Dell Encryption Enterprise Guide d’installation avancée v10.9 December 2020 Rév.
Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit. PRÉCAUTION : ATTENTION vous avertit d’un risque de dommage matériel ou de perte de données et vous indique comment éviter le problème. AVERTISSEMENT : un AVERTISSEMENT signale un risque d’endommagement du matériel, de blessure corporelle, voire de décès. © 2012-2020 Dell Inc. All rights reserved.
Table des matières Chapitre 1: Introduction...................................................................................................................6 Avant de commencer............................................................................................................................................................6 Utilisation de ce Guide.........................................................................................................................................................
Chapitre 9: Scénarios couramment utilisés......................................................................................67 Client Encryption................................................................................................................................................................. 68 SED Manager (Advanced Authentication inclus) et client Encryption.........................................................................68 SED Manager et Encryption External Media...................
Chapitre 19: Glossaire..................................................................................................................
1 Introduction Ce guide présente l’installation et la configuration d’d’Encryption, de la gestion SED, du chiffrement complet de disque, de la protection Web, du pare-feu client et de BitLocker Manager. Toutes les informations relatives aux règles ainsi que leur description se trouvent dans AdminHelp. Avant de commencer 1. Installez le Dell Server avant de déployer les clients. Localisez le guide qui convient tel qu'illustré ci-dessous, suivez les instructions puis revenez à ce guide.
Utilisation de ce Guide Utilisez le présent guide dans l'ordre suivant : ● Voir Configuration requise pour connaître les prérequis du client, des informations sur le matériel et le logiciel de l'ordinateur, les limites et les modifications spéciales du registre nécessaires aux fonctions. ● Si nécessaire, voir la section Configuration avant installation pour SED UEFI et BitLocker.
2 Configuration requise Tous les clients Ces exigences s'appliquent à tous les clients. Les exigences répertoriées dans d'autres sections s'appliquent à des clients particuliers. ● Les meilleures pratiques IT doivent être suivies pendant le déploiement. Ceci inclut, sans s'y limiter, les environnements de test contrôlés pour les premiers tests et les déploiements échelonnés pour les utilisateurs.
Langues prises en charge FR : français JA : japonais PT-PT : portugais du Portugal (ibère) Chiffrement ● L'ordinateur client doit posséder une connectivité réseau pour être activé. ● Pour activer un compte Microsoft Live avec Dell Encryption, reportez-vous à cet article de la base de connaissances SLN290988. ● Pour réduire la durée du chiffrement initial, lancez l'Assistant Nettoyage de disque Windows qui supprimera les fichiers temporaires et toute autre donnée inutile.
● L'activation différée permet au compte d'utilisateur Active Directory utilisé lors de l'activation d'être indépendant du compte utilisé pour se connecter au point de terminaison. Au lieu que le fournisseur de réseau capture les informations d'authentification, l'utilisateur spécifie manuellement le compte basé sur Active Directory lorsqu'il y est invité.
Systèmes d’exploitation Windows pris en charge pour accéder à un support chiffré (32 bits et 64 bits) ○ ○ ○ ○ ○ Windows 7 SP1 : Entreprise, Professionnel, Ultimate Windows Embedded Standard 7 avec modèle de compatibilité des applications Windows 8.1 : Enterprise, Pro Windows Embedded 8.
● La gestion du chiffrement complet de disque ne prend pas en charge les configurations à double démarrage dans la mesure où il est possible de chiffrer les fichiers système de l’autre système d’exploitation, ce qui perturberait son fonctionnement. ● La réinstallation du système d'exploitation sur place n'est pas prise en charge.
Non UEFI PBA Mot de passe Windows 7 SP0-SP1 Empr. digit. X1 Carte à puce à contact Carte SIPR X1 2 1. Disponible lorsque les pilotes d'authentification sont téléchargés depuis support.dell.com. UEFI PBA - sur les ordinateurs Dell pris en charge Mot de passe Windows 10 Empr. digit. X1 Carte à puce à contact Carte SIPR X1 1. Disponible pour les ordinateurs UEFI pris en charge.
REMARQUE : Le serveur doit prendre en charge les contrôles de port. Les règles du système de contrôle de port affectent le support amovible des serveurs protégés, en contrôlant par exemple l’accès et l’utilisation des ports USB du serveur par des périphériques USB. La règle du port USB s'applique aux ports USB externes. La fonction du port USB interne n'est pas affectée par la règle du port USB.
○ Logiciel de déduplication ○ Matériel de déduplication ○ RAID fractionnés (plusieurs volumes sur un RAID unique) ○ Lecteurs SED (RAID et NON RAID) ○ Connexion automatique (Windows 7, 8/8.1) des bornes ○ Microsoft Storage Server 2012 ● Encryption sur un système d’exploitation de serveur ne prend pas en charge les configurations à double amorçage, car il est possible de chiffrer les fichiers système de l’autre système d’exploitation, ce qui perturberait son fonctionnement.
Encryption External Media Systèmes d'exploitation ● Le support externe doit disposer d'environ 55 Mo, ainsi que d'un espace libre sur le support égal au plus gros fichier à crypter, pour héberger Encryption External Media.
REMARQUE : En raison de la nature du RAID et des SED, SED Manager ne prend pas en charge le RAID. RAID=On avec disques SED présente un problème : le RAID exige un accès au disque pour la lecture et l'écriture des données associées au RAID dans un secteur élevé non disponible sur un SED verrouillé dès le début, et, pour lire ces données, ne peut pas attendre que l'utilisateur se connecte. Pour résoudre le problème, dans le BIOS, définissez l'opération SATA sur AHCI au lieu de RAID=On.
Matériel Lecteurs SED compatibles Opal ● Pour consulter la toute dernière liste de SED compatibles Opal pris en charge avec SED Manager, reportez-vous à cet article de la base de connaissances SLN296720. ● Pour consulter la toute dernière liste des plates-formes compatibles avec SED Manager, voir l’article de la base de connaissances : SLN296720. ● Pour obtenir la liste des stations d’accueil et des adaptateurs compatibles avec SED Manager, voir l’article de la base de connaissances : SLN314695.
Clavier international pris en charge - UEFI EN-US - Anglais (anglais américain) Clavier International prise en charge : Non-UEFI AR - Arabe (avec lettres latines) EN-US - Anglais (anglais américain) DE-FR - Suisse (français) EN-GB - Anglais (anglais britannique) DE-CH - Suisse (allemand) EN-CA - Anglais (anglais canadien) Systèmes d'exploitation ● Le tableau suivant décrit les systèmes d'exploitation pris en charge.
● Assurez-vous qu'un certificat de signature est disponible dans la base de données. Pour plus d’informations, reportez-vous à l’article de la base de connaissances SLN307028. ● Le clavier, la souris et les composants vidéo doivent être directement connectés à l'ordinateur. N'utilisez pas de commutateur KVM pour gérer les périphériques, car il risquerait de réduire la capacité de l'ordinateur à identifier le matériel. ● Lancez le TPM et activez-le.
Systèmes d'exploitation Windows connaissances KB3133977 ou KB3125574 installé. Pour résoudre les problèmes liés à BitLocker Manager sur Windows 7, assurez-vous que ces articles de la base de connaissances ne sont pas installés. ○ Windows 8.
