Une nouvelle méthode optimisée de traitement du chiffrement initial utilisant le chiffrement complet du disque est désormais disponible et réduit considérablement la durée du processus de chiffrement initial. La limitation du chiffrement initial à l'espace du disque dur vraiment "utilisé", et non à tout l'espace disque physique disponible, vous offre un gain de performances considérable selon le pourcentage d'espace disque utilisé. Ce nouveau mode de fonctionnement peut être contrôlé parallèlement aux autres paramètres de la stratégie de chiffrement et il est désactivé par défaut.

1.1.2 Amélioration des performances de chiffrement

La nouvelle mise en place améliorée et optimisée de l'algorithme de chiffrement AES256 assure de meilleures performances d'exécution lors de l'accès aux

données chiffrées.

1.2 Ce que contient la version 5.50 de SDE

1.2.1 Nouvelle architecture basée sur SafeGuard Enterprise Engine

Par rapport à la version 4.60 précédente, Sophos SafeGuard Disk Encryption 5.50 est un produit complètement nouveau basé sur l'architecture SafeGuard Enterprise. Il inclut une nouvelle authentification graphique au démarrage (POA, power on authentication), une aide locale sans assistance (Local Self Help) pour vous aider à récupérer vos mots de passe oubliés et un tout nouvel éditeur de stratégies. Les comptes utilisateurs POA utilisent désormais les codes d'accès Windows au lieu des mots de passe SDE dédiés. Les installations existantes de SDE 4.60 sous Windows XP peuvent être mises à niveau sans nouveau chiffrement. Si vous utilisez actuellement SDE 4.60, familiarisez-vous tout d'abord avec la version 5.50 sur une machine nouvellement configurée et, avant de tenter toute mise à niveau; consultez la section de l'aide de l'administrateur concernant la mise à niveau. Pour éviter toute tâche de mise à niveau sur les clients existants, vous pouvez aussi choisir de laisser les machines fonctionner sous SDE 4.60 et seulement utiliser 5.50 sur les clients nouvellement installés.

1.2.2 Prise en charge étendue des plates-formes Windows : 64 bits et Windows Vista/7

Sophos SafeGuard Disk Encryption 5.50 prend complètement en charge les versions 32 bits et 64 bits de Microsoft Windows Vista et Microsoft Windows 7 ainsi que Windows XP 32 bits. Le Policy Editor prend aussi en charge les versions 32 bits et 64 bits de Windows Server 2003 et Windows Server 2008/R2.

1.2.3 Comptes de service

Sophos SafeGuard Disk Encryption 5.50 contient la fonctionnalité d'attribution d'utilisateurs aux listes de comptes de service. Sur une machine cliente nouvellement configurée où la POA (Power on Authentication, authentification au démarrage) n'est pas encore activée, les utilisateurs de cette liste ne sont pas ajoutés dans la liste d'utilisateurs de la POA et ne peuvent donc pas prendre possession de la machine ou activer la POA après l'ouverture d'une session sous Windows. Ceci leur permet d'effectuer la maintenance et de configurer la machine mais en laissant apparemment intacte la configuration de Sophos SafeGuard Disk Encryption avant de la transférer à son propriétaire prévu, une opération nécessaire dans les scénarios de déploiement.

1.2.4 Comptes utilisateurs “POA seulement”

Des comptes spéciaux (facilement reconnaissables par leur appartenance à un domaine virtuel “<POA>” spécial) ont été introduits dans SDE 5.50 pour permettre à l'administrateur de démarrer une machine protégée par la POA sans avoir à connaître l'un des codes d'accès des utilisateurs de la machine ou à être lui-même enregistré comme utilisateur standard sur chaque machine. Il a toujours le droit de démarrer la machine à partir de supports externes et lors de l'ouverture de session Windows sans que cela ne déclenche une des actions d'ouverture de session par défaut du client Sophos SafeGuard Disk Encryption. Par exemple, l'utilisateur ne sera pas enregistré dans SDE sans tenir compte des codes d'accès qui ont été utilisés pour l'ouverture de session Windows.

1.2.5 Compatibilité matériel/système d'exploitation améliorée

La compatibilité de Sophos SafeGuard Disk Encryption a été améliorée davantage encore de nombreuses manières :

Tolérance des défauts pour les périphériques USB qui n'adhèrent pas aux spécifications USB
Amélioration des performances du processus de chiffrement initial lors de l'exécution de Windows Vista ou Windows 7
Liste de compatibilité étendue des matériels dans le programme d'installation. Pour les dernières mises à jour, reportez-vous à l'article de la base de connaissances suivant : http://www.sophos.fr/support/knowledgebase/article/65700.html

1.2.6 CD-ROM de récupération Windows PE (client virtuel)

Les fonctions de récupération avancées pour les lecteurs de disque dur chiffrés SafeGuard Enterprise, par exemple lors du démarrage d'un environnement de récupération Windows PE en cas de système d'exploitation endommagé mal configuré, sont désormais aussi disponibles pour les clients Sophos SafeGuard Disk Encryption 5.50.

1.2.7 Simplification de l'installation et de la sauvegarde de clés

Si l'administrateur le souhaite, les fichiers de récupération Sophos SafeGuard Disk Encryption peuvent désormais être facilement et automatiquement recueillis sur un partage réseau centralisé. D'autre part, des options ont été ajoutées pour facilement sauvegarder et restaurer le certificat d'entreprise des nouvelles installations.

