Dell Data Protection Guide d’installation de Security Tools v1.12 February 2017 Rév.
Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit. PRÉCAUTION : Une PRÉCAUTION indique un risque d'endommagement du matériel ou de perte de données et vous indique comment éviter le problème. AVERTISSEMENT : Un AVERTISSEMENT indique un risque d'endommagement du matériel, de blessures corporelles ou même de mort. © 2017 Dell Inc. Tous droits réservés.
Table des matières Chapitre 1: Introduction.................................................................................................................. 5 Présentation........................................................................................................................................................................... 5 Chapitre 2: Configuration requise.....................................................................................................6 Pilotes.......................
Chapitre 6: Récupération...............................................................................................................39 Auto-récupération, Questions de récupération de connexion Windows......................................................................39 Auto-récupération et questions de récupération de l'authentification au démarrage (PBA)....................................40 Auto-récupération, Mot de passe à usage unique................................................................
1 Introduction Dell Data Protection | Security Tools fournit des services de sécurité et de protection d'identité aux administrateurs et aux utilisateurs d'ordinateurs Dell. DDP | Security Tools est pré-installé sur tous les ordinateurs Dell Latitude, Optiplex et Precision et sur une sélection d'ordinateurs portables Dell XPS. S'il s'avère que vous devez réinstaller DDP | Security Tools, suivez les instructions fournies dans ce guide. Pour une assistance supplémentaire, voir www.dell.com/support.
2 Configuration requise • • • • • • • DDP | Security Tools est pré-installé sur tous les ordinateurs Dell Latitude, Optiplex et Precision et sur une sélection d'ordinateurs portables Dell XPS, respecte la configuration minimale requise suivante. Si vous devez réinstallerDDP | Security Tools, assurez-vous que votre ordinateur respecte toujours cette configuration minimale. Reportez-vous à www.dell.com/support > Endpoint Security Solutions for more information. Windows 8.
Configuration requise • Progiciel redistribuable Microsoft Visual C++ 2012 Update 4 ou version ultérieure (x86/x64) Logiciel Systèmes d'exploitation Windows Le tableau suivant décrit les logiciels pris en charge. Systèmes d'exploitation Windows (32 bits et 64 bits) • Microsoft Windows 7 SP0-SP1 - Entreprise - Professionnel REMARQUE : Le mode Legacy Boot est pris en charge sur Windows 7. UEFI n'est pas pris en charge sur Windows 7.
Systèmes d'exploitation de périphériques mobiles • • 4.4 - 4.4.4 KitKat 5.0 - 5.1.1 Lollipop Systèmes d'exploitation iOS • • iOS 7.x iOS 8.x Systèmes d'exploitation Windows Phone • • Windows Phone 8.1 Windows 10 Mobile Matériel Authentification Le tableau suivant répertorie les matériels d'authentification compatibles. Authentification Lecteurs d'empreintes digitales • Validity VFS495 en mode sécurisé • Lecteur à fente Broadcom Control Vault • Lecteur sécurisé UPEK TCS1 FIPS 201 1.6.3.
Modèles d'ordinateurs Dell - Prise en charge de carte réseau de classe B/SIPR • • Latitude E6440 Latitude E6540 • • • Precision M2800 Precision M4800 Precision M6800 • • • Latitude 14 Rugged Extreme Latitude 12 Rugged Extreme Latitude 14 Rugged Modèles d'ordinateur Dell - Prise en charge d'UEFI Les fonctions d'authentification sont prises en charge avec le mode UEFI sur certains ordinateurs Dell exécutant Microsoft Windows 8, Microsoft Windows 8.
3. Appuyez sur la flèche vers le bas, mettez en surbrillance l'option Paramètres du BIOS, puis appuyez sur Entrée. 4. Sélectionnez Paramètres > généraux > Options de démarrage avancées. 5. Décochez la case Activer les ROM de l'option Héritée, puis cliquez sur Appliquer. SED compatibles OPAL Pour consulter la toute dernière liste de SED compatibles Opal pris en charge avec la gestion des SED, reportez-vous à l'article suivant de la base de connaissances : http://www.dell.
La fonction de mot de passe à usage unique exige qu'un TPM soit présent, activé, et détenu. Pour plus d'informations, reportez-vous à Effacer la propriété et activer le module de plateforme sécurisée (TPM),. OTP est pas pris en charge avec TPM 2.0. Les tableaux suivants présentent les options d'authentification disponibles avec Security Tools, par système d'exploitation, lorsque les exigences matérielles et de configuration sont respectées. Non UEFI PBA Mot de passe Authentification Windows Empr. digit.