3 Paramètres de registre ● Cette section décrit en détail tous les paramètres du registre approuvé Dell ProSupport des ordinateurs clients locaux, quel que soit le motif des paramètres de registre. Si un paramètre de registre chevauche deux produits, il est répertorié dans chaque catégorie. ● Ces modifications de registre doivent être effectuées par les administrateurs uniquement et peuvent ne pas être appropriées ou fonctionner dans tous les cas de figure.
Cependant, si votre organisation utilise une application tierce qui nécessite de conserver la structure de fichiers dans le répertoire \temp, empêchez cette suppression. Pour désactiver la suppression des fichiers temporaires, créez ou modifiez le paramètre de registre de la façon suivante : [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 Ne pas supprimer les fichiers temporaires augmente le temps de chiffrement initial.
Dans le cas des utilisateurs exigeant une activation par l'intermédiaire d'un VPN, une configuration d'activation du client par laps de temps peut être requise, afin de retarder l'activation initiale assez longtemps pour réserver du temps nécessaire au client VPN pour établir une connexion réseau. Pour que les mises à jour de ces entrées de registre entrent en vigueur, l'ordinateur doit être redémarré.
Cette fonction est activée en définissant le registre suivant : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "EnterpriseUsage"=DWORD:0 Off (default)=0 File Access Restricted to Enterprise=1 Si vous changez cette valeur après avoir crypté les fichiers sur le support externe, les fichiers sont cryptés de nouveau en fonction de la valeur de la clé de registre lorsque le support est connecté à l'ordinateur sur lequel le paramètre de registre a été mis à jour.
SED Manager ● Pour définir l’intervalle entre les tentatives lorsque le Dell Server n’est pas en mesure de communiquer avec SED Manager, ajoutez la valeur de registre suivante. [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "CommErrorSleepSecs"=DWORD:300 Cette valeur correspond au nombre de secondes pendant lesquelles SED Manager tente de contacter le Dell Server si celui-ci est indisponible pour communiquer. La valeur par défaut est de 300 secondes (5 minutes).
"CommErrorSleepSecs"=DWORD Value:300 Cette valeur correspond au nombre de secondes pendant lesquelles SED Manager tente de contacter le Dell Server si celui-ci est indisponible pour communiquer. La valeur par défaut est de 300 secondes (5 minutes). ● L'hôte Security Server peut être modifié pour qu'il soit différent de l'emplacement d'installation d'origine, au besoin. Les informations de l’hôte sont lues chaque fois qu’une interrogation de règles se produit.
● Ces modifications de registre doivent être effectuées par les administrateurs uniquement et peuvent ne pas être appropriées ou fonctionner dans tous les cas de figure. ● Pour définir l’intervalle entre les tentatives lorsque le Dell Server n’est pas en mesure de communiquer avec le chiffrement complet du disque, ajoutez la valeur de registre suivante. [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "CommErrorSleepSecs"=DWORD:300 Cette valeur correspond au nombre de secondes pendant lesqu
HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent ServerPort=REG_SZ:8888 ● (Avec l’authentification avant démarrage uniquement) Si vous ne souhaitez pas que PBA Advanced Authentication modifie les services associés aux cartes à puce et dispositifs biométriques selon un type de démarrage « automatique », désactivez la fonction de démarrage du service. La désactivation de cette fonction supprime également les avertissements associés aux services requis non exécutés.
○ Pour activer la validation d'approbation SSL/TLS pour BitLocker Manager, définissez la valeur d'entrée de registre suivante sur 0 sur l'ordinateur client. [HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "DisableSSLCertTrust"=DWORD:0 0 = Activé 1 = Désactivé ○ Pour empêcher BitLocker Manager de détecter les disques amovibles en tant que disques fixes, ajoutez la clé de registre suivante : HKLM\Software\Dell\Dell Data Protection\ "UseEncryptableVolumeType" = DWORD:1 0 = Désactivé (valeur p
4 Installation à l'aide du programme d'installation principal ● Les commutateurs et les paramètres de ligne de commande sont sensibles à la casse. ● Pour procéder à une installation de ports autres que ceux par défaut, utilisez les programmes d'installation enfants au lieu du programme d'installation principal. ● Les fichiers journaux du programme d’installation principal d’se trouvent sur C:\ProgramData\Dell\Dell Data Protection \Installer.
6. Dans le champ Nom du serveur Dell Management local, saisissez le nom d'hôte complet du Dell Server pour gérer l'utilisateur cible, comme serveur.organisation.com. Dans le champ URL de Dell Device Server, saisissez l'URL du Dell Server avec lequel le client communiquera. format est https://server.organization.com:8443/xapi/ (avec la barre oblique de fin). Cliquez sur Suivant . 7. Cliquez sur Suivant pour installer le produit à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection \.
Security Framework installe le cadre de sécurité sous-jacent, Encryption Management Agent et l’authentification PBA. BitLocker Manager permet d’installer le client BitLocker Manager, conçu pour optimiser la sécurité des déploiements BitLocker Manager en simplifiant et réduisant le coût de possession grâce à une gestion centralisée des règles de chiffrement de BitLocker.
10. Sélectionnez Oui, je souhaite redémarrer mon ordinateur maintenant, puis cliquez sur Terminer. L'installation est terminée.
Installation par la ligne de commande à l'aide du programme d'installation principal ● Les commutateurs doivent d'abord être spécifiés dans une installation par ligne de commande. D'autres paramètres figurent dans un argument transmis au commutateur /v. Commutateurs ● Le tableau suivant décrit les commutateurs qui peuvent être utilisés avec le programme d'installation principal d'.
● Cet exemple correspond à l’installation de SED Manager avec le programme d’installation principal, sur des ports standard, de manière silencieuse, à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\ et avec la configuration pour utiliser le Dell Server spécifié. "DDSSetup.exe" /s /z"\"SERVER=server.organization.com, FEATURES=SED\"" ● Cet exemple correspond à l’installation d’Encryption et de BitLocker Manager (sans le plug-in de SED Manager), avec le programme d’installation principal,
5 Désinstaller le programme d'installation principal ● Dell recommande d'utiliser le programme de désinstallation de Data Security pour supprimer la suite Data Security. ● Chaque composant doit être désinstallé séparément, avant la désinstallation à l’aide du programme d’installation principal d’. Les clients doit être désinstallée dans un ordre spécifique pour éviter les échecs de désinstallation.
6 Installation à l'aide des programmes d'installation enfants ● Pour installer ou mettre à niveau chaque client individuellement, vous devez d'abord extraire les fichiers exécutables enfants du programme d'installation principal d', tel qu'indiqué dans la section Extraire les programmes d'installation enfants du programme d'installation principal. ● Les exemples de commande inclus dans cette section supposent que les commandes sont exécutées à partir de C:\extracted.