1.2.8 Diverses améliorations

Plusieurs autres améliorations ont été apportés dans Sophos SafeGuard Disk Encryption en termes de convivialité, d'utilisation du stockage, des performances et de gestion. Parmi celles-ci, on trouve :

Une meilleure expérience et une interface graphique plus convivial pour l'utilisateur, par exemple, un affichage plus complet et plus précis de son état dans la zone de notification.
SGNState mentionne désormais par ailleurs la version du client SDE.
Un nouvel outil permet désormais de revenir en arrière dans le cas exceptionnel de l'échec d'une installation conduisant à un blocage dans la POA.
Côté client, un mot de passe de désinstallation peut désormais être requis même pour les utilisateurs d'administration locale via une stratégie configurable. Cela s'applique seulement aux packages Sophos Endpoint Security à partir de la version 9.5.
La période de validité pour une session challenge/réponse a été étendue à 30 minutes. Le délai pour réessayer le mot de passe augmente à la puissance 2 (3, auparavant). Ces mesures atténuent les conséquences d'un mot de passe oublié par l'utilisateur tout en conservant un niveau de sécurité élevé.
Pour récupérer les certificats d'entreprise des installations précédentes, ces derniers peuvent désormais être importés lors de la configuration.
Diverses améliorations dans tout le produit en termes de performances, de sécurité et compatibilité, notamment tous les correctifs logiciels publiés depuis SGN 5.40.

2 Par où commencer ? Aperçu des fichiers d'installation

Sophos SafeGuard Disk Encryption est composé de deux séries de fichiers : une pour installer le logiciel de chiffrement sur les PC d'extrémité (clients) et l'autre pour installer le logiciel d'administration (SafeGuard Policy Editor). Nous conseillons de commencer par l'installation du Policy Editor SafeGuard.

Pour l'installation du produit, procédez ainsi :

1. Consultez le Guide de démarrage : doc\ssg_55_sgfra.pdf

2. Consultez le fichier readme : install\readsde_5_fra.html

3. Installez le Policy Editor SafeGuard sur la machine de l'administrateur souhaité. Les fichiers suivants appartiennent à l'installation du Policy Editor SafeGuard :

· install\dotnetfx35setup.exe
Microsoft .Net Framework requis pour le Policy Editor SafeGuard s'il n'est pas déjà présent sur le système de l'administrateur.

· install\SQLEXPR.exe
Base de données Microsoft SQL Express requise pour le Policy Editor SafeGuard si elle n'est pas déjà présente sur le système de l'administrateur.

· install\SDEPolicyEditor.msi

4. Configurez la stratégie initiale en modifiant celle par défaut dans le Policy Editor SafeGuard en fonction de vos propres besoins et en l'enregistrant dans un fichier (pour plus de détails, consultez l'aide de l'administrateur)

5. Déployez le logiciel de chiffrement et la stratégie sur un ou plusieurs clients. Les fichiers suivants appartiennent au côté client de l'installation :

· install\SGxClientPreinstall.msi
Installe un correctif Microsoft requis pour l'installation de SDE côté client.

· install\SDEClient.msi
pour les systèmes d'exploitation Windows 32 bits ou
install\SDEClient_x64.msi
pour les systèmes d'exploitation Windows 64 bits.

· <emplacement dans lequel vous avez enregistré le fichier stratégie>\Default Package.msi
(ou le nom que vous avez donné au fichier au moment de l'enregistrer)
Il s'agit de la stratégie qui indique au client de chiffrer en fonction des options que vous avez choisies.

Remarques :

· Si vous êtes un utilisateur de SDE 4.60, nous vous conseillons de commencer par vous familiariser avec SDE 5.50 sur les nouvelles machines avant de décider oui ou non de mettre à niveau les installations SDE 4.60 existantes.

· Des droits administrateur sont nécessaires pour installer le logiciel.

· Si vous effectuez une mise à niveau depuis SafeGuard Easy 4.x, assurez-vous de lire la section de l'aide de l'administrateur et les articles de la base de connaissances correspondants

3 Informations générales

3.1 Policy Editor SafeGuard

Matériel :

Unité centrale Intel ou AMD X86

512 Mo de RAM

1 Go d'espace disque (conseillé)

Logiciel :

Systèmes d'exploitation Microsoft Windows en anglais, français, allemand ou japonais

· XP SP2 SP3 32 bits

· Vista SP1 SP2 32 bits 64 bits

· 7 32 bits 64 bits

· 2003 Server SP1 SP2 32 bits 64 bits

· 2003 Server R2 SP1 SP2 32 bits 64 bits

· 2008 Server SP1 SP2 32 bits 64 bits

· 2008 Server R2 64 bits

Microsoft ASP.net

· .NET Framework 3.0 SP1

L'utilisateur Windows doit avoir un accès en lecture/écriture à la base de données grâce à l'une des méthodes d'authentification suivantes :

· Authentification Windows NT

· Authentification à la base de données SQL

Certificats X.509 testés

Microsoft PKI (longueur 384 à 4096 bits – mais au moins 2048 bits conseillés pour des raisons de sécurité)
MS Base Cryptographic Provider 1.0
MS Strong Cryptographic Provider
OpenSSL

3.2 Client Sophos SafeGuard Disk Encryption

Matériel :

Unité centrale Intel ou AMD X86
512 Mo de RAM (minimum), 1 Go conseillé pour Windows Vista / 7
L'installation nécessite au moins 300 Mo d'espace disque. Au moins 100 Mo de cet espace libre doit être une zone contiguë. Avant l'installation, pour augmenter les chances que cette zone contiguë soit disponible, défragmentez votre système si vous avez moins de 5 Go d'espace disque et si votre système d'exploitation n'est pas fraîchement installé. Sinon, il est possible que l'installation échoue à cause d'un "manque d'espace libre contigu” et qu'elle ne soit pas prise en charge.

