Notes de publication de Sophos Disk Encryption 5.61

Nouveautés dans cette version

Chiffrement intégral du disque

Avec le chiffrement intégral du disque, les données présentes sur les ordinateurs d'extrémité sont protégées contre tout accès non autorisé. Les lecteurs sont chiffrés de manière transparente et l'authentification au démarrage (POA, Power-On Authentication) fournit un mécanisme d'authentification supplémentaire avant le démarrage du système d'exploitation. Vous pouvez administrer Full Disk Encryption avec Sophos Enterprise Console 5.1.

Remarque : le chiffrement intégral du disque n'est pas inclus dans toutes les licences. Si vous voulez l'utiliser, il se peut que vous ayez à personnaliser votre contrat de licence. Retrouvez plus d'informations sur http://www.sophos.com/fr-fr/products/complete/comparison.aspx.

Pour plus d'informations sur les nouvelles fonctions, consultez l'Aide de la Sophos Enterprise Console et l'Aide de Sophos Disk Encryption.

Configuration système requise

Configuration système requise pour l'agent de Sophos Disk Encryption

Plates-formes prises en charge 32 bits 64 bits IA-64 (Itanium) Espace disque conseillé RAM minimale
Windows 7, SP1 Édition familiale Premium/Entreprise/Édition Intégrale/Professionnel Oui Oui   300 Mo* 1 Go**
Windows Vista SP1, SP2 Entreprise/Édition Intégrale/Professionnel Oui Oui   300 Mo* 1 Go**
Windows XP Professionnel SP2, SP3 Oui     300 Mo* 1 Go**

* L'installation nécessite au moins 300 Mo d'espace libre sur le disque dur. Pour l'agent de Sophos Disk Encryption, au moins 100 Mo de cet espace libre doit être une zone contiguë. Avant l'installation, pour augmenter les chances que cette zone contiguë soit disponible, défragmentez votre système si vous avez moins de 5 Go d'espace disque et si votre système d'exploitation n'est pas fraîchement installé. Sinon, il est possible que l'installation échoue à cause d'un "manque d'espace libre contigu” et qu'elle ne soit pas prise en charge.

** Cet espace mémoire est conseillé. Sophos Disk Encryption n'utilise pas toute la mémoire.

Logiciel requis : Internet Explorer version 6.0 ou supérieure

Langues prises en charge : anglais, français, allemand, italien, japonais, espagnol

Configuration système requise pour le SafeGuard Policy Editor

Vous avez uniquement besoin d'installer SafeGuard Policy Editor 5.61 dans le cas suivant : lorsque vous avez plusieurs environnements Sophos SafeGuard Disk Encryption/SafeGuard Easy 5.x indépendants avec différents certificats d'entreprise et que vous souhaitez les fusionner dans un seul environnement, vous devez modifier le certificat d'entreprise dans SafeGuard Policy Editor 5.61.

Plates-formes prises en charge 32 bits 64 bits IA-64 (Itanium) Espace disque conseillé RAM minimale
Windows 7, SP1 Entreprise/Édition Intégrale/Professionnel Oui Oui   1 Go 1 Go*
Windows Vista SP1, SP2 Entreprise/Édition Intégrale/Professionnel Oui Oui   1 Go 1 Go*
Windows XP Professionnel SP2, SP3 Oui     1 Go 1 Go*
Windows Server 2008 SP1, SP2 Oui Oui   1 Go 1 Go*
Windows Server 2008 R2, SP1   Oui   1 Go 1 Go*
Windows Server 2003 SP1, SP2 Oui Oui   1 Go 1 Go*
Windows Server 2003 R2 SP1, SP2 Oui Oui   1 Go 1 Go*
Windows Small Business Server 2003, 2008, 2011       1 Go 1 Go*

* Cet espace mémoire est conseillé. Le SafeGuard Policy Editor n'utilise pas toute la mémoire.

Logiciel requis : .NET Framework 3.0 SP1

Langues prises en charge : anglais, français, allemand, japonais

Dispositions de clavier

Vérifiez les dispositions de clavier prises en charge dans l'authentification au démarrage :

http://www.sophos.com/fr-fr/support/knowledgebase/112782.aspx.