Option Signification /qb!- Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement une fois le processus terminé /qn Pas d'interface utilisateur /norestart Suppression du redémarrage ● Dirigez les utilisateurs vers les documents suivants et les fichiers d'aide en cas de besoin au moment de l'application : ○ Pour apprendre à utiliser les fonctions d’Encryption, reportez-vous à Dell Encrypt Help (Aide concernant Dell Encrypt). Accédez à l'aide depuis \Program Fi
Paramètres POLICYPROXYHOSTNAME= (nom de domaine complet du proxy de la stratégie par défaut) MANAGEDDOMAIN= (domaine à utiliser pour le périphérique) DEVICESERVERURL= (utilisée pour l'activation, cette URL comprend généralement le nom du serveur, le port et xapi) GKPORT= (port du contrôleur d'accès) MACHINEID= (nom de l'ordinateur) RECOVERYID= (identifiant de récupération) REBOOT=ReallySuppress (Null permet les redém
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ HIDESYSTRAYICON=1 HIDEOVERLAYICONS=1 REBOOT=ReallySuppress /qn" Commande MSI : msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.
DDPE_XXbit_setup.exe /s /v"OPTIN=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https:// server.organization.com:8443/xapi/ MANAGEDDOMAIN=ORGANIZATION" Commande MSI : msiexec.exe /i "Dell Data Protection Encryption.msi" OPTIN="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" DEVICESERVERURL="https://server.organization.
L'exemple suivant correspond à l'installation d'Encryption External Media sur une installation existante avec chiffrement complet du disque avec installation discrète, pas de barre de progression, redémarrage automatique et installation à l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection. DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.
Encryption Management/Agent ● L’exemple suivant correspond à l’installation du chiffrement complet du disque géré à distance (installation silencieuse, pas de redémarrage et installation dans l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection \Encryption). EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.
● Pour ignorer la configuration requise ou pour exécuter Encryption sur un système d’exploitation de serveur sur des serveurs hors domaine ou multidomaines, définissez la propriété ssos.domainadmin.verify sur false dans le fichier application.properties. Le fichier est stocké dans les chemins de fichier suivants, en fonction du serveur Dell Server que vous utilisez : Security Management Server - /Security Server/conf/application.
5. Sélectionnez Serveur Dell Management local, puis cliquez sur Suivant. 6. Cliquez sur Suivant pour effectuer l’installation à l’emplacement par défaut. 7. Cliquez sur Suivant pour ignorer la boîte de dialogue Type de gestion. 8. Dans le champ Nom Security Management Server, entrez/validez le nom d’hôte complet de Dell Server pour gérer l’utilisateur cible (par exemple, server.organization.com). Entrez le nom de domaine dans Domaine géré (par exemple, « entreprise »). Cliquez sur Suivant. 9.
10. Dans l’URL du serveur du périphérique, entrez/validez les informations et cliquez sur Suivant. 11. Cliquez sur Installer pour démarrer l'installation.
L'installation peut prendre quelques minutes. 12. Une fois la configuration terminée, cliquez sur Terminer. L'installation est terminée. 13. Redémarrez l'ordinateur. Dell recommande de mettre en attente le redémarrage uniquement s’il vous faut du temps pour enregistrer votre travail et fermer les applications. Le cryptage ne pourra commencer que lorsque l'ordinateur aura redémarré.
Installation à l’aide de la ligne de commande Recherche du programme d’installation dans C:\extracted\Encryption ● Utilisez DDPE_xxbit_setup.exe pour une installation ou mise à niveau par installation scriptée, à l'aide de fichiers batch ou toute autre technologie Push disponible dans votre entreprise. Commutateurs Le tableau suivant indique les commutateurs disponibles dans le cadre de l'installation. Commutateur Signification /v Transmission des variables au fichier .msi dans DDPE_XXbit_setup.
Option Signification /qb Boîte de dialogue de progression dotée du bouton Annuler : vous invite à effectuer un redémarrage /qb- Boîte de dialogue de progression avec bouton Annuler: redémarre automatiquement à la fin du processus /qb! Boîte de dialogue de progression sans bouton Annuler : vous invite à effectuer un redémarrage /qb!- Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement une fois le processus terminé /qn Pas d'interface utilisateur REMARQUE : N'utilisez
Activer ● Vérifiez que le nom d'ordinateur du serveur est bien le nom de point de terminaison à afficher dans la console de gestion. ● Pour l'activation initiale, un utilisateur interactif doté d'informations d'identification d'administrateur de domaine doit se connecter au serveur au moins une fois. L'utilisateur connecté peut être de n'importe quel type : membre du domaine ou non, connecté en mode Bureau à distance ou utilisateur interactif sur le serveur.
Après l'activation, le cryptage commence. 4. Une fois le balayage de cryptage terminé, redémarrez l'ordinateur pour traiter tous les fichiers précédemment en cours d'utilisation. Ceci constitue une étape importante à effectuer pour des raisons de sécurité. REMARQUE : Si la règle Sécuriser les informations d’identification Windows est activée, Encryption sur systèmes d’exploitation de serveur chiffre les fichiers du dossier \Windows\system32\config, y compris les informations d’identification Windows.
Utilisateur de serveur virtuel ● Dans la console de gestion, un serveur protégé peut être identifié grâce au nom de son ordinateur. De plus, chaque serveur protégé possède son propre d'utilisateur de serveur virtuel. Chaque compte est doté d'un nom d'utilisateur statique unique et d'un nom d'ordinateur unique. ● Le compte d’utilisateur de serveur virtuel est utilisé uniquement par Encryption sur systèmes d’exploitation de serveur. Sinon, il est transparent pour le fonctionnement du serveur protégé.
Installation par ligne de commande ● Le tableau suivant indique les paramètres disponibles dans le cadre de l'installation. Paramètres CM_EDITION=1 INSTALLDIR= SERVER= SERVERPORT=8888 SECURITYSERVERHOST= SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 Pour obtenir la liste des commutateurs .
Paramètres CM_EDITION=1 INSTALLDIR= SERVER= SERVERPORT=8888 SECURITYSERVERHOST= SECURITYSERVERPORT=8443 FEATURE=BLM FEATURE=BLM,SED ARPSYSTEMCOMPONENT=1 Pour obtenir la liste des commutateurs .
7 Désinstaller à l'aide des programme d'installation enfants ● Dell recommande d'utiliser le programme de désinstallation de Data Security pour supprimer la suite Data Security. ● Pour désinstaller chaque client individuellement, vous devez d’abord extraire les fichiers exécutables enfant du programme d’installation principal d’ ; tel qu’indiqué dans la section Extraire les programmes d’installation enfants du programme d’installation principal.
Option Signification /qb! Boîte de dialogue de progression sans bouton Annuler : vous invite à effectuer un redémarrage /qb!- Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement une fois le processus terminé /qn Pas d'interface utilisateur Désinstaller Encryption et Encryption sur système d’exploitation de serveur ● Pour réduire la durée du décryptage, lancez l'Assistant Nettoyage de disque Windows qui supprimera les fichiers temporaires et toute autre donnée inutile.
Paramètre Sélection CMG_DECRYPT propriété permettant de sélectionner le type d'installation d'Encryption Removal Agent : 3 - Utiliser le bundle LSARecovery 2 - Utiliser les clés d'analyse approfondie précédemment téléchargées 1 : télécharger les clés depuis Dell Server 0 : ne pas installer Encryption Removal Agent CMGSILENTMODE Propriété permettant d'activer la désinstallation silencieuse : 1 - Silencieux : requis lors de l’exécution avec des variables msiexec contenant /q ou /qn 0 - Non silencieux : p
Lorsque vous avez terminé, redémarrez l'ordinateur. ● L’exemple suivant correspond à la désinstallation silencieuse d’Encryption et au téléchargement des clés de chiffrement à l’aide d’un compte de l’administrateur d’analyse approfondie. DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 FORENSIC_ADMIN=forensicadmin@organization.com FORENSIC_ADMIN_PWD=tempchangeit /qn" Commande MSI : msiexec.exe /s /x "Dell Data Protection Encryption.