Systèmes d'exploitation Microsoft Windows :

XP SP2 SP3 32 bits

Vista SP1 SP2 32 bits 64 bits Enterprise/Edition Intégrale/Professionnel/Edition Familiale Premium
7 32 bits 64 bits Enterprise/Edition Intégrale/Professionnel/Edition Familiale Premium

Logiciel :

Internet Explorer version 6.0 ou supérieure

3.3 Récapitulatif des scénarios de mise à jour

Matrice de mise à jour SDE
	Mise à jour depuis
Mise à jour vers	SGE 4.x x >= 50	SDE 4.60	SGN autonome 5.35, 5.40, 5.50	SGN géré 5.35, 5.40, 5.50
SDE 5.50	l	l
SGE 5.50	l	l
SGN 5.50	l	l	l	l
SGN 5.50.8	l	l	l	l

Légende:

l Mise à jour prise en charge

Algorithmes pris en charge

Lors de la mise à jour depuis SGE 4.x, les algorithmes de chiffrement suivants sont pris en charge : IDEA, 3DES, AES 128, AES 256

Migration de SGE 4.x/SDE 4.60 vers SDE 5.50
Pour ces scénarios de migration, l'utilisateur a besoin d'un compte Windows valide. Dans le cas où l'utilisateur ne connaît pas son mot de passe Windows parce qu'il utilise l'ouverture de session SAL pour Windows, le mot de passe Windows de l'utilisateur doit être réinitialisé et la nouvelle valeur doit être transférée à l'utilisateur. Avant de passer à la mise à niveau, veillez à lire la section correspondante du manuel utilisateur.

3.4 Prise en charge du système d'exploitation Windows par SDE

	SDE – Prise en charge des plates-formes Microsoft Windows
						SDE 5.50
						Client	Policy Editor
XP Edition Professionnel				SP2 SP3	32 bits	l	.NET 3.0¹
Vista Edition Familiale Premium Professionnel Entreprise Edition Intégrale				SP1 SP2	32 bits	l	.NET 3.0¹
Vista Edition Familiale Premium Professionnel Entreprise Edition Intégrale				SP1 SP2	64 bits	l	.NET 3.0¹
7 Edition Familiale Premium Professionnel Entreprise Edition Intégrale					32 bits	l	NET 3.0¹
7 Edition Familiale Premium Professionnel Entreprise Edition Intégrale					64 bits	l	NET 3.0¹
Server 2003 / R2		.NET 3.0	IIS 6	SP1 SP2	32 bits 64 bits		l l
Server 2008 Server 2008 R2		.NET 3.0	IIS 7.0 IIS 7.5	SP1	64 bits 64 bits		l l

¹ .Net 3.0 SP1 requis

Remarque 1 :
Sophos SafeGuard Disk Encryption peut être installé sur des systèmes équipés de disques SSD (Solid State Disk) et prend en charge ces derniers.

Remarque 2 :
Sophos SafeGuard Disk Encryption peut être installé et est exploitable dans des environnements de virtualisation. Sachez que des problèmes d'interopérabilité sont possibles concernant le chiffrement sur les périphériques connectés via le bus USB. En fonction de l'environnement de virtualisation et du périphérique connecté, ce problème peut entraîner une erreur système.

4 Problèmes résolus (SDE version 5.50.x comparé à SGN version 5.40)

4.1 Policy Editor SafeGuard

Lors de l'ajout de fichiers texte d'information, aucune nouvelle ligne n'est insérée, conduisant à des concaténations non souhaitées.

4.2 Client Sophos SafeGuard Disk Encryption

Chiffrement de périphériques

- Dans certains scénarios, l'ouverture de session automatique de la POA ne fonctionne pas

- Le programme d'installation n'a pas eu de propriété POACFG

- Des entrées de journal incorrectes indiquaient qu'un lecteur déchiffrait alors qu'il chiffrait

5 Problèmes connus

5.1 Version SDE 5.50

Sur les plates-formes Windows Vista et Windows 7, lors de la mise à jour du client depuis SGN 5.35 ou supérieure vers SDE 5.50, le programme d'installation demande à l'utilisateur d'arrêter certains processus d'exécution. L'utilisateur peut ignorer cela en toute sécurité et doit le faire. Sous Windows 7, si cette opération n'est pas réalisée, Windows Explorer plantera au prochain redémarrage.
Le processus d'installation de SDE a besoin d'être redémarré dans le contexte d'une session d'ouverture de l'administrateur Windows. Le démarrage de l'installation via l'option “Exécuter en tant qu'administrateur” n'est pas pris en charge.
Utilisation du verrouillage des majuscules dans la POA : à noter que la touche Verrouillage des majuscules dans la POA ne modifie que la casse des lettres et n'affecte pas la rangée des numéros du clavier. Le bon usage consiste à utiliser la touche Majuscule pour entrer les mots de passe sans se fier aux fonctions de la touche Verrouillage des majuscules car cela peut varier en fonction des applications.
Lors d'une désinstallation du client, qui inclut le déchiffrement des volumes chiffrés, la machine ne doit pas être fermée ou redémarrée. Cette opération génère en effet un message d'erreur provenant du programme de désinstallation.

