Récupération du chiffrement v10.9 December 2020 Rév.
Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit. PRÉCAUTION : ATTENTION vous avertit d’un risque de dommage matériel ou de perte de données et vous indique comment éviter le problème. AVERTISSEMENT : un AVERTISSEMENT signale un risque d’endommagement du matériel, de blessure corporelle, voire de décès. © 2012-2020 Dell Inc. All rights reserved.
Table des matières Chapitre 1: Prise en main de la récupération...................................................................................... 5 Contacter Dell ProSupport...................................................................................................................................................5 Chapitre 2: Récupération du chiffrement basé sur des règles ou de fichier/dossier.............................. 6 Présentation du processus de récupération...............................
Récupération à la demande avec cryptage complet du disque............................................................................... 42 Chapitre 7: Contrôle de périphériques PBA......................................................................................46 Utiliser le contrôle de périphériques PBA......................................................................................................................... 46 Chapitre 8: Récupération de la clé universelle..............................
1 Prise en main de la récupération Cette section détaille les éléments nécessaires pour créer l'environnement de récupération. ● CD-R, DVD-R ou support USB formaté ○ En cas de gravure de CD ou DVD, consultez la section Gravure de l'image ISO de l'environnement de récupération sur CD/DVD pour en savoir plus. ○ Si vous utilisez un support USB, consultez Gravure de l'environnement de récupération sur un support amovible pour en savoir plus.
2 Récupération du chiffrement basé sur des règles ou de fichier/dossier Une récupération est nécessaire lorsque l'ordinateur crypté ne démarre pas sur le système d'exploitation. Cela se produit lorsque le registre n'est pas correctement modifié ou que des modifications de matériel se sont produites sur un ordinateur crypté.
e. Saisissez un mot de passe pour télécharger les clés de récupération de périphérique. f. Copiez les clés de récupération de périphérique dans un emplacement auquel il est possible d’accéder lors du démarrage dans WinPE. Obtention du fichier de récupération : ordinateur géré en local Pour obtenir le fichier de récupération Encryption Personal : 1. Localisez le fichier de restauration dénommé LSARecovery_ .exe.
2. Copiez LSARecovery_ .exe sur l'ordinateur cible (où se trouvent les données à récupérer). Effectuer une récupération 1. À l'aide du support amorçable créé précédemment, effectuez un amorçage sur ce support dans un système de récupération ou sur le périphérique qui contient le disque que vous tentez de récupérer. Un environnement WinPE s'ouvre. REMARQUE : Désactivez SecureBoot avant le processus de récupération. Lorsque vous avez terminé, réactivez SecureBoot. 2.
4. Sélectionnez une option : ● mon système ne démarre pas et affiche un message me demandant d'effectuer une récupération de SDE. Cela vous permet de reconstruire les contrôles matériels effectués par le client de cryptage lorsque vous amorcez le système dans le système d'exploitation. ● Mon système ne me permet pas d'accéder à des données cryptées ni de modifier des règles ou est en cours de réinstallation.
6. Dans la boîte de dialogue qui répertorie les volumes de l'ordinateur, sélectionnez tous les lecteurs applicables et cliquez sur Suivant. Utilisez les combinaisons Maj-clic ou Ctrl-clic pour sélectionner plusieurs lecteurs. Si le lecteur sélectionné ne fait pas l'objet d'un chiffrement basé sur des règles ou de fichier/dossier (FFE), la récupération échouera. 7. Saisissez votre mot de passe de récupération, puis cliquez sur Suivant.
8. Dans la boîte de dialogue Récupération, cliquez sur Récupérer. Le processus de récupération démarre. 9. Une fois l'installation terminée, cliquez sur Terminer. REMARQUE : Veillez à bien retirer la clé USB ou le CD/DVD utilisé pour amorcer la machine. Si vous ne le faites pas, vous risquez de redémarrer dans l'environnement de récupération. 10. Après le redémarrage de l'ordinateur, il devrait fonctionner parfaitement. Si le problème persiste, contactez Dell ProSupport.
connectez un lecteur crypté par Dell à un système sur lequel Dell Encryption n'est pas installé, toute tentative d'ouverture de données entraînera l'affichage de texte chiffré. Récupérer des données de lecteur crypté Pour récupérer des données de lecteur crypté : 1. Pour obtenir le DCID/ID de récupération de l'ordinateur, choisissez une option : a. Exécutez WSScan sur un dossier où les données cryptées « Common » sont stockées. Le DCID/ID de récupération de huit caractères s'affiche après « Common ». b.