5. Si vous connaissez le nom d'hôte de l'ordinateur, saisissez-le dans le champ Nom d'hôte (les jokers sont pris en charge). Pour afficher tous les ordinateurs, laissez ce champ vide. Cliquez sur Rechercher. Si vous ne connaissez pas le nom d'hôte, faites défiler la liste des ordinateurs disponibles afin d'identifier celui qui vous intéresse. Selon le filtre de recherche utilisé, un ordinateur ou une liste d'ordinateurs s'affiche. 6. 7. 8. 9. 10. 11. 12. Sélectionnez le nom d'hôte de l'ordinateur souhaité.
11. Dans le volet de gauche, cliquez sur la bannière Valider les règles. 12. Cliquez sur Valider les règles. Attendez que la règle se propage du Dell Server à l'ordinateur cible de la désactivation. Désinstallez SED Manager et PBA Advanced Authentication une fois que l’authentification avant démarrage est désactivée.
8 Programme de désinstallation de Data Security Désinstaller Dell fournit le programme de désintallation de Data Security comme programme de désinstallation maître. Cet utilitaire rassemble les produits actuellement installés et les supprime dans l'ordre approprié. Ce programme de désinstallation de Data Security est disponible dans : C:\Program Files (x86)\Dell\Dell Data Protection Pour plus d'informations ou pour utiliser l'interface de ligne de commande (CLI), voir l'article de la base de connaissances S
Vous pouvez également effacer n'importe quelle application de la suppression et cliquer sur Suivant. Les dépendances requises sont automatiquement sélectionnées ou effacées.
Pour supprimer des applications sans installer Encryption Removal Agent, choisissez Ne pas installer Encryption Removal Agent et sélectionnez Suivant.
Sélectionnez Encryption Removal Agent : télécharger des clés depuis un serveur. Saisissez les informations d'identification complètes d'un administrateur d'analyse approfondie et sélectionnez Suivant. Sélectionnez Supprimer pour lancer la désinstallation.
Cliquez sur Terminer pour terminer la suppression et redémarrez l'ordinateur. L'option Redémarrer la machine après avoir cliqué sur Terminé est sélectionnée par défaut. La désinstallation et la suppression sont terminées.
9 Scénarios couramment utilisés ● Pour installer chaque client individuellement, vous devez d’abord extraire les fichiers exécutables enfant du programme d’installation principal d’ ; tel qu’indiqué dans la section Extraire les programmes d’installation enfants du programme d’installation principal. ● Les commutateurs et les paramètres de ligne de commande sont sensibles à la casse.
○ Voir Encryption External Media Help (Aide concernant Encryption External Media) pour apprendre à utiliser les fonctions d'Encryption External Media. Accédez à l'aide depuis :\Program Files\Dell\Dell Data Protection \Encryption\EMS ○ Voir Encryption Enterprise Help (Aide d'Encryption Enterprise) d' pour savoir comment utiliser les fonctions de. Accédez à l'aide à partir de :\Program Files\Dell\Dell Data Protection\Authentication \Help.
RemplacezDEVICESERVERURL=https://server.organization.com:8081/xapi (sans barre oblique à la fin) si la version de votre Security Management Server est antérieure à 7.7. SED Manager et Encryption External Media ● L’exemple suivant correspond à l’installation de SED Manager, d’Encryption Management Agent et de la console de sécurité locale (installation silencieuse, pas de redémarrage, aucune entrée dans la liste Programmes du Panneau de configuration, installation à l’emplacement par défaut de C:\Program Fi
10 Téléchargement du logiciel Cette section détaille l'obtention du logiciel depuis dell.com/support. Si vous possédez déjà le logiciel, veuillez ignorer cette section. Rendez-vous sur dell.com/support pour commencer. 1. Sur la page Web de support Dell, sélectionnez Parcourir tous les produits. 2. Sélectionnez Sécurité dans la liste des produits. 3. Sélectionnez Dell Data Security. Le site Web se rappelle la sélection initiale.
4. Sélectionnez le produit Dell. Exemples : Dell Encryption Enterprise Dell Endpoint Security Suite Enterprise 5. Sélectionnez Pilotes et téléchargements. 6. Sélectionnez le type de système d'exploitation client souhaité. 7. Sélectionnez Dell Encryption dans les correspondances. Ceci n'étant qu'un exemple, elles pourront être légèrement différentes. Par exemple, il pourra ne pas exister quatre fichiers parmi lesquels choisir. 8. Sélectionnez Téléchargement.
11 Configuration préalable à l'installation pour SED UEFI, et BitLocker Manager Initialiser le module TPM ● Vous devez être membre du groupe des administrateurs locaux, ou équivalent. ● L'ordinateur doit être pourvu d'un BIOS compatible et d'un TPM. ● Suivez les instructions sous http://technet.microsoft.com/en-us/library/cc753140.aspx.
REMARQUE : Les ordinateurs ne disposant pas du micrologiciel UEFI n'ont pas besoin de configuration. Désactiver les ROM de l'option Héritée : Assurez-vous que le paramètre Activer les ROM de l'option Héritée est désactivé dans le BIOS. 1. 2. 3. 4. 5. Redémarrez l'ordinateur. Au cours du redémarrage, appuyez sur F12 à plusieurs reprises jusqu'à appeler les paramètres d'amorçage de l'ordinateur UEFI.
12 Définir le Dell Server par le biais du registre ● Si les droits sont accordés à vos clients par le biais de Dell Digital Delivery, suivez les instructions ci-dessous pour définir un registre à l’aide d’objets de la stratégie de groupe afin de prédéfinir le serveur Dell à utiliser après l’installation. ● La station de travail doit être membre de l’unité organisationnelle dans laquelle les objets de stratégie de groupe sont appliqués.
4. Cliquez-droit sur l'objet GPO créé et sélectionnez Modifier. 5. L'Éditeur de gestion des règles de groupe se charge. Accédez à Configuration ordinateur > Préférences > Paramètres Windows > Registre. 6. Cliquez avec le bouton droit sur le registre, puis sélectionnez Nouveau > Élément du Registre. Renseignez les éléments suivants : Action : Create Ruche : HKEY_LOCAL_MACHINE Chemin d'accès à la clé : SOFTWARE\Dell\Dell Data Protection Nom de la valeur : Server Type de valeur : REG_SZ Définir le Dell Serv
Value data: 7. Cliquez sur OK. 8. Déconnectez-vous, puis reconnectez-vous au poste de travail, ou exécutez gpupdate /force pour appliquer la règle de groupe.
13 Extraction des programmes d'installation enfant ● Pour installer chaque client individuellement, vous devez d'abord extraire les fichiers exécutables du programme d'installation. ● Le programme d'installation principal n'est pas un programme de désinstallation principal. Chaque client doit être désinstallé séparément avant la désinstallation du programme d'installation principal.