Produits antivirus testés avec Sophos Disk Encryption

Sophos Disk Encryption a été testé avec succès par Sophos sur des installations de produits antivirus concurrents ainsi que les suivants :

Fabricant Produit Version
AVG Free Anti-Virus Small Business Edition 2011 10.0.1153
Computer Associates Security Center Version 6.0.0.285
F-Secure Anti Virus 2011 10.51
G Data AntiVirus Version 2011 21.1.0.5
Kaspersky Internet Security Version 2011 11.0.0.232
Symantec Endpoint Protection 11.0.6
Trend Micro Titanium Internet Security 2011  
McAfee Internet Security 2011  
Norman Virus Control 2010.02.22
Microsoft Security Essentials  

Détection des logiciels de chiffrement tiers

Des tests ont prouvé que le déploiement de Sophos Disk Encryption 5.61 est interrompu si le logiciel de chiffrement tiers est détecté sur l'ordinateur d'extrémité :

  • Symantec PGP Desktop versions 10.0 et 10.1

  • TrueCrypt versions 6.3a et 7.0a

  • Checkpoint version 7.3va

  • McAfee version 1.2.0

  • Microsoft BitLocker Drive Encryption

Remarque : assurez-vous toujours que le logiciel de chiffrement tiers a été désinstallé avant de déployer Sophos Disk Encryption 5.61.

Problèmes connus

Généralités

  • Client Novell

    Pour utiliser Sophos Disk Encryption 5.61 conjointement avec un client Novell, certaines adaptations spécifiques aux projets sont nécessaires. Pour plus d'informations, veuillez contacter le support technique Sophos.

  • Le changement rapide d'utilisateur n'est pas pris en charge et doit être désactivé.

    Avant que l'installation ne commence, une opération de vérification s'assure qu'il n'y a qu'un seul utilisateur ayant une session ouverte. L'ouverture d'une autre session utilisateur pendant l'installation n'est pas prise en charge.

  • Lecteur de disquettes

    Suite à l'installation de Sophos Disk Encryption 5.61 sur Windows Vista, le lecteur de disquette incorporé n'est plus disponible. Cette restriction ne s'applique pas aux lecteurs de disquette externes connectés via le bus USB.

  • Redimensionnement de partitions non pris en charge

    Le redimensionnement des partitions sur un ordinateur d'extrémité sur lequel est installé Sophos Disk Encryption 5.61 n'est pas pris en charge.

  • Temps de démarrage plus long

    Le temps de démarrage est plus long d'environ une minute suite à l'installation de Sophos Disk Encryption 5.61 sur un ordinateur d'extrémité.

  • Prise en charge de la plate-forme de virtualisation

    Sophos Disk Encryption prend uniquement en charge les plates-formes de virtualisation VMware Workstation et Player. Toutes les autres plates-formes telle que VMware ESX/ESXi Server, MS Virtual PC ou MS HyperV ne sont pas prises en charge.

  • (DEF82166) Sur un système d'exploitation japonais, la récupération de connexion à l'aide de Local Self Help peut échouer car les caractères japonais ne peuvent pas être saisis à l'authentification au démarrage (POA).

    Dans l'Assistant Local Self Help, sur les systèmes d'exploitation japonais, les utilisateurs peuvent définir des réponses à des questions pour la récupération de connexion en caractères japonais. Mais lorsque vous répondez à ces questions lors de la récupération de connexion dans la POA, les caractères japonais ne sont pas reconnus. Si les réponses entrées dans l'Assistant et dans la POA ne correspondent pas, la connexion ne peut pas être récupérée.

    Solution : lors de la saisie des réponses en japonais dans l'Assistant Local Self Help, vous devez utiliser des caractères Romaji (Roman). Sinon, les réponses ne correspondront pas lorsque vous répondrez aux questions de la POA.

Chiffrement

  • (DEF69429) Sur certains disques Toshiba OPAL, le chiffrement en mode OPAL échoue si la première partition ne se trouve pas au début du disque.

    La spécification TCG Storage OPAL pour les lecteurs à auto-chiffrement (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) nécessite l'utilisation d'une zone Shadow MBR d'une taille minimale de 128 Mo. Si cette zone n'est pas entièrement accessible en lecture ou en écriture comme dans le cas des disques Toshiba OPAL avec une version MGT00A du firmware et que le secteur de démarrage de la partition de démarrage du disque se trouve dans une zone inaccessible, Sophos Disk Encryption ne sera pas en mesure d'activer le chiffrement OPAL pour ce lecteur.