2. Pour télécharger la clé depuis le serveur, accédez à l'utilitaire Dell Administrative Unlock (CMGAu) et exécutez-le. Vous pouvez obtenir l'utilitaire Dell Administrative Unlock auprès de Dell ProSupport. 3. Dans la boîte de dialogue de l'utilitaire Dell Administrative Unlock (CMGAu), entrez les informations suivantes (certains champs peuvent être prérenseignés) et cliquez sur Suivant.
Serveur : nom d'hôte complet du serveur, par exemple : Serveur de périphérique (avant les clients 8.x) : https://:8081/xapi Serveur de sécurité : https://
6. Après avoir récupéré les fichiers et lorsque vous êtes prêt à reverrouiller ces fichiers, cliquez sur Terminer. Une fois que vous avez cliqué sur Terminer, les fichiers chiffrés ne sont plus disponibles.
3 Récupération de l'accélérateur de cryptage matériel (Hardware Crypto Accelerator) REMARQUE : À partir de la version v8.9.3, l'accélérateur de cryptage matériel n'est pas pris en charge. À l'aide de la récupération Hardware Crypto Accelerator (HCA), vous pouvez récupérer l'accès aux éléments suivants : ● Les fichiers sur un lecteur crypté HCA : cette méthode décrypte le lecteur à l'aide des clés fournies. Vous pouvez sélectionner le lecteur spécifique à décrypter pendant le processus de récupération.
2. Dans le champ de recherche, entrez le nom de domaine complet du point de terminaison et cliquez sur Rechercher. 3. Dans la fenêtre Récupération, saisissez un mot de passe de récupération et cliquez sur Télécharger. REMARQUE : Vous devez vous souvenir de ce mot de passe pour accéder aux clés de récupération. Obtention du fichier de récupération : ordinateur géré en local Pour obtenir le fichier de récupération Encryption Personal : 1.
2. Copiez LSARecovery_ .exe sur l'ordinateur cible (où se trouvent les données à récupérer). Effectuer une récupération 1. À l'aide du support amorçable créé précédemment, effectuez un amorçage sur ce support dans un système de récupération ou sur le périphérique qui contient le disque que vous tentez de récupérer. Un environnement WinPE s'ouvre. REMARQUE : Désactivez SecureBoot avant le processus de récupération. Lorsque vous avez terminé, activez SecureBoot. 2.
4. Sélectionnez une option : ● Je veux décrypter le lecteur avec cryptage HCA. ● Je veux restaurer l'accès au lecteur avec cryptage HCA. 5. Dans la boîte de dialogue Informations de sauvegarde et de récupération, vérifiez que le numéro de service et le numéro d'inventaire sont corrects, puis cliquez sur Suivant.
6. Dans la boîte de dialogue qui répertorie les volumes de l'ordinateur, sélectionnez tous les lecteurs applicables et cliquez sur Suivant. Utilisez les combinaisons Maj-clic ou Ctrl-clic pour sélectionner plusieurs lecteurs. Si le lecteur sélectionné ne fait pas l'objet d'un chiffrement HCA, la récupération échouera. 7. Saisissez votre mot de passe de récupération, puis cliquez sur Suivant.
8. Dans la boîte de dialogue Récupération, cliquez sur Récupérer. Le processus de récupération démarre. 9. À l'invite, accédez au fichier de récupération enregistré, puis cliquez sur OK.
Si vous effectuez un décryptage complet, la boîte de dialogue suivante affiche l'état. Ce processus peut prendre un certain temps. 10. Lorsqu'un message s'affiche pour indiquer que la récupération a réussi, cliquez sur Terminer. L'ordinateur redémarre.
Après le redémarrage de l'ordinateur, il devrait fonctionner parfaitement. Si le problème persiste, contactez Dell ProSupport.
4 Récupération de lecteur auto-cryptable (SED) Avec la récupération de SED, vous pouvez récupérer l'accès aux fichiers situés sur un SED par les méthodes suivantes : ● Effectuer un déverrouillage ponctuel du lecteur afin de contourner l'authentification avant démarrage (PBA). ● Déverrouiller, puis supprimer définitivement la PBA du lecteur. L'authentification unique ne fonctionnera pas en l'absence de PBA.