S'il existe une stratégie d'authentification contenant l'option de verrouillage "Verrouiller l'écran après mise en veille" OUI/NON, elle ne sera pas transférée sur le client Sophos SafeGuard Disk Encryption.
Sur une machine Windows Vista, l'assistant de configuration initiale du Policy Editor SafeGuard échoue s'il est lancé en tant qu'utilisateur local.
Lors de l'importation de clés externes, il est possible que celles-ci ne contiennent pas les caractères spéciaux XML comme ‘<’, ’>’, ’&’, ‘\’, ‘”’.
Le système de fichiers exFAT, introduit par Microsoft avec Windows CE 6.0 et Windows Vista Service Pack 1, n'est pas pris en charge par Sophos SafeGuard Disk Encryption.

5.2 Policy Editor SafeGuard

· La désinstallation du client SDE sur une machine PE rend le PE inutilisable.
Lorsque le Policy Editor est exécuté sur une machine avec une installation client SDE, la désinstallation du client laisse PE dans un état inutilisable. Ce problème ne dépend pas de l'ordre d'installation des deux modules. Si vous voulez continuer d'exécuter PE sur cette machine, vous devez le réinstaller.

· La configuration du Policy Editor SafeGuard peut échouer à cause des permissions SQL Server par défaut restrictives
Lors de l'installation du Policy Editor SafeGuard sur une machine Windows Vista ou Windows 7, assurez-vous d'avoir les droits d'administration requis pour le moteur de base de données SQL Server ou SQL Express correspondant.

·         Convention d'appellation de la base de données
Les noms des bases de données SDE doivent être conformes à la convention d'appellation suivante afin d'empêcher les problèmes de localisation.

Les noms des bases de données SDE doivent seulement contenir :
            - Des caractères (A-Z, a-z)
            - Des numéros (0-9)
            - Des traits de soulignement (_)

· Si un Policy Editor SafeGuard est installé sur une machine cliente SDE, les deux composants (client + PE) doivent être mis à jour vers SDE 5.50 et le client doit être mis à jour en premier. La mise à jour seule du Policy Editor SafeGuard peut entraîner des échecs d'ouverture de session au niveau de Windows.

· Configuration possible des méthodes d'accès à la base de données SQL :
L'option d'authentification Windows NT nécessite d'autres étapes de configuration obligatoires proposées par Microsoft (recherchez dans la base de connaissances Sophos “SGN & compte de service”). L'authentification SQL est le moyen le moins complexe et ne nécessite aucune configuration supplémentaire.

· Les certificats fournis par le client et importés dans PE ne sont actuellement pas vérifiés conformément à RFC3280. Par exemple, nous n'empêchons pas l'utilisation de certificats de signatures à des fins de chiffrement.

· Des stratégies superposées attribuées à un groupe peuvent conduire à un calcul incorrect des priorités. Veuillez utiliser des paramètres de stratégie dissociés.

· Si vous voulez autoriser des durées minimales de mots de passe de moins de 2 jours, ne changez pas le paramètre “Modification du mot de passe autorisée après un min. de (jours)”. Une fois changé, le minimum est 2 jours.

· Il y a quelques problèmes de mise en page de l'interface utilisateur sur les machines configurées pour des résolutions autres que 96 ppp.

· Après la mise à jour de la base de données SDE à la version 5.50, d'anciens Policy Editors affichent un message d'erreur. Elles doivent aussi être mises à jour.

· Lors de l'exécution d'une désinstallation, il se peut que certains fichiers et entrées de registre demeurent. Veuillez consulter la base de connaissances Sophos (mots-clés “SGN & désinstaller”) pour savoir comment nettoyer l'installation manuellement. Un tel nettoyage est nécessaire pour réinstaller SDE sur le même ordinateur.

· Dans de rares cas, il se peut que vous rencontriez des problèmes de timing et/ou de configuration avec les éditions locales de SQL Server Express, il est donc possible que la configuration de la base de données SafeGuard conjointement à l'authentification SQL Server ne fonctionne pas. Si c'est le cas, nous vous conseillons d'utiliser à la place l'authentification Windows avec SQL Server Express.

Rarement, il est possible que vous rencontriez des problèmes de dépassement des délais impartis lors de l'exécution d'un requête de rapport sur une base de données contenant plusieurs centaines de milliers d'événements. Dans ce cas, vous pouvez augmenter la valeur de dépassement du délai imparti à l'aide du paramètre de registre suivant :

                Ruche :      HKEY_LOCAL_MACHINE
                    Clé :      SOFTWARE\Utimaco\SafeGuard Enterprise\Internal Settings
       Nom valeur :      TimeOut (DWORD)
               Valeur :      1…30000 [millisecondes]

5.3 Client Sophos SafeGuard Disk Encryption

· BitLocker To Go - les périphériques chiffrés peuvent empêcher l'installation de SDE
Si une clé USB chiffrée par BitLocker To Go est connectée à une machine lors de la configuration de SDE, l'installation échouera car Windows signale le système comme étant activé par BitLocker, ce qui constitue une condition d'échec valide pour l'installation du client DE. La solution consiste à supprimer tout périphérique chiffré par BitLocker to Go avant d'installer SDE.