    Solution : déplacez la partition de démarrage au début du disque.

  • (DEF69695) Restrictions OPAL

    La prise en charge par Sophos Disk Encryption des lecteurs à auto-chiffrement OPAL a les limites suivantes :

    • Le chiffrement en mode OPAL peut uniquement être activé pour un lecteur OPAL par machine.
    • En cas de présence de plusieurs lecteurs OPAL et si une stratégie de chiffrement est affectée à l'un de ces volumes, ces derniers se verront appliqués un chiffrement logiciel semblable à celui appliqué sur un lecteur ne se chiffrant pas automatiquement. Ceci signifie que le chiffrement logiciel sera toujours effectué pour une configuration RAID disposant de plusieurs lecteurs OPAL.
    • Si un lecteur OPAL contient plus d'un volume, l'activation du chiffrement OPAL s'applique simultanément à tous les volumes.
    • Le premier secteur de la partition de démarrage du disque doit être situé dans les premiers 128 Mo.

  • (DEF70019) N'utilisez pas le mode Veille hybride sur les machines OPAL

    Sur les ordinateurs disposant d'un lecteur à auto-chiffrement OPAL, l'activation de l'option Autoriser la veille hybride dans la boîte de dialogue Options d’alimentation avancées peut entraîner des erreurs au cours de la procédure de passage du mode veille à l’éveil automatique (reprise). Ceci signifie que toutes les données non sauvegardées sur le disque avant la mise en veille de l'ordinateur seront perdues.

  • (DEF69207) Les lecteurs à auto-chiffrement OPAL sont inutilisables en cas de perte de la clé de chiffrement

    Selon la spécification de TCG Storage OPAL pour les lecteurs à auto-chiffrement (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal), il est impossible d'accéder à un lecteur activé en cas de perte des codes d'accès de déverrouillage du lecteur. Ceci signifie que le disque est complètement inutilisable. Dans le même cas de figure, les données sont également perdues sur un disque chiffré à l'aide d'un logiciel, cependant, le matériel peut être réutilisé après reformatage du disque. Sophos Disk Encryption invite l'utilisateur à sauvegarder le fichier de clé. En revanche, en cas de perte de données, le scénario décrit ici s'applique.

  • (DEF69207) Les lecteurs à auto-chiffrement OPAL doivent être déverrouillés en permanence avant d'être reformatés ou réinitialisés

    Les paramètres d'usine doivent être rétablis sur les lecteurs à auto-chiffrement avant de les reformater ou de les réinitialiser. Dans les cas de figure où il est impossible d'effectuer un déchiffrement standard ou une désinstallation de Sophos Disk Encryption, un outil (OPALEmergencyDecrypt.exe) est mis à disposition pour restaurer de manière permanente un lecteur OPAL administré par Sophos Disk Encryption. Pour des raisons de sécurité, cet outil est disponible sur demande auprès du service clientèle de Sophos.

  • (DEF66126) Échec de la sortie de veille lorsque le pilote MSAHCI de Windows est installé sur un ordinateur avec un lecteur OPAL activé

    Lorsqu'une machine est en mode Veille, sa réactivation échoue si le pilote du disque dur MSAHCI de Microsoft est installé. MSAHCI a été introduit avec Windows Vista. Ce problème s'applique donc à Windows Vista et Windows 7 mais pas à Windows XP.

    Solutions : si ceci est applicable à la configuration matérielle, utilisez plutôt le pilote IAStore approprié. Le package du pilote "Intel RST driver package v10.1.0.1008" a été testé avec succès. Modifiez le paramètre BIOS du contrôleur du disque dur (par exemple, mode SATA, mode ATA Controller, mode IDE Controller, ...) sur Mode de compatibilité. Sur la majorité des BIOS, vous allez devoir sélectionner une valeur autre que AHCI (par exemple IDE, Compatibilité, ...).