Obtention du fichier de récupération - Client SED géré localement Obtenez le fichier de récupération. Le fichier a été généré et est accessible à partir de l'emplacement de sauvegarde que vous avez sélectionné lorsque Authentification avancée a été installée sur l'ordinateur. Le nom du fichier est OpalSPkey.dat. Effectuer une récupération 1.
4. Sélectionnez une option, puis cliquez sur OK. ● Déverrouillage ponctuel du lecteur : cette méthode contourne la PBA. ● Déverrouiller le lecteur et supprimer la PBA : cette méthode déverrouille, puis supprime définitivement la PBA du lecteur. La suppression de la PBA vous obligera à désactiver le produit à partir de la console de gestion à distance (pour un client SED géré à distance) ou à l'intérieur du SE (pour un client SED géré localement) s'il est nécessaire de réactiver la PBA à l'avenir.
5. La récupération est terminée. Appuyez sur n'importe quelle touche pour revenir au menu. 6. Appuyez sur r pour redémarrer l'ordinateur.
REMARQUE : Veillez à bien retirer la clé USB ou le CD/DVD utilisé pour amorcer l'ordinateur. Si vous ne le faites pas, vous risquez de redémarrer dans l'environnement de récupération. 7. Après le redémarrage de l'ordinateur, il devrait fonctionner parfaitement. Si le problème persiste, contactez Dell ProSupport.
Le code de question est fourni au technicien du centre d'assistance qui entre les données, puis clique sur le bouton Générer une réponse. Les données qui en résultent sont coordonnées par couleur pour vous aider à discerner les caractères numériques (en rouge) et alphabétiques (en bleu). Ces données sont lues à l'utilisateur final, qui les saisit dans l'environnement PBA, puis clique sur le bouton Soumettre, ce qui l'amène dans Windows.
Une fois l'authentification effectuée, le message suivant s'affiche : La récupération à la demande est terminée.
5 Récupération de cryptage complet du disque La récupération vous permet de récupérer un accès à des fichiers sur un lecteur crypté avec cryptage complet du disque. REMARQUE : Un décryptage ne doit pas être interrompu. Si le décryptage est interrompu, vous risquez de perdre des données.
Effectuer une récupération 1. À l'aide du support amorçable créé précédemment, effectuez un amorçage sur ce support dans un système de récupération ou sur le périphérique qui contient le disque que vous tentez de récupérer. Un environnement WinPE s'ouvre avec l'application de récupération. REMARQUE : Désactivez SecureBoot avant le processus de récupération. Lorsque vous avez terminé, réactivez SecureBoot. 2. Choisissez l'option 1 et appuyez sur Entrée. 3.
4. Cliquez sur OK.
● 5. La récupération est terminée. Appuyez sur n'importe quelle touche pour revenir au menu. 6. Appuyez sur r pour redémarrer l'ordinateur. REMARQUE : Veillez à bien retirer la clé USB ou le CD/DVD utilisé pour amorcer l'ordinateur. Si vous ne le faites pas, vous risquez de redémarrer dans l'environnement de récupération. 7. Après le redémarrage de l'ordinateur, il devrait fonctionner parfaitement. Si le problème persiste, contactez Dell ProSupport.
Les informations suivantes s'affichent après avoir sélectionné Question/réponse. Le champ Nom de l'appareil est utilisé par le technicien du centre d'assistance dans la console de gestion à distance pour trouver le bon appareil, qui sélectionne ensuite un nom d'utilisateur. Il se trouve dans Gestion > Récupérer des données sous l'onglet PBA.
Le code de question est fourni au technicien du centre d'assistance qui entre les données, puis clique sur le bouton Générer une réponse. Les données qui en résultent sont coordonnées par couleur pour vous aider à discerner les caractères numériques (en rouge) et alphabétiques (en bleu). Ces données sont lues à l'utilisateur final, qui les saisit dans l'environnement PBA, puis clique sur le bouton Soumettre, ce qui l'amène dans Windows.
Une fois l'authentification effectuée, le message suivant s'affiche : La récupération à la demande est terminée.