14 Configurer Key Server ● Cette section explique comment configurer les composants requis pour utiliser l'authentification/autorisation Kerberos avec un Security Management Server. Security Management Server Virtual n'utilise pas Key Server. Key Server est un service qui écoute pour savoir quels clients se connectent à un socket.
4. Redémarrez le service Key Server (laissez ouvert le panneau de services pour pouvoir y revenir ultérieurement). 5. Accédez au fichier log.txt qui se trouve dans pour vérifier que le service a correctement démarré. Fichier de configuration de Key Server - Ajouter un utilisateur pour la communication avec le Security Management Server 1. Naviguez jusqu'au . 2. Ouvrez Credant.KeyServer.exe.config dans un éditeur de texte. 3.
Si vous avez utilisé « superadmin » à l'étape 3, et si le mot de passe superadmin n'est pas « changeit », vous devez le modifier ici. Enregistrez le fichier, puis fermez-le. Exemple de fichier de configuration [port TCP sur lequel Dell Key Server écoutera. La valeur par défaut est 8050.
5. Dans Compte, ajoutez l'utilisateur pour effectuer les activités d'administrateur. Le format est DOMAINE\Nom d'utilisateur. Cliquez sur Ajouter un compte. 6. Cliquez sur Utilisateurs dans le menu de gauche. Dans la zone de recherche, recherchez le nom d'utilisateur que vous avez ajouté à l'étape 5. Cliquez sur Rechercher. 7. Une fois que vous avez localisé l'utilisateur approprié, cliquez sur l'onglet Admin. 8. Sélectionnez Administrateur d'analyse approfondie, puis cliquez sur Mettre à jour.
15 Utiliser l'utilitaire Administrative Download (CMGAd) ● Cet utilitaire permet de télécharger un bundle de matériel clé à utiliser sur un ordinateur non connecté à un Dell Server. ● Cet utilitaire utilise l’une des méthodes suivantes pour télécharger un bundle de ressources de clé, selon le paramètre de ligne de commande passé à l’application : ○ Mode d'analyse approfondie : utilisé si -f est passé sur la ligne de commande ou si aucun paramètre de ligne de commande n'est utilisé.
3. Dans le champ Phrase de passe :, entrez la phrase de passe pour protéger le fichier de téléchargement. La phrase de passe doit contenir au moins huit caractères, au moins un caractère alphabétique et un caractère numérique. Confirmer la phrase de passe. Acceptez le nom et l’emplacement par défaut auquel le fichier sera enregistré, ou cliquez sur ... pour sélectionner un emplacement différent. Cliquez sur Suivant. Le message qui s'affiche indique que le matériel clé a été déverrouillé avec succès.
Utilisation du mode Admin Le mode Admin ne peut pas être utilisé pour l'obtention d'un ensemble de clés depuis un Security Management Server Virtual, car le Security Management Server Virtual n'utilise pas le Key Server. Utilisez le mode Analyse approfondie pour obtenir l'ensemble de clés si le client est activé par rapport à un Security Management Server Virtual. 1. Ouvrez une invite de commande à l'emplacement de CMGAd et saisissez la commande cmgad.exe -a. 2.
Le message qui s'affiche indique que le matériel clé a été déverrouillé avec succès. Les fichiers sont désormais accessibles. 4. Cliquez sur Terminer lorsque vous avez terminé.
16 Configuration d’Encryption sur un système d’exploitation de serveur Activer Encryption sur un système d’exploitation de serveur REMARQUE : Le chiffrement des systèmes d’exploitation de serveur convertit le chiffrement Utilisateur en chiffrement Courant. 1. Connectez-vous à la console de gestion en tant qu'administrateur Dell. 2.
Configuration de règles Encryption External Media L'ordinateur de cryptage d'origine est l'ordinateur qui crypte un périphérique amovible à l'origine. Lorsque l’ordinateur d’origine est un serveur protégé (un serveur sur lequel Encryption sur un système d’exploitation de serveur est installé et activé) et dès que le serveur protégé détecte la présence d’un périphérique amovible, l’utilisateur est invité à le chiffrer.
● Des droits d'administrateur du service d'assistance technique, attribués dans la console de gestion, sont requis pour interrompre un point de terminaison. ● L’administrateur doit être connecté à la console de gestion. Dans le volet de gauche de la console de gestion, cliquez sur Populations > Points de terminaison. Recherchez ou sélectionnez un nom d’hôte, puis cliquez sur l’onglet Détails et actions. Sous Contrôle des périphériques du serveur, cliquez sur Suspendre, puis sur Oui.
17 Configuration de l'activation différée Le client Encryption avec activation différée est différent de l'activation du client Encryption sur deux aspects : Règles de cryptage basées sur le périphérique Les règles du client Encryption reposent sur l'utilisateur, tandis que les règles de cryptage du client Encryption avec activation différée sont basées sur le périphérique. Le cryptage Utilisateur est converti en cryptage Courant.
Dell vous recommande vivement de créer un mot de passe Windows (s'il n'en existe pas déjà un) pour protéger l'accès aux données cryptées. La création d'un mot de passe sur l'ordinateur permet de bloquer l'accès à votre compte utilisateur à toute personne qui ne dispose pas du mot de passe. Désinstaller les versions précédentes du client Encryption Avant de désinstaller une version précédente du client Encryption, arrêtez ou suspendez le balayage de cryptage, si nécessaire.
REMARQUE : Les adresses e-mail personnelles ou extérieures au domaine ne peuvent pas être utilisées pour l'activation. 3. Cliquez sur Fermer. Le serveur Dell regroupe le jeu de clés de cryptage et les identifiants de l'utilisateur ainsi que l'ID unique de l'ordinateur (ID d'ordinateur), créant ainsi une relation solide entre le jeu de clés, l'ordinateur concerné et l'utilisateur. 4. Redémarrez l'ordinateur afin de commencer l'analyse de cryptage.
Solutions possibles ● Connectez-vous directement au réseau de l'organisation, puis relancez l'activation. ● Si l'accès VPN est requis pour se connecter au réseau, vérifiez la connexion VPN et faites une nouvelle tentative. ● Vérifiez l'adresse URL de Dell Server pour vous assurer qu'elle correspond à l'URL fournie par l'administrateur. L'adresse URL ainsi que d'autres données saisies par l'utilisateur dans le programme d'installation sont stockées dans le répertoire. Assurez-vous que les données sous [HKLM\
18 Dépannage Tous les clients - Dépannage ● Les fichiers log du programme d’installation de la suite principale d’ se trouvent dans C:\ProgramData\Dell\Dell Data Protection\Installer. ● Windows crée des fichiers journaux d'installation du programme d'installation enfant uniques destinés à l'utilisateur connecté à %temp%, à l'adresse C:\Users\\AppData\Local\Temp.
Le nom d'utilisateur ou le mot de passe n'est pas valide. Solution possible : connectez-vous à nouveau en vous assurant de saisir le nom d'utilisateur et le mot de passe correctement. Message d'erreur : l'activation a échoué car le compte d'utilisateur ne dispose pas de droits d'administrateur du domaine. Les informations d'identification utilisées pour l'activation ne sont pas dotées des droits d'administrateur de domaine ou bien le nom d'utilisateur de l'administrateur n'était pas au format UPN.
