémarrer, cliquez sur Annuler, enregistrez votre travail et fermez les autres applications. 15. Cliquez sur Continuer l'installation. L'installation commence. 16. Une fois l’installation terminée, cliquez sur Redémarrer. 17.
NoAuthenticateUsers [In this sample code, after one user activates the computer against the Dell Server, other users can log in without being prompted to activate.] dsAttrTypeStandard:AuthenticationAuthority * NoAuthenticateUsers [In this sample code, users from a specific domain name can log in without being prompted to activate against the Dell Server.
Version 2 [Do not modify] MaxPasswordDelay xxxx [Number of seconds to apply to the security policy, "Require password XXXX after sleep or screen saver begins." The acceptable range is 0-32400.] EMSTreatsUnsupportedFileSystemAs ignore [For handling Mac OS Extended media. Possible values are ignore, provisioningRejected, or unshieldable. ignore - the media is usable (default).
Si l’application Dell Encryption External Media ne s’affiche pas : a. b. c. d. Cliquez sur l’icône plus (+) dans le volet de droite. Accédez à /Library/Dell/EMS, puis sélectionnez Dell Encryption External Media. Cliquez sur Ouvrir. Dans Accès intégral au disque, cochez la case Dell Encryption External Media. 6. Fermez Sécurité et confidentialité. Activation de Encryption Enterprise for Mac Le processus d'activation associe les comptes d'utilisateur réseau dans Dell Server à l'ordinateur Mac.
Collecte de fichiers journaux pour Encryption Enterprise Dans Préférences système > Dell Encryption Enterprise > Volumes système, le bouton collecter les journaux en bas à droite permet à un administrateur de pré-générer des journaux pour le support. Cette action peut avoir un impact sur les performances lors de la collecte des fichiers log. DellLogs.zip contient les journaux du logiciel Encryption Enterprise pour clients Mac. Pour plus d'informations sur la collecte des journaux, voir http://www.dell.
Sa désactivation désactive le chiffrement et lance l'analyse de déchiffrement de tous les volumes complètement ou partiellement chiffrés. Cryptage utilisant FileVault pour Mac Si vous pensez utiliser le cryptage FileVault, commencez par vérifier que Dell Volume Encryption est activé. Assurez-vous que la règle Chiffrer en utilisant FileVault pour Mac est sélectionnée sur la console de gestion.
État Description Restauration à l'état d'origine en cours Le logiciel client restaure le schéma de partition à son état d'origine à la fin du processus Décryptage en cours. Il s'agit de l'équivalent de l'état Préparation du volume pour le chiffrement pour l'analyse de déchiffrement. Décrypté L'analyse de décryptage est terminée. Couleur Description Vert Partie cryptée Rouge Partie non cryptée Jaune Partie recryptée Par exemple, par une modification des algorithmes de cryptage.
Badge Statut Une icône de volume estompée indique un périphérique non monté. Raisons possibles : • • L'utilisateur peut avoir choisi de ne pas le provisionner. Le support peut être bloqué. REMARQUE : un badge de cercle rouge/barre oblique sur cette icône indique une partition qui est exclue de la protection parce qu'elle n'est pas prise en charge. Cela comprend les volumes au format FAT32. Une icône de volume saturée indique un périphérique monté.
Volumes système Activer le cryptage Les éléments suivants sont pris en charge pour le cryptage : • • Les volumes du système de fichiers d'Apple (APFS) qui partagent des supports physiques avec le volume de démarrage. Les volumes Mac OS X étendu (journalisé) et les disques système qui sont partitionnés avec le schéma de partition GPT (GUID Partition Table) Utilisez cette procédure pour activer le cryptage sur un ordinateur client si le cryptage n'était pas activé avant l'activation.
• Prise en charge de la gestion d'un volume crypté par FileVault Chiffrement FileVault d'un volume non chiffré Avec le chiffrement FileVault, un autre utilisateur sans nom s'affiche dans le PBA. Ne supprimez pas cet utilisateur, car il autorise le serveur Dell à appliquer la stratégie sur le périphérique. Si l'utilisateur PBA est supprimé, l'utilisateur doit prendre les mesures nécessaires pour commencer les déchiffrements imposés par la stratégie. 1.
;Kerberosv5;;user1@LKDC:* ;Kerberosv5;;user2@LKDC:* ;Kerberosv5;;user3@LKDC:* ;Kerberosv5;;z*@LKDC:* dsAttrTypeStandard:NFSHomeDirectory /Users/* • • Les exemples d'entrées de clé AuthenticationAuthority spécifient un modèle d'utilisateur1, utilisateur2 et utilisateur3 ou de n'importe quel identifiant utilisateur commençant par z.
b. Cliquez sur OK. REMARQUE : • Après la fin du processus de prise en charge, une nouvelle clé de récupération personnelle est générée et mise en dépôt. La clé de récupération précédente est invalidée et supprimée. Informations d'identification de compte amorçable : si vous avez le nom d'utilisateur et le mot de passe d'un compte qui est actuellement autorisé à démarrer à partir du volume. a. Entrez un nom d'utilisateur et un mot de passe. b. Cliquez sur OK. 2.
Le logiciel client ne prend pas en charge les images de mise en veille prolongée qu'utilise la fonction Safe Sleep pour activer l'ordinateur lorsque la batterie de l'ordinateur se décharge entièrement pendant la veille. Pour réduire l'impact pour l'utilisateur, le logiciel client met à jour automatiquement le mode veille du système pour désactiver l'hibernation et applique cette configuration. L'ordinateur peut toujours entrer en veille, mais l'état du système actuel est maintenu uniquement dans la mémoire.