  • (DEF68440) Problèmes de sécurité lors de l'utilisation de disques SSD (Solid State Drives)

    Sur les SSD actuels, les logiciels (y compris le système d'exploitation) ne sont pas en mesure de déterminer l'emplacement physique exact de stockage des données sur le SSD. Un contrôleur, qui est un composant essentiel de tout SSD, simule le comportement externe du plateau du disque dur tout en effectuant une tâche totalement différente en interne. Les implications sont nombreuses pour la sécurité des données archivées. Pour plus d'informations, consultez l'article http://www.sophos.com/fr-fr/support/knowledgebase/113334.aspx. Le plus important étant le suivant : seules les données écrites sur un volume SSD suite à l'activation d'une stratégie de chiffrement sont sécurisées de manière cryptographique. Il est toutefois impossible de garantir que toutes les données déjà présentes sur le SSD avant le démarrage du processus de chiffrement initial de Sophos Disk Encryption ont été totalement supprimées du SSD une fois que le chiffrement initial est terminé. Veuillez noter que ce problème n'est pas spécifique à Sophos Disk Encryption et concerne également tous les systèmes dont le chiffrement intégral du disque est effectué par un logiciel.

  • (DEF65729, DEF66438, DEF58796) Le chiffrement intégral du disque des lecteurs eSATA amovibles ne fonctionne pas comme prévu.

    Actuellement, la majorité des lecteurs eSATA externes ne parviennent pas à s'identifier en tant que périphériques amovibles. Ces lecteurs sont donc traités par Sophos Disk Encryption en tant que lecteur interne et toutes les stratégies correspondantes sont appliquées. Nous déconseillons l'utilisation des lecteurs eSATA dans un environnement de chiffrement intégral du disque Sophos sauf si les stratégies de chiffrement appliquées les prennent formellement en compte.

  • Chiffrement des lecteurs virtuels

    Les lecteurs virtuels montés sur l'ordinateur d'extrémité (par exemple, un fichier VHD dans Windows à l'aide du monteur Microsoft Virtual Server) sont considérés comme des lecteurs de disques durs locaux et leur contenu sera donc également chiffré si une stratégie de chiffrement est définie pour les autres volumes.

  • Lors du chiffrement initial de la partition système (c'est-à-dire celle où se trouve le fichier hiberfil.sys), l'option Suspendre sur le disque peut échouer et doit donc être évitée. Après le chiffrement initial de la partition système, un redémarrage est requis avant que l'option Suspendre sur le disque ne fonctionne de nouveau correctement.

Windows XP

  • Le système d'exploitation Microsoft Windows XP jusqu'au Service Pack 2 affiche un problème sur certaines machines où une reprise après la mise en veille n'affiche pas le bureau verrouillé mais ouvre directement le bureau de l'utilisateur. Le problème concerne également les ordinateurs d'extrémité avec Sophos Disk Encryption. Le problème a été corrigé sous Windows XP SP3.
  • Microsoft Windows XP a une restriction technique dans sa pile de noyau. Si plusieurs pilotes de filtres du système de fichiers (par exemple, le logiciel antivirus) sont installés, il est possible que la mémoire ne soit pas suffisante. Dans ce cas, vous pouvez prendre un BSOD. Sophos ne saurait se considérer responsable de cette restriction Windows et ne peut pas résoudre ce problème.

Compatibilité

  • (WKI81667) SDE 5.61 n'est pas compatible avec les solutions de chiffrement intégral du disque tierces comme Microsoft BitLocker Drive Encryption et ne peut pas être utilisé sur le même ordinateur d'extrémité.

    Si SDE 5.61 est installé sur un ordinateur d'extrémité mais le lecteur n'est pas chiffré, puis le chiffrement de lecteur Microsoft BitLocker est installé par dessus et utilisé pour protéger l'ordinateur d'extrémité, le LocalCache sera corrompu provoquant le redémarrage de l'ordinateur d'extrémité. Des redémarrages supplémentaires entraînent en suite une boucle de redémarrage.

    Solution : n'installez aucune solution de chiffrement intégral du disque tierce sur un ordinateur d'extrémité avec SDE 5.61 installé.

  • (DEF69644) SafeGuard LAN Crypt doit être réparé lors de la désinstallation de l'agent de Sophos Disk Encryption 5.61 sur le même ordinateur. 

    Une désinstallation de Sophos Disk Encryption 5.61 sur un ordinateur sur lequel est installé le client SafeGuard LAN Crypt Client (SGLC) entraîne une erreur du pilote interne lorsque l'utilisateur essaye de charger son jeu de clés SGLC. 