5. L'utilisateur entre les références de l'administrateur de domaine dans la boîte de dialogue Activer. REMARQUE : La nécessité de fournir les informations d'identification de l'administrateur de domaine est une mesure de sécurité qui empêche Encryption pour systèmes d’exploitation de serveur d'être déployé dans d'autres environnements de serveur non pris en charge. Pour désactiver l'exigence des informations d'identification de l'administrateur de domaine, voir Avant de commencer. 6.
Le schéma suivant illustre une authentification et une activation réussies d'un périphérique. 1. Après un redémarrage suite à une activation initiale réussie, un ordinateur équipé de Server Encryption s'authentifie automatiquement à l'aide du compte d'utilisateur de serveur virtuel et exécute le client Encryption en mode Serveur. 2.
Encryption External Media et interactions PCS Pour veiller à ce que le support ne soit pas en lecture seule et que le port ne soit pas bloqué La règle d'accès EMS aux supports non blindés interagit avec le système de contrôle des ports - Catégorie : stockage > Sous-catégorie de stockage : règle de contrôle des lecteurs externes.
OU 1. Cliquez sur Avancé pour basculer la vue vers Simple afin d'analyser un dossier particulier. 2. Accédez à Paramètres d'analyse, puis saisissez le chemin du dossier dans le champ Rechercher un chemin d'accès. Si vous utilisez ce champ, la sélection dans le menu est ignorée. 3. Si vous ne voulez pas écrire la sortie WSScan dans un fichier, décochez la case Sortie vers un fichier. 4. Si vous le souhaitez, changez le chemin et le nom de fichier par défaut à partir du champ Chemin. 5.
Utilisation de la ligne de commande WSScan WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [u[a][-|v]] [-d] [-q] [-e] [-x] [-y] Commutateur Signification Lecteur Disque à analyser. S'il n'est pas défini, tous les disques durs fixes locaux sont utilisés par défaut. Il peut s'agir d'un lecteur réseau mappé.
Commutateur Signification -s Opération silencieuse -o Chemin d'accès au fichier de sortie. -a Ajouter au fichier de sortie . Par défaut, le fichier de sortie est tronqué. -f Spécificateur de format de rapport (Rapport, Fixe, Délimité) -r Exécutez WSScan dans les privilèges administrateur. Certains fichiers peuvent ne pas être visibles si ce mode est utilisé. -u Inclure les fichiers non cryptés dans le fichier de sortie.
Sortie Signification KCID Identification de l'ordinateur principal. Dans l'exemple ci-dessus : « 7vdlxrsb » Si vous analysez un disque réseau mappé, le rapport d'analyse ne comporte pas de KCID. UCID ID d'utilisateur. Comme dans l'exemple ci-dessus , « _SDENCR_ » Tous les utilisateurs de l'ordinateur partagent le même UCID. Fichier Chemin d'accès du fichier crypté. Comme dans l'exemple ci-dessus, « c:\temp\Dell - test.log » Algorithme Algorithme utilisé pour crypter le fichier.
Syntaxe wsprobe [path] wsprobe [-h] wsprobe [-f path] wsprobe [-u n] [-x process_names] [-i process_names] Paramètres Paramètre À Chemin d'accès Éventuellement, définissez un chemin particulier sur le périphérique à analyser pour un chiffrement/déchiffrement possible. Si vous ne définissez pas de chemin, cet utilitaire analyse tous les dossiers associés aux règles de cryptage. -h Afficher l'aide de la ligne de commande.
Encryption Removal Agent pour forcer l'exécution d'un nouveau balayage de déchiffrement. Voir Création d'un fichier journal Encryption Removal Agent (facultatif) pour obtenir des instructions. ● Terminé : l'analyse de déchiffrage est terminée. Le service, le fichier exécutable, le pilote et le fichier exécutable du pilote seront supprimés au prochain redémarrage.
9. Éteignez et redémarrez l'ordinateur. 10. Sur l'écran d'ouverture de session, saisissez le nom d'utilisateur, le domaine et le mot de passe que vous avez utilisé précédemment pour vous connecter à Windows. Vous devez appliquer le même format de nom d'utilisateur que pour la création de l'utilisateur avec authentification avant démarrage. Ainsi, si vous avez utilisé le format DOMAINE\Nom d'utilisateur, vous devez saisir DOMAINE\Nom d'utilisateur dans Nom d'utilisateur. 11.
2. Sélectionnez le modèle de votre ordinateur. 3. Sélectionnez Pilotes et téléchargements. 4. Sélectionnez le système d'exploitation de l'ordinateur cible.
5. Sélectionnez la catégorie Sécurité. 6. Téléchargez, puis enregistrez les pilotes Dell ControlVault. 7. Téléchargez, puis enregistrez le micrologiciel Dell ControlVault.
8. Copiez les pilotes et le micrologiciel sur les ordinateurs cibles, le cas échéant. Installation du pilote Dell ControlVault 1. Accédez au dossier dans lequel vous avez téléchargé le fichier d'installation du pilote. 2. Double-cliquez sur le pilote Dell ControlVault pour lancer le fichier exécutable à extraction automatique. REMARQUE : Assurez-vous d'installer le pilote en premier. Le nom de fichier du pilote au moment de la création de ce document est ControlVault_Setup_2MYJC_A37_ZPE.exe. 3.
4. Cliquez sur Ok pour décompresser les fichiers de pilote dans l’emplacement par défaut C:\Dell\Drivers\. 5. Cliquez sur Oui pour permettre la création d'un nouveau dossier. 6. Cliquez sur OK lorsque le message décompression réussie s'affiche. 7. Le dossier contenant les fichiers s'affiche après l'extraction. Sinon, naviguez vers le dossier dans lequel vous avez extrait les fichiers. Dans ce cas, le dossier est JW22F.
8. Double-cliquez sur CVHCI64.MSI pour lancer le programme d'installation du pilote. [CVHCI64.MSI dans cet exemple, (CVHCI pour un ordinateur 32 bits)]. 9. Cliquez sur Suivant sur l’écran de bienvenue. 10. Cliquez sur Suivant pour installer les pilotes à l’emplacement par défaut C:\Program Files\Broadcom Corporation \Broadcom USH Host Components\.
11. Sélectionnez l'option Terminer, puis cliquez sur Suivant. 12. Cliquez sur Installer pour démarrer l'installation des pilotes.
13. Facultativement, cochez la case permettant d'afficher le fichier journal du programme d'installation. Cliquez sur Terminer pour fermer l'Assistant. Vérifiez l'installation du pilote. ● Le Gestionnaire de périphérique disposera d'un périphérique Dell ControlVault (et d'autres périphériques) en fonction du système d'exploitation et de la configuration matérielle. Installer le micrologiciel Dell ControlVault 1. Accédez au dossier dans lequel vous avez téléchargé le fichier d'installation du micrologiciel.
2. Double-cliquez sur le micrologiciel Dell ControlVault pour lancer le fichier exécutable à extraction automatique. 3. Cliquez sur Continuer pour commencer. 4. Cliquez sur Ok pour décompresser les fichiers de pilote dans l’emplacement par défaut C:\Dell\Drivers\. 5. Cliquez sur Oui pour permettre la création d'un nouveau dossier. 6. Cliquez sur OK lorsque le message décompression réussie s'affiche.