· Local Self-Help
Pour l'option d'aide locale sans assistance (LSH, Local Self-Help), l'option de récupération de la POA n'apparaîtra jamais si l'utilisateur connecté à cette dernière a la possibilité d'ouvrir une session avec une carte à puce ou via son empreinte digitale. La LSH fonctionne seulement si l'utilisateur ouvre une session sur la POA avec son identifiant et mot de passe.

·         Erreurs d'écriture différée lors du chiffrement initial
Lors de l'installation de Sophos SafeGuard Disk Encryption, des échecs d'écriture différée peuvent être signalés par le système d'exploitation. Cela se produit juste après l'installation du noyau dans le système de fichiers. Cela peut être forcé par l'exécution de plusieurs opérations d'entrée/sortie parallèles lors du démarrage suivant juste après la manipulation du système de fichiers.

Solution :
Un autre moyen d'installer le Sophos SafeGuard Disk Encryption Kernel peut être forcé en ajoutant une valeur de registre.

            Ruche : HKEY_LOCAL_MACHINE
            Clé :     System\CurrentControlSet\Control\Session Manager
Nom valeur :    AllocMode (DWORD)
            Valeur : 1

Cette valeur de registre doit être ajoutée avant l'exécution de la configuration de Sophos SafeGuard Disk Encryption

· Client Novell
Pour utiliser le client SDE conjointement avec un client Novell, certaines adaptations spécifiques aux projets sont nécessaires. Pour plus d'informations, veuillez contacter le support technique Sophos.

· Changement rapide d'utilisateur
Le changement rapide d'utilisateur n'est pas pris en charge et doit être désactivé.

Lecteur de disquette incorporé
Après installation de SDE sous Windows Vista, le lecteur de disquette incorporé n'est plus disponible. Cette restriction ne s'applique pas aux lecteurs de disquette externes connectés via le bus USB.

· Durée de démarrage
La durée de démarrage augmente d'à peu près une minute après l'installation du logiciel client SDE.

· Chiffrement des ‘lecteurs virtuels’
Les lecteurs virtuels montés sur la station de travail cliente (par exemple, un fichier VHD dans Windows à l'aide du monteur MS Virtual Server) sont considérés comme des lecteurs de disques durs locaux et donc leurs contenus seront chiffrés également si une stratégie de chiffrement est définie pour les ‘autres volumes’.

· Il n'est pas possible d'utiliser le chiffrement des périphériques à base de volumes parallèlement à BitLocker. La configuration du client SDE ne permet pas l'installation simultanée des deux fonctions.

· Lors du chiffrement initial de la partition système (c'est-à-dire celle où le fichier hiberfil.sys file est placé), la suspension sur disque peut échouer et doit donc être évitée. Après le chiffrement initial de la partition système, un redémarrage est requis avant que la suspension sur disque ne fonctionne de nouveau correctement.

· Il est conseillé de redémarrer un PC client SDE au moins une fois après avoir activé l'authentification au démarrage SGN. Sophos SafeGuard Disk Encryption effectue une sauvegarde de ses données de noyau à chaque démarrage de Windows. Cette sauvegarde ne se produirait pas si le PC avait seulement hiberné ou était passé en mode veille.

· Le nombre maximal d'utilisateurs SDE enregistrés sur un client est 200.
Veuillez aussi considérer les tailles de fichiers maximales suivantes pour les fichiers importés sur un client par la stratégie :

o Les fichiers texte ne doivent pas être supérieurs à 50 Ko en taille.

o Les fichiers bitmaps des bannières ne doivent pas être supérieurs à 100 Ko en taille.

o Les fichiers bitmaps des arrière-plans ne doivent pas être supérieurs à 500 Ko en taille.

Remarque : le nombre d'utilisateurs attribués, surtout combiné à beaucoup d'appartenances de groupe, a un impact perceptible sur les performances du serveur SDE.

· Microsoft Windows XP a une restriction technique de sa pile de noyau. Si plusieurs pilotes de filtres du système de fichiers (par exemple, le logiciel antivirus) sont installés, il est possible que la mémoire ne soit pas suffisante. Dans ce cas, vous pouvez prendre un BSOD. Sophos ne saurait se considérer responsable de cette restriction Windows et ne peut pas résoudre ce problème.

· Pour le chiffrement à base de volumes, ceux placés sur des "disques dynamiques" ou sur des “disques GPT” ne sont pas pris en charge.

· Si une désinstallation du client SDE est déclenché via Active Directory, il convient de s'assurer que tous les volumes chiffrés à base de volumes ont été déchiffrés correctement auparavant.

· La compatibilité aux outils d'imagerie n'a pas été testée et n'est donc pas prise en charge.