6 Récupération de chiffrement complet du disque et de Dell Encryption Ce chapitre détaille les étapes de récupération nécessaires pour récupérer l'accès aux fichiers protégés de Dell Encryption sur un disque protégé par un chiffrement complet de disque. REMARQUE : Un décryptage ne doit pas être interrompu. Si le décryptage est interrompu, vous risquez de perdre des données.
Obtention du fichier de récupération - Chiffrement basé sur des règles ou client de chiffrement FFE Obtenez le fichier de récupération. Le fichier de récupération peut être téléchargé à partir de la console de gestion. Pour télécharger les clés de récupération de disque générées lors de l’installation de Dell Encryption : a. b. c. d. Ouvrez la console de gestion et, dans le volet de gauche, sélectionnez Populations > Points de terminaison.
f. Copiez les clés de récupération de périphérique dans un emplacement auquel il est possible d’accéder lors du démarrage dans WinPE. Effectuer une récupération 1. À l'aide du support amorçable créé précédemment, effectuez un amorçage sur ce support dans un système de récupération ou sur le périphérique qui contient le disque que vous tentez de récupérer. Un environnement WinPE s'ouvre avec l'application de récupération. REMARQUE : Désactivez SecureBoot avant le processus de récupération.
4. À l'aide de la clé de récupération, le disque complètement chiffré est monté. ● 5. Naviguez jusqu'à l'utilitaire CMGAu.exe à l'aide de la commande suivante : cd DDPEAdminUtilities\ 6. Lancez-le à l'aide de la commande suivante : \DDPEAdminUtilities>CmgAu.exe Sélectionnez Oui, travailler hors connexion avec un fichier téléchargé précédemment. 7.
Une fois l'installation terminée, cliquez sur Terminer. REMARQUE : Veillez à bien retirer la clé USB ou le CD/DVD utilisé pour amorcer l'ordinateur. Si vous ne le faites pas, vous risquez de redémarrer dans l'environnement de récupération. 8. Après le redémarrage de l'ordinateur, vous devez pouvoir accéder aux fichiers chiffrés. Si le problème persiste, contactez Dell ProSupport.
Le champ Nom de l'appareil est utilisé par le technicien du centre d'assistance dans la console de gestion à distance pour trouver le bon appareil, qui sélectionne ensuite un nom d'utilisateur. Il se trouve dans Gestion > Récupérer des données sous l'onglet PBA. Le code de question est fourni au technicien du centre d'assistance qui entre les données, puis clique sur le bouton Générer une réponse.
Les données qui en résultent sont coordonnées par couleur pour vous aider à discerner les caractères numériques (en rouge) et alphabétiques (en bleu). Ces données sont lues à l'utilisateur final, qui les saisit dans l'environnement PBA, puis clique sur le bouton Soumettre, ce qui l'amène dans Windows.
La récupération à la demande est terminée.
7 Contrôle de périphériques PBA Le contrôle de périphériques PBA s'applique aux points de terminaison cryptés avec SED ou un cryptage complet du disque. Utiliser le contrôle de périphériques PBA Les commandes PBA d'un point de terminaison spécifique sont effectuées dans la zone Contrôle de périphérique PBA. Chaque commande a un ordre de priorité. Les commandes de priorité élevée annulent les commandes de faible priorité figurant dans la file d'attente des commandes à appliquer.
8 Récupération de la clé universelle La clé universelle (General Purpose Key – GPK) est utilisée pour crypter une partie du registre pour les utilisateurs de domaine. Cependant, au cours du processus de démarrage, celle-ci peut, dans de rares cas, être corrompue et ne pas parvenir à desceller. Dans ce cas, les erreurs suivantes s'affichent dans le fichier CMGShield.log sur l'ordinateur client : [12.06.13 07:56:09:622 GeneralPurposeK: 268] GPK - Failure while unsealing data [error = 0xd] [12.06.
Le fichier .exe est téléchargé. Effectuer une récupération 1. Créez un support amorçable de l'environnement de récupération. Pour obtenir des instructions, voir l'Annexe A - Gravure de l'environnement de restauration. REMARQUE : Désactivez SecureBoot avant le processus de récupération. Lorsque vous avez terminé, activez SecureBoot. 2. Effectuez un amorçage sur ce support dans un système de récupération ou sur le périphérique qui contient le disque que vous tentez de récupérer.