7. Le dossier contenant les fichiers s'affiche après l'extraction. Sinon, naviguez vers le dossier dans lequel vous avez extrait les fichiers. Sélectionnez le dossier micrologiciel. 8. Double-cliquez sur ushupgrade.exe pour lancer le programme d'installation du micrologiciel. 9. Cliquez sur Démarrer pour commencer la mise à niveau du micrologiciel.
REMARQUE : Vous devrez peut-être saisir le mot de passe d'administrateur lors d'une mise à niveau à partir d'une version antérieure du micrologiciel. Entrez Broadcom en tant que le mot de passe et cliquez sur Entrée en présence de cette boîte de dialogue. Plusieurs messages d'état s'affichent.
Dépannage 115
10. Cliquez sur Redémarrer pour terminer la mise à niveau du micrologiciel. La mise à jour des pilotes et du micrologiciel Dell ControlVault est terminée.
UEFI Computers Résolution des problèmes de réseau ● Pour que l’authentification avant démarrage réussisse sur un ordinateur équipé du micrologiciel UEFI, le mode d’authentification avant démarrage (PBA) doit disposer de la connectivité réseau. Par défaut, les ordinateurs équipés d'un micrologiciel UEFI ne disposent pas de connectivité réseau tant que le système d'exploitation n'est pas chargé, ce qui intervient après le mode d'authentification avant démarrage.
Constante/Valeur Description TPM_E_FAIL L'opération a échoué. 0x80280009 TPM_E_BAD_ORDINAL L'ordinal était inconnu ou incohérent. 0x8028000A TPM_E_INSTALL_DISABLED La fonction d'installation d'un propriétaire est désactivée. 0x8028000B TPM_E_INVALID_KEYHANDLE Impossible d'interpréter le descripteur de clé. 0x8028000C TPM_E_KEYNOTFOUND Le descripteur de clé pointe vers une clé non valide. 0x8028000D TPM_E_INAPPROPRIATE_ENC Schéma de cryptage inacceptable.
Constante/Valeur Description TPM_E_SHA_THREAD Il n'existe pas d'unité d'exécution SHA-1 existante 0x8028001A TPM_E_SHA_ERROR 0x8028001B TPM_E_FAILEDSELFTEST 0x8028001C TPM_E_AUTH2FAIL 0x8028001D TPM_E_BADTAG 0x8028001E TPM_E_IOERROR 0x8028001F TPM_E_ENCRYPT_ERROR Le calcul ne peut pas être exécuté, car une erreur s'est déjà produite sur l'unité d'exécution SHA-1. Le périphérique matériel du Module de plateforme sécurisée (TPM) a signalé une erreur lors de son auto-test interne.
Constante/Valeur Description TPM_E_BAD_SCHEME La signature ou le schéma de cryptage de cette clé sont incorrects ou non autorisés dans ce cas.
Constante/Valeur Description 0x8028003A TPM_E_AUTH_CONFLICT 0x8028003B TPM_E_AREA_LOCKED L'objet blob NV_LoadKey nécessite un propriétaire et une autorisation blob. La zone NV est verrouillée et non inscriptible. 0x8028003C TPM_E_BAD_LOCALITY La localité est incorrecte pour l'opération tentée. 0x8028003D TPM_E_READ_ONLY 0x8028003E TPM_E_PER_NOWRITE La zone NV est en lecture seule et aucune donnée ne peut y être écrite. Aucune protection d'écriture dans la zone NV.
Constante/Valeur Description 0x8028004B TPM_E_DELEGATE_FAMILY Tentative de gestion d'une famille autre que la famille déléguée. 0x8028004C TPM_E_DELEGATE_ADMIN Gestion de table de délégation non activée. 0x8028004D TPM_E_TRANSPORT_NOTEXCLUSIVE 0x8028004E TPM_E_OWNER_CONTROL 0x8028004F TPM_E_DAA_RESOURCES 0x80280050 TPM_E_DAA_INPUT_DATA0 0x80280051 TPM_E_DAA_INPUT_DATA1 0x80280052 TPM_E_DAA_ISSUER_SETTINGS Une commande a été exécutée en dehors d'une session de transport exclusive.
Constante/Valeur Description 0x8028005C TPM_E_MA_DESTINATION Destination de migration non authentifiée. 0x8028005D TPM_E_MA_SOURCE Source de migration incorrecte. 0x8028005E TPM_E_MA_AUTHORITY Autorité de migration incorrecte. 0x8028005F TPM_E_PERMANENTEK Tentative de révocation de EK alors qu'EK n'est pas révocable. 0x80280061 TPM_E_BAD_SIGNATURE Signature incorrecte du ticket CMK. 0x80280062 TPM_E_NOCONTEXTSPACE Aucune place dans la liste de contextes pour d'autres contextes.
Constante/Valeur Description 0x80284002 TBS_E_INVALID_OUTPUT_POINTER Un pointeur de sortie défini est incorrect. 0x80284003 TBS_E_INVALID_CONTEXT 0x80284004 TBS_E_INSUFFICIENT_BUFFER Le handle de contexte défini ne fait pas référence à un contexte valide. Une mémoire tampon de sortie définie est trop petite. 0x80284005 TBS_E_IOERROR Erreur de communication avec le module TPM.
Constante/Valeur Description 0x80284013 configuration soit prise en compte, l’une des nombreuses actions peut être requise. L’action de la console de gestion du module de plateforme sécurisée (tpm.msc) permettant de préparer le module de plateforme sécurisée (TPM) peut s’avérer utile. Pour plus d’informations, consultez la documentation relative à la méthode WMI Win32_Tpm « Provision ».
Constante/Valeur Description TPMAPI_E_AUTHORIZATION_FAILED Les informations d'autorisation spécifiées étaient inexactes. 0x80290109 TPMAPI_E_INVALID_CONTEXT_HANDLE Le handle de contexte spécifié était incorrect. 0x8029010A TPMAPI_E_TBS_COMMUNICATION_ERROR Erreur de communication avec le TBS. 0x8029010B TPMAPI_E_TPM_COMMAND_ERROR La plateforme sécurisée (TPM) a renvoyé un résultat imprévu. 0x8029010C TPMAPI_E_MESSAGE_TOO_LARGE Le message était trop volumineux pour le schéma de codage.
Constante/Valeur Description TPMAPI_E_EMPTY_TCG_LOG Le journal des événements TCG ne contient pas de données. 0x8029011A TPMAPI_E_INVALID_TCG_LOG_ENTRY Une entrée du journal d'événements TCG n'était pas valide. 0x8029011B TPMAPI_E_TCG_SEPARATOR_ABSENT Un séparateur TCG est introuvable.
Constante/Valeur Description TBSIMP_E_OUT_OF_MEMORY Mémoire insuffisante pour répondre à la demande 0x8029020C TBSIMP_E_LIST_NO_MORE_ITEMS La liste spécifiée est vide ou l'itération a atteint la fin de la liste. 0x8029020D TBSIMP_E_LIST_NOT_FOUND L'élément spécifié est introuvable dans la liste.
Constante/Valeur Description TPM_E_PPI_USER_ABORT L'utilisateur n'a pas pu confirmer la demande d'opération du module de plateforme sécurisée (TPM).