Les caractères spéciaux (par exemple, ä,ö,ü,…) doivent être entrés en tenant compte des majuscules au niveau de la POA.
Certains ordinateurs ne parviennent pas à démarrer depuis une disquette une fois qu'ils ont démarré la POA depuis le disque dur. Il s'agit d'une restriction de leur implémentation BIOS qui ne peut pas être résolue par Sophos.
Les caractères spéciaux doivent être utilisés avec précaution dans le texte de la mention légale de la POA. Il se peut que certains de ces caractères ne s'affichent pas correctement.
Avant de chiffrer une partition avec le chiffrement à base de volumes, il est conseillé d'exécuter chkdsk c: /f /v /l /x afin de toucher chaque secteur de la partition. Le microprogramme du disque dur remplacera alors chaque secteur défectueux avant que SDE n'essaie de le chiffrer.
Lors de l'utilisation de SafeGuard Portable en combinaison avec le client SDE, l'algorithme AES-256 doit être utilisé pour le chiffrement des supports amovibles.
Le chiffrement SDE à base de volumes a été testé avec succès par Sophos sur des installations de produits antivirus concurrents ainsi que les suivants :

AVG
AVG Anti-Virus Netzwerk Edition 8.5.386
Computer Associates
CA Anti-Virus 2009
Veuillez utiliser la clé de registre suivante

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\INO_FLTR\Setting]
"Controls"=dword:00000003
F-Secure
F-Secure AntiVirus 2009 (Version 9.00 Build 149)
G-Data
G Data Antivirus 2010 (Version 20.0.1.1)
Kaspersky
Kaspersky Internet Security 2010 (Version 9.0.0.459)
Network Associates
McAfee VirusScan Enterprise Version 8.7.0 i
Scanmodul-Version (32 bits) : 5300.2777, DAT-Version: 5381.0000
Norman
Norman Virus Control (Version 5.99)
Symantec
Symantec Endpoint Protection 11.0 (Version 11.0.4000)

Si des problèmes sont rencontrés lors du démarrage, veuillez essayer les opérations suivantes :

Dans HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Storages\ Filesystem\RealTimeScan

Paramétrez la valeur DWORD KStackMinFree sur 0x2200.

Pour trouver une explication détaillée de la clé, cliquez sur ce lien :

http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/f5ee041a924af12d8825709d00509eb2?OpenDocument

Trend Micro
Trend Micro Internet Security 2009

Lorsque vous désinstallez un client SDE, vous devez désinstaller tout d'abord le package de configuration client.
L'outil BE_RESTORE essaie toujours d'accéder au disk0. Il se peut que ce ne soit pas le disque dur, par exemple, si une clé USB est connectée ou si un disquette ram est utilisée.
L'outil BE_RESTORE contient certaines restrictions sous Windows Vista / Windows PE 2.0 si le disque dur n'est pas encore chiffré.
L'utilisation de l'outil BE_RESTORE avec Windows PE 2.0 nécessite au moins 512 Mo de mémoire.
Un changement de support de disquette n'est pas toujours détecté correctement. Essayez d'accéder à la disquette alors qu'aucun support se trouve dans le lecteur (par exemple, avec l'Explorateur) pour vous assurer que le changement de support est détecté.
Le système d'exploitation Windows XP jusqu'au Service Pack 2 affiche un problème sur certaines machines où une reprise après la veille n'affiche pas le bureau verrouillé mais ouvre directement le bureau de l'utilisateur. Le problème s'applique aussi aux machines avec Sophos SafeGuard Disk Encryption. Ceci doit être corrigé sous Windows XP SP3.
Très rarement, la configuration du client SDE Device Encryption se termine avec l'erreur 5001. Ce qui signifie que votre disque dur est trop fragmenté pour installer ce logiciel. Le noyau SDE a besoin de 96 Mo d'espace disque contigu sur le premier disque dur.
L'application de la stratégie d'historique des mots de passe Sophos SafeGuard Disk Encryption peut être évitée par l'utilisateur lors de l'exécution du changement de mot de passe due à l'application de l'administrateur système.
Les utilisateurs avec, dans leur identification, les caractères “tréma” autres que les touches de la configuration clavier choisie ne peuvent pas ouvrir de session dans la POA, par exemple en combinaison avec une configuration allemande du clavier.

Les configurations de clavier suivantes sont prises en charge dans le module d'authentification d'avant démarrage. "x" indique que la langue est parfaitement prise en charge. Toutes les autres langues s'afficheront par défaut comme cela est spécifié. Prenez garde aux caractères spéciaux dans les mots de passe si les utilisateurs ont un clavier non pris en charge qui, par défaut, est en anglais américain (US).

ID langue Clavier Langue / Commentaires

====================================================================

0x0000 US Langue neutre

0x0400 US Langue du processus ou par défaut utilisateur

0x0800 US Langue système par défaut

0x0401 US Arabe (Arabie Saoudite)

0x0801 US Arabe (Iraq)

0x0c01 US Arabe (Egypte)

0x1001 US Arabe (Libye)

0x1401 US Arabe (Algérie)

0x1801 US Arabe (Maroc)

0x1c01 US Arabe (Tunisie)

0x2001 US Arabe (Oman)

0x2401 US Arabe (Yémen)

0x2801 US Arabe (Syrie)

0x2c01 US Arabe (Jordanie)

0x3001 US Arabe (Liban)

0x3401 US Arabe (Koweït)

0x3801 US Arabe (Emirats arabes unis)

0x3c01 US Arabe (Bahreïn)

0x4001 US Arabe (Qatar)

US Arabe (102) AZERTY

X 0x0402 BG Bulgare Aucune police disponible

0x0403 ES Catalan

0x0404 US Chinois (Taiwan) Aucune police disponible

0x0804 US Chinois (République populaire de Chine) Aucune police disponible

0x0c04 US Chinois (Hong Kong RAS, République populaire de Chine) “

0x1004 US Chinois (Singapour) Aucune police disponible

0x1404 US Chinois (Macao RAS) (98/ME,2K/XP)

X 0x0405 cz Tchèque

X 0x1402 cz_qwerty Tchèque (QWERTY)

US Tchèque (Programmeurs)