5. À l'invite de commande d'administration, exécutez .exe > -p -gpk Il renvoie le GPKRCVR.txt correspondant à votre ordinateur. 6. Copiez le fichier GPKRCVR.txt à la racine du lecteur du système d'exploitation de l'ordinateur. 7. Redémarrez l'ordinateur. Le fichier GPKRCVR.txt sera consommé par le système d'exploitation et régénérera la GPK sur cet ordinateur. 8. Si vous y êtes invité, redémarrez de nouveau.
9 Récupération du BitLocker Manager Pour récupérer des données, vous pouvez obtenir un mot de passe de récupération ou un package de clés à partir de la console de gestion à distance, ce qui vous permettra de déverrouiller les données sur l’ordinateur. Récupération de données 1. Connectez-vous à la console de gestion en tant qu’administrateur Dell. 2. Dans le volet gauche, cliquez sur Gestion > Récupérer des données. 3. Cliquez sur l’onglet Gestionnaire. 4.
Pour le module TPM : Saisissez le nom d’hôte. Cliquez sur Obtenir le mot de passe de récupération ou Créer le package de clés. Selon la méthode de récupération souhaitée, vous allez utiliser le mot de passe de récupération ou le package de clés pour récupérer les données. 5.
10 Récupération du mot de passe Les utilisateurs oublient couramment leur mot de passe. Heureusement, plusieurs méthodes sont à leur disposition pour retrouver l'accès à un ordinateur avec l'authentification avant démarrage, le cas échéant. ● La fonction Recovery Questions (Questions de récupération) offre une authentification basée sur des questions/réponses. ● Les codes de question/réponse permettent aux utilisateurs de retrouver l'accès à leur ordinateur en collaboration avec leur administrateur.
3. Lorsque la boîte de dialogue de Q&R s'affiche, entrez les réponses indiquées à l'enregistrement des questions de récupération lors de votre première connexion.
Récupération du mot de passe
11 Récupération de mot de passe Encryption External Media Encryption External Media vous offre la possibilité de protéger les supports de stockage amovible dans et à l'extérieur de votre entreprise en permettant aux utilisateurs de chiffrer les clés USB et d'autres supports de stockage amovibles. L'utilisateur attribue un mot de passe à chaque périphérique de support amovible à protéger.
4. En tant qu'administrateur du support technique, ouvrez une session sur la console de gestion à distance. Le compte d'administrateur du support technique doit disposer des privilèges ad-hoc. 5. Naviguez jusqu'à l'option de menu Recover Data (Récupérer des données) dans le volet gauche. 6. Saisissez les codes fournis par l'utilisateur final. 7. Cliquez sur le bouton Generate Response (Générer une réponse) situé dans le coin inférieur droit de l'écran. 8. Communiquez le code d'accès à l'utilisateur.
9. Réinitialisez le mot de passe de votre support chiffré. L'utilisateur est invité à réinitialiser le mot de passe du support chiffré. Auto-récupération Le lecteur doit être réinséré dans la machine qui l'a cryptée à l'origine pour que l'auto-récupération fonctionne. Tant que le propriétaire du support est authentifié auprès du Mac ou du PC protégé, le client détecte la perte de clé matérielle et invite l'utilisateur à réinitialiser le périphérique.
Si l'opération réussit, une petite notification s'affiche pour indiquer que le mot de passe a été accepté. 4. Accédez au périphérique de stockage et confirmez l'accès aux données.
12 Annexe A - Téléchargement de l'environnement de récupération L'environnement de récupération WinPE peut être téléchargé ici ou demandé via Dell ProSupport. Appelez le 877-459-7304, poste 4310039, afin de recevoir 24h/24, 7j/7 une assistance téléphonique concernant votre produit Dell. Pour les numéros de téléphone en dehors des États-Unis, consultez l'article Numéros de téléphone internationaux Dell ProSupport.
13 Annexe B - Création d'un support amorçable Utilisez cette annexe pour créer un support amorçable. Gravure du fichier ISO de l'environnement de récupération sur CD/DVD Le lien suivant contient le processus à suivre pour créer un CD ou DVD amorçable pour l'environnement de récupération sous Microsoft Windows 7/8/10. http://windows.microsoft.
10. Le lecteur sera monté automatiquement, et le contenu du fichier ISO pourra être copié à la racine du lecteur. Une fois que le contenu du fichier ISO a été entièrement copié, le lecteur est amorçable et peut être utilisé pour la récupération.