Constante/Valeur Description 0x8029040C PLA_E_DCS_NOT_FOUND Ensemble Data Collector introuvable. 0x80300002 PLA_E_DCS_IN_USE 0x803000AA PLA_E_TOO_MANY_FOLDERS 0x80300045 PLA_E_NO_MIN_DISK 0x80300070 PLA_E_DCS_ALREADY_EXISTS L'ensemble de collecteurs de données ou l'une des ses dépendances est déjà utilisé. Impossible de démarrer l'ensemble de collecteurs de données car le nombre de dossiers est trop important. L'espace disque disponible est insuffisant pour lancer l'ensemble de collecteurs de données.
Constante/Valeur Description PLA_E_DC_START_WAIT_TIMEOUT Le délai d'attente avant que l'ensemble de collecteurs de données démarre a expiré. 0x8030010B PLA_E_REPORT_WAIT_TIMEOUT 0x8030010C PLA_E_NO_DUPLICATES Le délai d'attente avant que l'outil de génération de rapport se termine a expiré. Les doublons ne sont pas autorisés.
Constante/Valeur Description FVE_E_WRONG_BOOTMGR Le gestionnaire de démarrage de ce système d’exploitation n’est pas compatible avec le cryptage de lecteur BitLocker. Utilisez l’outil bootrec.exe de l’environnement de récupération Windows pour mettre à jour ou réparer le gestionnaire de démarrage (BOOTMGR).
Constante/Valeur Description du système d’exploitation, puis chiffrez le lecteur du système d’exploitation. FVE_E_FAILED_WRONG_FS 0x80310013 FVE_E_BAD_PARTITION_SIZE Impossible de crypter le disque, car le système de fichiers n'est pas pris en charge. 0x80310014 La taille du système de fichiers dépasse celle des partitions dans la table de partitions. Ce disque peut être corrompu ou a peutêtre été altéré. Pour l'utiliser avec BitLocker, vous devez reformater la partition.
Constante/Valeur Description FVE_E_RECOVERY_KEY_REQUIRED Aucun protecteur de clé pour le chiffrage n’est disponible pour le lecteur que vous essayez de verrouiller car la protection BitLocker est actuellement suspendue. Activez de nouveau BitLocker pour verrouiller ce lecteur.
Constante/Valeur Description Retirez le média, puis redémarrez l’ordinateur avant de configurer BitLocker. FVE_E_PROTECTOR_EXISTS 0x80310031 FVE_E_RELATIVE_PATH 0x80310032 FVE_E_PROTECTOR_NOT_FOUND 0x80310033 FVE_E_INVALID_KEY_FORMAT 0x80310034 FVE_E_INVALID_PASSWORD_FORMAT Impossible d’ajouter ce protecteur de clé. Un seul protecteur de clé de ce type est autorisé pour ce lecteur. Le fichier de mot de passe de récupération est introuvable car un chemin d’accès relatif a été spécifié.
Constante/Valeur Description que le périphérique USB correct est connecté à un port USB actif de l’ordinateur, redémarrez l’ordinateur, puis réessayez. Si le problème persiste, demandez au fabricant de l’ordinateur comment mettre à niveau le BIOS.
Constante/Valeur Description FVE_E_FIRMWARE_TYPE_NOT_SUPPORTED Impossible d'activer le cryptage de disque BitLocker sur un disque du système d'exploitation. Contactez le fabricant de l'ordinateur pour obtenir des instructions de mise à niveau du BIOS.
Constante/Valeur Description FVE_E_TRANSIENT_STATE Les clés de cryptage BitLocker ont été ignorées du fait de l’état transitoire du lecteur.
Constante/Valeur Description FVE_E_POLICY_STARTUP_TPM_NOT_ALLOWED La stratégie de groupe ne permet pas l’utilisation exclusive d’un module de plateforme sécurisée au démarrage. Veuillez choisir une autre option de démarrage de BitLocker.
Constante/Valeur Description FVE_E_POLICY_USER_CONFIGURE_FDV_AUTOUNLOCK_N OT_ALLOWED Les paramètres de stratégie de groupe ne permettent pas le déverrouillage automatique des lecteurs de données fixes protégés par BitLocker.
Constante/Valeur Description attribut est configuré, il doit être égal à un identificateur d’objet correspondant à l’identificateur d’objet configuré pour BitLocker. FVE_E_POLICY_PROHIBITS_SELFSIGNED 0x80310086 Le cryptage de lecteur BitLocker tel qu’il est configuré ne peut pas être appliqué à ce lecteur en raison des paramètres de la stratégie de groupe. Le certificat fourni pour le cryptage de lecteur est auto-signé.
Constante/Valeur Description FVE_E_NON_BITLOCKER_KU L’attribut d’utilisation de la clé ne permet pas au certificat spécifié d’être utilisé pour le cryptage de lecteur BitLocker. BitLocker n’exige pas qu’un certificat possède un attribut d’utilisation de la clé. Toutefois, si un tel attribut est configuré, il doit avoir la valeur Chiffrement de la clé ou Accord de la clé.
Constante/Valeur Description 0x803100A0 FVE_E_PROTECTOR_CHANGE_PIN_MISMATCH Veuillez enter le code confidentiel correct actuel.
Constante/Valeur Description FVE_E_EDRIVE_NO_FAILOVER_TO_SW BitLocker n’a pas rétabli le cryptage au niveau logiciel BitLocker en raison de la stratégie de groupe. 0x803100AF FVE_E_EDRIVE_BAND_IN_USE 0x803100B0 FVE_E_EDRIVE_DISALLOWED_BY_GP 0x803100B1 FVE_E_EDRIVE_INCOMPATIBLE_VOLUME 0x803100B2 FVE_E_NOT_ALLOWED_TO_UPGRADE_WHILE_CONVERTIN G Le lecteur ne peut pas être géré par BitLocker, car la fonction de cryptage matériel du lecteur est déjà en cours d'utilisation.
Constante/Valeur Description FVE_E_SHADOW_COPY_PRESENT BitLocker ne peut pas activer le volume car il contient un cliché instantané de volume. Supprimez tous les clichés instantanés de volumes avant de crypter le volume.
Constante/Valeur Description un compte connecté et que vous obtenez cette erreur, référezvous au journal des événements pour plus d’informations. FVE_E_INVALID_PIN_CHARS_DETAILED Votre PIN ne peut contenir que des chiffres allant de 0 à 9.
19 Glossaire Activer : l'activation se produit lorsque l'ordinateur a été inscrit sur le Dell Server et qu'il a reçu au moins un jeu de règles initial. Active Directory (AD) : service de répertoire créé par Microsoft pour les réseaux de domaine Windows. Cryptage des données d'application : crypte tous les fichiers écrits par une application protégée, à l'aide d'un remplacement de catégorie 2.
Authentification avant démarrage : l’authentification avant démarrage (PBA – Preboot Authentication) joue le rôle d’extension du BIOS ou du micrologiciel de démarrage et garantit un environnement sécurisé inviolable extérieur au système d’exploitation sous forme de couche d’authentification fiable. L'authentification avant démarrage empêche toute lecture sur le disque dur, par exemple du système d'exploitation, tant que l'utilisateur n'a pas confirmé les identifiants corrects.