REMARQUE : En cas d'exécution de produits de cryptage DDP|E, arrêtez ou suspendez une analyse de cryptage. Si vous exécutez Microsoft BitLocker, mettez en suspens la règle de cryptage. Une fois que DDP|A a été désinstallé et que la stratégie Microsoft BitLocker n'est plus interrompue, initialisez le module TPM en suivant les instructions qui se trouvent sur http://technet.microsoft.com/en-us/library/cc753140.aspx. Désactiver le matériel géré par DDP|A 1. Lancez DDP|A, puis cliquez sur l'onglet Avancé. 2.
Initialiser le module TPM • • Vous devez être membre du groupe des administrateurs locaux, ou équivalent. L'ordinateur doit être pourvu d'un BIOS compatible et d'un TPM. Cette tâche est requise si vous utilisez Mot de passe à usage unique (OTP). • Suivez les instructions sous http://technet.microsoft.com/en-us/library/cc753140.aspx. Effacer la propriété et activer le TPM Pour effacer et configurer la propriété du TPM, voir https://technet.microsoft.com/en-us/library/ cc749022%28v=ws.10%29.aspx#BKMK_S2.
3 Installation et activation Cette section explique comment installer DDP | Security Tools sur un ordinateur local. Pour installer et activer DDP | Security Tools, vous devez être connecté à l'ordinateur comme administrateur. REMARQUE : Lors de l'installation, n'apportez aucune modification à l'ordinateur, notamment, n'insérez ou ne retirez pas de lecteurs externes (USB). Installation de DDP | Security Tools Pour installer Security Tools : 1.
7. Cliquez sur Installer pour lancer l'installation. 8. Lorsque l'installation est terminée, vous devez redémarrer l'ordinateur. Sélectionnez Oui pour redémarrer, puis cliquez sur Terminer. L'installation est terminée. Activation de DDP | Security Tools La première fois que vous exécutez la Console de sécurité DDP et sélectionnez Paramètres d'administrateur, l'assistant d'activation vous guide au cours du processus d'activation.
3. Dans la page d'accueil, cliquez sur Suivant. 4. Créer le mot de passe DDP | Security Tools, puis cliquez sur Next (Suivant). Vous devez créer le mot de passe de l'administrateur DDP | Security Tools avant de configurer Security Tools. Ce mot de passe est nécessaire chaque fois que vous exécutez l'outil Paramètres de l'administrateur. Le mot de passe doit contenir entre 8 et 32 caractères et au moins une lettre, un chiffre et un caractère spécial. 5.
6. Dans la page récapitulative, cliquez sur Appliquer. L'activation de Security Tools est terminée. Les administrateurs et les utilisateurs peuvent commencer à utiliser les fonctions Security Tools immédiatement en fonction des paramètres par défaut.
4 Tâches de configuration pour les administrateurs Les paramètres par défaut Security Tools permettent aux administrateurs et aux utilisateurs d'utiliser Security Tools immédiatement après l'activation, sans configuration supplémentaire. Les utilisateurs sont ajoutés automatiquement comme utilisateurs Security Tools lorsqu'ils se connectent à l'ordinateur avec leurs mots de passe Windows, mais, par défaut, l'authentification Windows multifacteur n'est pas activée.
6. Saisissez à nouveau le mot de passe pour le confirmer, puis cliquez sur Appliquer. 7. Pour modifier l'emplacement de stockage de la clé de récupération, dans le panneau de gauche, sélectionnez Modifier l'emplacement de sauvegarde. 8. Sélectionnez un nouvel emplacement pour la sauvegarde, puis cliquez sur Appliquer. Le fichier de sauvegarde doit être enregistré soit sur un lecteur réseau, soit sur un support amovible. Il contient les clés nécessaires à la récupération des données sur l'ordinateur.
Configuration de l'outil de cryptage (Encryption) et de l'authentification avant démarrage (Preboot Authentification) Le cryptage et l'authentification avant démarrage (Preboot Authentication, PBA) sont disponibles si votre ordinateur est équipé d'un lecteur à auto-cryptage (SED). Les deux fonctions sont configurées via l'onglet Cryptage visible uniquement si l'ordinateur est doté d'un lecteur à autocryptage (SED).
6. Dans la page Personnalisation du prédémarrage, entrez le texte à afficher dans l'écran Preboot Authentication (PBA), puis cliquez sur Suivant. Texte du titre de prédémarrage Ce texte s'affiche dans l'écran PBA. Si vous n'entrez rien dans ce champ, aucun titre ne s'affiche. Le texte n'est pas renvoyé à la ligne. Si vous entrez plus de 17 caractères, le texte est tronqué. Texte du service clientèle Ce texte s'affiche sur la page des informations de support de PBA.
7. Dans la page récapitulative, cliquez sur Appliquer. 8. Lorsque vous y êtes invité, cliquez sur Arrêter. Un arrêt complet est requis pour que le cryptage soit lancé. 9. Après l'arrêt, redémarrez l'ordinateur. L'authentification est maintenant gérée par Security Tools. Les utilisateurs doivent se connecter dans l'écran d'authentification avant démarrage (PBA) avec leurs mots de passe Windows.