    Solution :  procédez à une installation de réparation sur le package du client SafeGuard LAN Crypt. 
  • (DEF69092) Impossible d'exécuter SafeGuard RemovableMedia et Sophos Disk Encryption 5.61 sur le même ordinateur d'extrémité. Le produit SafeGuard RemovableMedia a été interrompu et doit être désinstallé avant toute utilisation des composants de Sophos Disk Encryption 5.61 sur le même ordinateur.
  • Empirum Security Suite Agent

    Si le logiciel Sophos Disk Encryption 5.61 est installé et fonctionne conjointement au logiciel Empirum Security Suite Agent, il se peut que le système s'arrête avec le BSOD suivant :

    BSOD au démarrage du système avec code d'arrêt 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS

    Ce problème est provoqué par l'un des composants Empirum Software. Une correction pour ce problème sera incluse dans Empirum Security Suite. Pour obtenir les derniers détails/mises à jour sur ce problème, veuillez contacter le support technique Matrix42.

  • AbsoluteSoftware Computrace

    Sophos Disk Encryption 5.61 ne parvient pas à s'installer sur les ordinateurs d'extrémité sur lesquels se trouve AbsoluteSoftware Computrace avec l'agent permanent track-0 installé et activé.

  • La compatibilité aux outils d'imagerie n'a pas été testée et n'est donc pas prise en charge par Sophos.

Mise à niveau

  • Lors de la mise à niveau à partir de Sophos SafeGuard Disk Encryption/SafeGuard Easy 5.x vers Sophos Disk Encryption 5.61, les icônes de l'authentification au démarrage ne sont pas mises à jour avec la nouvelle image de marque de Sophos.

  • Lors de la mise à niveau au chiffrement administré de SafeGuard Enterprise, le SafeGuard Management Center et le serveur SafeGuard Enterprise doivent être à la version 6.0 au minimum.

Problèmes résolus

  • (DEF76145) L'Aide de Sophos Disk Encryption lancée depuis la boîte de dialogue "User Machine Assignments" n'affichait pas la page d'aide

    La page d'aide correspondante apparaît maintenant lorsque vous cliquez sur le bouton d'aide de la boîte de dialogue "User Machine Assignments".

  • (DEF79546) Le déploiement et le redémarrage de l'authentification au démarrage de Sophos Disk Encryption ne sont pas correctement signalés.

    Pour activer la POA, les utilisateurs sont maintenant invités à exécuter un redémarrage supplémentaire après l'installation de l'agent de chiffrement.

  • (DEF78786) Les exceptions d'authentification au démarrage ne fonctionnent pas comme prévu.

    Les exceptions d'authentification au démarrage POA prennent désormais effet comme prévu sur l'agent de chiffrement.

Support technique

Vous pouvez obtenir le support technique pour les produits Sophos de l'une des manières suivantes :

  • Rendez-vous sur le forum de la communauté SophosTalk en anglais sur http://community.sophos.com/ et recherchez d'autres utilisateurs rencontrant le même problème que le vôtre.
  • Visitez la base de connaissances du support technique Sophos à l'adresse http://www.sophos.fr/support/
  • Téléchargez la documentation des produits à l'adresse http://www.sophos.fr/support/docs/
  • Envoyez un courriel à support@sophos.fr, y compris le ou les numéros de version(s) du logiciel Sophos, le ou les systèmes d'exploitation et le ou les niveaux de correctif ainsi que le texte de tout message d'erreur.

Mentions légales

Copyright © 2012 Sophos Group. Tous droits réservés. SafeGuard est une marque déposée de Sophos Group.

Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous possédez une licence valide, auquel cas vous pouvez reproduire la documentation conformément aux termes de cette licence ou si vous avez le consentement préalable écrit du propriétaire du copyright.

Sophos, Sophos Anti-Virus et SafeGuard sont des marques déposées de Sophos Limited, Sophos Group et de Utimaco Safeware AG, partout ou ceci est applicable. Tous les autres noms de produits et de sociétés mentionnés sont des marques ou des marques déposées appartenant à leurs propriétaires respectifs.

Les informations de copyright des fournisseurs tiers sont disponibles dans le document Disclaimer and Copyright for 3rd Party Software dans votre répertoire des produits.