Récupération Vous pouvez occasionnellement avoir besoin d'accéder aux données sur les disques cryptés. En tant qu'administrateur Dell, vous pouvez accéder aux disques cryptés sans les décrypter, ce qui vous fera gagner un temps considérable. Vous pourriez avoir besoin d'accéder aux données cryptées d'un utilisateur pour de nombreuses raisons, notamment dans les cas suivants : • • Une personne quitte l’entreprise et personne ne connaît son mot de passe. Un utilisateur ne se souvient pas de son mot de passe.
7. Pour enregistrer le bundle de récupération sur le volume de récupération externe ou l'ordinateur qui exécutera l'utilitaire de récupération pour effectuer l'opération de récupération, cliquez sur Télécharger, puis sur Enregistrer. 8. Entrez un emplacement pour le bundle de récupération, puis cliquez sur Enregistrer. Processus : monter le fichier .dmg 1. Copiez le bundle de récupération ainsi que le fichier Dell-Encryption-Enterprise-.dmg sur le disque USB amorçable. 2.
2. Cliquez sur Fermer. Déchiffrement du volume : cliquez sur le bouton 1. Cliquez sur Déchiffrer. Une boîte de dialogue et une barre de progression indiquent le processus de déchiffrement. 2. Une fois ce processus terminé, cliquez sur Fermer. 3. Amorcez le système sur le volume déchiffré pour pouvoir l'utiliser. Déchiffrement du volume : exécutez la commande à partir du terminal 1. Copiez la commande dans la zone Déchiffrement du volume. 2. Cliquez sur Fermer. 3. Exécutez la commande dans le terminal.
Cet emplacement doit être celui que vous utiliserez pour la récupération puisque les scripts contiennent les chemins absolus des fichiers de données. Ne copiez pas ces fichiers sur la partition Recovery HD. Dell vous recommande d'enregistrer ces fichiers à la racine d'un disque amovible, comme un disque USB.
Dell recommande de tester cette configuration avant de l'introduire dans l'environnement de production. HFS Plus ne prend pas en charge les éléments suivants : • • • Contrôle de version : les données de contrôle de version existantes sont supprimées du disque. Liens physiques : pendant l'analyse de cryptage du support amovible, le fichier n'est pas crypté. Une boîte de dialogue recommande d'éjecter le support.
Une boîte de dialogue s'affiche pour demander l'accès aux Préférences Système et le contrôle de l'ordinateur afin que le logiciel client puisse décrypter le disque. a. Cliquez sur Ouvrir les préférences système. Si Refuser est sélectionné, la désinstallation et le décryptage ne peuvent pas se poursuivre. b. Entrez le mot de passe administrateur. 2. Après que le disque est entièrement décrypté, redémarrez l'ordinateur (lorsque vous y êtes invité). 3.
4 Activation en tant qu'administrateur L'outil client offre à l'administrateur de nouvelles méthodes pour activer et examiner le logiciel client sur un ordinateur Mac. Deux méthodes d'activation sont disponibles : • • Activation à l'aide des informations d'identification d'administrateur Activation temporaire qui émule l'utilisateur sans laisser d'empreintes sur cet ordinateur. Les deux méthodes peuvent être utilisées directement via un shell, ou dans un script.
5 Utilisation de Boot Camp Sujets : • • Prise en charge de Boot Camp pour Mac OS X Récupération d'Encryption Enterprise pour Windows sur Boot Camp Prise en charge de Boot Camp pour Mac OS X REMARQUE : Lors de l’utilisation de Boot Camp, Dell Encryption Enterprise ne chiffre pas le système d’exploitation Windows. En outre, si l’appareil présente deux partitions macOS amorçables ou davantage, Encryption Enterprise chiffre uniquement le volume principal.
2. À partir de la console de gestion, copiez le bundle de restauration sur l'un des périphériques suivants : • Lecteur USB de démarrage ou • Partition FAT sur le volume Boot Camp externe 3. Arrêtez l'ordinateur doté du volume Boot Camp à récupérer. 4. Connectez le disque externe à l'ordinateur. Ce disque contient le volume Boot Camp créé à l'étape 1. 5.
6 Outil client L'outil client est une commande shell qui s'exécute sur un point de terminaison Mac. Il sert à activer le client à partir d'un emplacement distant ou à exécuter un script via un utilitaire de gestion à distance.
Tableau 1. Commandes de l'outil client (suite) Commande Objectif Syntaxe Résultats -fc IDdePériphérique ClédeRécupérationPersonnelle 10 = Échec des identifiants 11 = Échec de dépôt -fc IDdePériphérique CheminversChaînedeclé MotdepassedeChaînedeclé -fc IDdePériphérique FichierdeRécupération REMARQUE : IDdePériphérique doit être un UUID de volume logique ou résolu à exactement un LVUUID. Souvent, un point de montage ou devnode fera l'affaire.
Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -s ; echo$? Pour interroger Dell Server à propos des mises à jour de règles au nom du client et les afficher à l'écran. Library/PreferencePanes/Dell\ Encryption\Enterprise.prefPane/Contents/Helpers/client -d -plist Pour récupérer l'état du disque du client et l'imprimer.
7 Glossaire Security Server : utilisé pour les activations de Dell Encryption. Policy Proxy : utilisé pour distribuer des règles au logiciel client. Console de gestion : console d'administration de Dell Server pour tout le déploiement d'entreprise. Bouclier : vous pourrez parfois rencontrer ce nom dans la documentation et dans les interfaces utilisateur. « Bouclier » est un nom utilisé pour désigner Dell Encryption.