• • Modifier la politique ou la personnalisation avant démarrage - Cliquez sur l'onglet Cryptage, puis cliquez sur Modifier. Décrypter le lecteur à autocryptage, par exemple, pour la désinstallation : cliquez sur Décrypter.
Par défaut, chaque méthode d'authentification est configurée pour être utilisée individuellement, pas en combinaison avec d'autres méthodes d'authentification. Vous pouvez modifier les méthodes par défaut des manières suivantes : • Pour définir une combinaison d'options d'authentification, sous Options disponibles, cliquez sur pour sélectionner la première méthode d'authentification. Dans la boîte de dialogue Options disponibles, sélectionnez la seconde méthode d'authentification, puis cliquez sur OK.
Les utilisateurs peuvent être informés d'enregistrer leurs identifiants requis lors de leur prochaine connexion Windows (par défaut), ou vous pouvez définir des notifications à intervalles réguliers. Sélectionnez l'intervalle de rappel dans la liste déroulante Rappel à l'utilisateur. REMARQUE : La notification qui s'affiche est légèrement différente selon l'endroit où l'utilisateur se trouve dans l'écran de connexion Windows ou dans une session Windows lorsque la notification est déclenchée.
Configuration de l'authentification par le Gestionnaire de mots de passe Dans la page Gestionnaire des mots de passe, vous pouvez définir la manière dont les utilisateurs s'authentifient dans le Gestionnaire de mots de passe. Configuration de l'authentification par le Gestionnaire de mots de passe : 1. Dans le volet gauche, sous Authentification, sélectionnez Gestionnaire de mots de passe. 2.
• Pour permettre l'utilisation individuelle de chaque méthode d'authentification, dans la boîte de dialogue Options disponibles, laissez la deuxième méthode d'authentification définie sur Aucune, puis cliquez sur OK. • Pour supprimer une option de connexion, sous Options disponibles dans la page Options de connexion, cliquez sur X pour supprimer la méthode. • Pour ajouter une nouvelle combinaison de modes d'authentification, cliquez sur Ajouter une option. 5.
Configuration de l'authentification par lecture d'empreinte digitale Pour configurer l'authentification par lecture d'empreinte digitale : 1. Dans le volet gauche, sous Authentification, sélectionnez Empreintes digitales. 2. Dans Inscriptions, définissez le nombre minimum et le nombre maximum de doigts qu'un utilisateur peut inscrire.
3. Définissez la sensibilité de numérisation de l'empreinte digitale. Une sensibilité inférieure augmente l'écart acceptable et la probabilité d'accepter une numérisation erronée. À la sensibilité la plus élevé, il est possible que le système rejette des empreintes authentiques. Le réglage de sensibilité Plus réduit le taux d'acceptation erronée à 1 sur 10 000 numérisations. 4.
REMARQUE : L'activation de la stratégie Exiger un mot de passe, une fois les périphériques mobiles enregistrés auprès d'un ordinateur, entraîne l'annulation de l'enregistrement de tous les appareils mobiles. Les utilisateurs devront ré-enregistrer leurs appareils mobiles une fois cette règle activée. Lorsque la case Exiger un mot de passe est cochée, les utilisateurs doivent déverrouiller leur périphérique mobile pour accéder à l'application Security Tools Mobile.
Pour configurer l'enregistrement de carte à puce : Dans l'onglet Authentification de l'outil Paramètres de l'administrateur, sélectionnez Carte à puce. Configuration des droits avancés 1. Cliquez sur Avancé pour modifier les options utilisateur final avancées. Sous Avancé, vous avez l'option d'autoriser les utilisateurs à enregistrer eux-mêmes des informations d'identification, à modifier leurs informations d'identification enregistrées et à activer la connexion en une étape. 2.
REMARQUE : Pour inscrire les identifiants d'un utilisateur, rendez-vous sur la page Utilisateurs de l'outil Paramètres administrateur, sélectionnez un utilisateur et cliquez sur Inscrire. Autoriser la connexion en une étape : la connexion en une étape correspond à l'authentification unique (SSO – Single Sign-on). Par défaut, cette case est cochée. Dans ce cas, les utilisateurs doivent entrer leurs données d'identification uniquement dans l'écran d'authentification au démarrage.
REMARQUE : Ouverture de session et Session indiquent l'état de l'inscription d'un utilisateur. Lorsque Sign-in status (État du mot de passe) est OK, toutes les inscriptions auxquelles l'utilisateur doit pouvoir se connecter sont établies. Lorsque session status (État du mot de passe) est OK, toutes les inscriptions pour lesquelles l'utilisateur doit utiliser Password Manager ont été exécutées. Si l'un de ces statuts est Non, l'utilisateur doit terminer les enregistrements supplémentaires.