X 0x0406 dk Danois

X 0x0407 de Allemand (Standard)

X 0x0807 de_CH Allemand (Suisse)

0x0c07 de Allemand (Autriche)

0x1007 de Allemand (Luxembourg)

0x1407 de Allemand (Liechtenstein)

X 0x0408 el Grec Aucune police disponible

X 0x0409 us Anglais (Etats-Unis)

X 0x0809 gb Anglais (Royaume-Uni)

0x0c09 us Anglais (Australie)

0x1009 us Anglais (Canada)

0x1409 us Anglais (Nouvelle-Zélande)

X 0x1809 ie Anglais (Irlande)

0x1c09 US Anglais (Afrique du Sud)

0x2009 US Anglais (Jamaïque)

0x2409 US Anglais (Caraïbes)

0x2809 US Anglais (Belize)

0x2c09 US Anglais (Trinité-et-Tobago)

0x3009 US Anglais (Zimbabwe) (98/ME,2K/XP)

0x3409 US Anglais (Philippines) (98/ME,2K/XP)

X 0x040a ES Espagnol (Espagne, Traditionnel)

0x080a ES Espagnol (Mexique)

0x0c0a ES Espagnol (Espagne, Moderne)

0x100a ES Espagnol (Guatemala)

0x140a ES Espagnol (Costa Rica)

0x180a ES Espagnol (Panama)

0x1c0a ES Espagnol (République dominicaine)

0x200a ES Espagnol (Venezuela)

0x240a ES Espagnol (Colombie)

0x280a ES Espagnol (Pérou)

0x2c0a ES Espagnol (Argentine)

0x300a ES Espagnol (Equateur)

0x340a ES Espagnol (Chili)

0x380a ES Espagnol (Uruguay)

0x3c0a ES Espagnol (Paraguay)

0x400a ES Espagnol (Bolivie)

0x440a ES Espagnol (El Salvador)

0x480a ES Espagnol (Honduras)

0x4c0a ES Espagnol (Nicaragua)

0x500a ES Espagnol (Porto Rico)

X 0x040b fi Finlandais

US Finlandais (avec Sami)

X 0x040c fr Français (Standard)

X 0x080c be Français (Belgique)

0x1080c be Belge (Comma)

X 0x0c0c ca_enhanced Français (Canada)

US Français (Canada, Traditionnel)

US Canadien (Multilingue)

X 0x100c fr_CH Français (Suisse)

0x140c fr_CH Français (Luxembourg)

0x180c fr Français (Monaco) (98/ME,2K/XP)

0x040d US Hébreu

X 0x040e hu Hongrois

X 0x040f is Islandais

X 0x0410 it Italien (Standard)

0x0810 it Italien (Suisse)

X 0x0411 jp Japonais

X 0x0412 ko Coréen Aucune police disponible

0x0812 US Coréen (Johab) (95,NT)

X 0x0413 nl Hollandais (Pays-Bas)

X 0x0813 be Hollandais (Belgique)

X 0x0414 no Norvégien (Bokmal)

0x0814 no Norvégien (Nynorsk)

X 0x0415 pl Polonais Aucune police disponible

X 0x0416 br Portugais (Brésil)

X 0x0816 pt Portugais (Portugal)

X 0x0418 ro Roumain

0x0419 US Russe

0x041a US Croate

0x081a US Serbe (Latin)

0x0c1a US Serbe (Cyrillique)

0x101a US Croate (Bosnie et Herzégovine)

0x141a US Bosniaque (Bosnie et Herzégovine)

0x181a US Serbe (Latin, Bosnie et Herzégovine)

0x1c1a US Serbe (Cyrillique, Bosnie et Herzégovine)

0x041b sk Slovaque

0x041c US Albanais

X 0x041d se Suédois

0x081d se Suédois (Finlande)

0x041e US Thaïlandais

X 0x041f tr Turc Aucune police disponible

0x0420 US Ourdou (Pakistan) (98/ME,2K/XP)

0x0820 US Ourdou (Inde)

0x0421 US Indonésien

0x0422 uk Ukrainien

0x0423 US Biélorusse

0x0424 sl Slovène

0x0425 US Estonien

0x0426 lv Letton

0x0427 lt Lituanien

0x0827 US Lituanien (Classique) (98)

0x0429 US Farsi

0x042a US Vietnamien (98/ME,NT,2K/XP)

0x042b US Arménien. Ceci est au format Unicode seulement. (2K/XP)

US Arménien (Est)

US Arménien (Ouest)

0x042c US Azéri (Latin)

0x082c US Azéri (Cyrillique)

0x042d US Basque

0x042f US Macédonien (FYROM)

0x0430 US Sutu

0x0432 US Setswana/Tswana (Afrique du Sud)

0x0434 US isiXhosa/Xhosa (Afrique du Sud)

0x0435 US isiZulu/Zulu (Afrique du Sud)

0x0436 US Afrikaans

0x0437 US Géorgien. Ceci est au format Unicode seulement. (2K/XP)

0x0438 US Féroïen

0x0439 US Hindi. Ceci est au format Unicode seulement. (2K/XP)

0x043a US Maltais (Malta)

0x043b US Sami du Nord (Norvège)

0x083b US Sami du Nord (Suède)

0x0c3b US Sami du Nord (Finlande)

0x103b US Sami de Lule (Norvège)

0x143b US Sami de Lule (Suède)

0x183b US Sami du Sud (Norvège)