3. Entrez le nom d'objet d'un utilisateur dans la zone de texte et cliquez sur Vérifier les noms. 4. Cliquez sur OK lorsque vous avez terminé. L'Assistant Enregistrement s'ouvre. Accédez à Inscrire ou modifier les références de l'utilisateur pour obtenir des instructions.
4. Dans la boîte de dialogue Authentification requise, connectez-vous à l'aide du mot de passe Windows de l'utilisateur, puis cliquez sur OK. 5. Dans la page Mot de passe, pour modifier le mot de passe Windows de l'utilisateur, entrez et confirmez un nouveau mot de passe, puis cliquez sur Suivant. Si vous ne souhaitez pas modifier le mot de passe, cliquez sur Ignorer. L'Assistant vous permet d'ignorer un identifiant si vous ne voulez pas l'inscrire. Pour retourner à une page, cliquez sur Retour. 6.
Supprimer tous les identifiants enregistrés d'un utilisateur 1. Cliquez sur la mosaïque Paramètres d'administrateur. 2. Cliquez sur l'onglet Utilisateurs et recherchez l'utilisateur à supprimer. 3. Cliquez sur Supprimer. (La commande de suppression apparaît en rouge au bas des paramètres de l'utilisateur). Après la suppression, l'utilisateur ne pourra plus se connecter à l'ordinateur, sauf s'il s'enregistre à nouveau.
5 Tâches de désinstallation Pour installer DDP | Security Tools, vous devez au moins disposer des droits d'administrateur local. Désinstallation de DDP | Security Tools Vous devez désinstaller les applications dans cet ordre : DDP | Client Security Framework 2. DDP | Security Tools Authentication 3. DDP | Security Tools Si vous disposez d'un ordinateur équipé d'un disque à auto-cryptage, procédez comme suit pour effectuer la désinstallation : 1. Déprovisionnez le disque SED : a.
5. Dans le panneau de configuration de Windows, désinstallez Security Tools. Un message vous demande si vous voulez désinstaller complètement l'application et ses composants. Cliquez sur Oui. La boîte de dialogue Désinstallation terminée s'affiche. 6. Cliquez sur Oui, je veux redémarrer l'ordinateur maintenant, puis cliquez sur Terminer. 7. L'ordinateur redémarre ; la désinstallation est terminée.
6 Récupération Des options de récupération sont disponibles au cas où les données d'identification d'un utilisateur expireraient ou seraient perdues : • • Mot de passe ponctuel (OTP) : l'utilisateur génère un OTP avec l'application Security Tools Mobile sur un terminal mobile enregistré et entre l'OTP dans l'écran de connexion Windows pour récupérer l'accès. Cette option n'est disponible que si l'utilisateur a enregistré un terminal mobile à l'aide de Security Tools sur l'ordinateur.
Après avoir répondu correctement aux questions, vous accédez au mode Récupération d'accès. Ce qui se produit ensuite dépend de l'identifiant qui avait échoué. • • Si vous n'aviez pas entré le mot de passe Windows correct, l'écran Modifier le mot de passe s'affiche. Si une empreinte digitale n'avait pas été reconnue, la page d'enregistrement des empreintes s'affiche pour vous permettre de réenregistrer l'empreinte. Auto-récupération et questions de récupération de l'authentification au démarrage (PBA).
Auto-récupération, Mot de passe à usage unique Cette procédure explique comment utiliser la fonction de mot de passe à usage unique (OTP) pour pouvoir accéder de nouveau à l'ordinateur si, par exemple, le mot de passe Windows a expiré ou a été oublié ou que le nombre maximal de tentatives de connexion a été atteint.
1. Dans l'écran de connexion Windows, sélectionnez l'icône OTP 2. Sur le périphérique mobile, ouvrez l'application Security Tools Mobile et entrez le mot de passe. 3. Sélectionnez l'ordinateur auquel vous voulez accéder. Si le nom de l'ordinateur n'apparaît pas sur le périphérique mobile, cela peut être dû à l'une des situations suivantes : • • Le périphérique mobile n'est pas enregistré sur l'ordinateur auquel vous tentez d'accéder, ou n'y est pas associé.
Récupération 43
7 Glossaire Déprovisionnement : le déprovisionnement supprime la base de données d'authentification avant démarrage (PBA) et désactive l'authentification avant démarrage. Pour prendre effet, le déprovisionnement nécessite un arrêt. Mot de passe à usage unique (OTP) : un mot de passe à usage unique est un mot de passe utilisable une seule fois et valide pour une durée limitée dans le temps. OTP exige que le TPM soit présent, activé et détenu.