0x1c3b US Sami du Sud (Suède)

0x203b US Sami de Skolt (Finlande)

0x243b US Sami d'Inari (Finlande)

0x043e US Malais (Malaisie)

0x083e US Malais (Brunei Darussalam)

0x0440 US Kirghiz. (XP)

0x0441 US Swahili (Kenya)

0x0443 uz Uzbek (Latin)

0x0843 US Uzbek (Cyrillique)

0x0444 US Tatar (Tatarstan)

0x0445 US Bengali (Inde)

US Bengali (Inscript)

0x0446 US Punjabi. Ceci est au format Unicode seulement. (XP)

0x0447 US Gujarati. Ceci est au format Unicode seulement. (XP)

0x0449 US Tamil. Ceci est au format Unicode seulement. (2K/XP)

0x044a US Telugu. Ceci est au format Unicode seulement. (XP)

0x044b US Kannada. Ceci est au format Unicode seulement. (XP)

0x044c US Malayalam (Inde)

0x044e US Marathi. Ceci est au format Unicode seulement. (2K/XP)

0x044f US Sanskrit. Ceci est au format Unicode seulement. (2K/XP)

0x0450 US Mongol (XP)

0x0452 US Gallois (Royaume-Uni)

0x0455 US Birman

0x0456 US Galicien (XP)

0x0457 US Konkani. Ceci est au format Unicode seulement. (2K/XP)

0x045a US Syriac. Ceci est au format Unicode seulement. (XP)

0x0465 US Divehi. Ceci est au format Unicode seulement. (XP)

US Divehi (Phonétique)

US Divehi (Machine à écrire)

0x046b US Quechua (Bolivie)

0x086b US Quechua (Equateur)

0x0c6b US Quechua (Pérou)

0x046c US Sesotho sa Leboa/Sotho du Nord (Afrique du Sud)

0x007f US LOCALE_INVARIANT. Voir MAKELCID.

0x0481 US Maori (Nouvelle-Zélande)

5.4 SafeGuard LAN Crypt

· SafeGuard LAN Crypt 3.70 est la première version complètement compatible avec SDE. Si une ancienne version de SafeGuard LAN Crypt est installée, nous conseillons fortement d'effectuer d'abord une mise à niveau vers la dernière version de SafeGuard LAN Crypt.

· Si Sophos SafeGuard Disk Encryption 5.50 est installé par-dessus SafeGuard LAN Crypt, le programme d'installation se plaint que le composant “SGLC Profile Loader’ en cours de mise à niveau est en cours d'utilisation. Ce message, qui apparaît parce que SafeGuard LAN Crypt et SDE partagent des composants, peut être ignoré. Les composants affectés seront mis à jour au redémarrage.

5.5 Problèmes d'interopérabilité

Empirum Security Suite Agent
Si le logiciel du client SDE 5.50 est installé et fonctionne conjointement au logiciel Empirum Security Suite Agent, le système peut s'arrêter avec le BSOD suivant :

BSOD au démarrage du système avec code d'arrêt 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS

Ce problème est provoqué par l'un des composants Empirum Software. Une correction pour ce problème sera incluse dans Empirum Security Suite v5.
Lenovo Rescue and Recovery
Pour plus d'informations sur la compatibilité des versions de Rescue and Recovery avec les versions de SDE, consultez : http://www.sophos.fr/support/knowledgebase/article/108383.html.
AbsoluteSoftware Computrace
SDE ne parvient pas à s'installer sur les machines sur lesquelles se trouve AbsoluteSoftware Computrace avec ‘track-0 based persisent agent’ installé et activé.

5.6 Disques durs

Client Sophos SafeGuard Disk Encryption
Le client Sophos SafeGuard Disk Encryption ne prend pas en charge les systèmes équipés de disques durs connectés via le bus SCSI.

6 Support technique

Vous pouvez obtenir du support technique pour les produits Sophos de l'une des manières suivantes :

Visitez le forum SophosTalk à l'adresse http://community.sophos.com/ et recherchez d'autres utilisateurs qui connaissent le même problème.
Visitez la base de connaissances du support technique Sophos à l'adresse http://www.sophos.fr/support/
Téléchargez la documentation des produits à l'adresse http://www.sophos.fr/support/docs/
Envoyez un courriel à support@sophos.com, y compris le ou les numéros de version du logiciel Sophos, le ou les systèmes d'exploitation et le ou les niveaux de correctif ainsi que le texte de tout message d'erreur.

Oberursel, 4 novembre 2010

Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous possédez une licence valide, auquel cas vous pouvez reproduire la documentation conformément aux termes de cette licence ou si vous avez le consentement préalable écrit du propriétaire du copyright.

Sophos est une marque déposée de Sophos Plc et de Sophos Group. SafeGuard est une marque déposée de Utimaco Safeware AG - un membre du groupe Sophos. Tous les autres noms de produits et de sociétés mentionnés sont des marques ou des marques déposées appartenant à leurs propriétaires respectifs.

Tous les produits SafeGuard sont sous le copyright d'Utimaco Safeware AG, un membre de Sophos Group, ou, le cas échéant, des concédants de la licence. Tous les autres produits Sophos sont sous copyright de Sophos Plc, ou, le cas échéant, des concédants de la licence.

Des informations de copyright sur les fournisseurs tiers sont disponibles dans le fichier appelé Disclaimer and Copyright for 3rd Party Software.rtf dans le répertoire de votre produit.