SafeGuard Enterprise version 5.50.8
Table des matières
1.1 Ce que contient la version 5.50.8 de SGN
1.1.1 Prise en charge de Windows 7 pour Configuration Protection
1.1.2 Chiffrement initial rapide
1.1.3 Amélioration des performances de chiffrement
1.2 Ce que contient la version 5.50.1 de SGN
1.2.1 Prise en charge des plates-formes 64 bits pour Data Exchange
1.3 Ce que contient la version 5.50 de SGN
1.3.1 Prise en charge étendue des plates-formes Windows : 64 bits et Windows 7
1.3.2 Local Self Help pour clients administrés remplaçant l'aide Web sans assistance.
1.3.3 Le support Web est désormais inclus dans la licence du SafeGuard Management Center
1.3.4 Assistant d'installation Management Center/Server pour les nouvelles installations
1.3.6 Comptes utilisateurs “POA seulement”
1.3.7 Gestion hiérarchique des responsables de la sécurité
1.3.8 Compatibilité matériel/système d'exploitation améliorée
1.3.9 Prise en charge étendue des cartes à puce et des lecteurs de cartes
1.3.11 CD-ROM de récupération Windows PE (client virtuel)
1.3.12 Simplification de l'installation et de la sauvegarde de clés
3.2 Management Center SafeGuard
3.3 SafeGuard Enterprise Server
3.4 Client SafeGuard Enterprise Device Encryption/Data Exchange
3.5 Client de la protection de la configuration SafeGuard
3.6 Lecteurs de cartes à puce pris en charge
3.7 Cartes à puce prises en charge
3.9 Middleware Smartcard testé dans SafeGuard Device Encryption sous Windows
3.10 Matrice de mise à jour SGN
3.12 Matrice client/serveur SGN
3.13 Prise en charge du système d'exploitation Windows par SGN.
3.14 Prise en charge du serveur de base de données SGN
4 Problèmes résolus (version 5.50.x comparée à la version 5.40)
4.1 Management Center SafeGuard Enterprise
4.2 SafeGuard Enterprise Server
4.3 Client SafeGuard Enterprise
5.2 Management Center SafeGuard
5.3 SafeGuard Enterprise Server
5.4 Client SafeGuard Enterprise Data Exchange
5.5 Client SafeGuard Enterprise Device Encryption
5.6 Client de la protection de la configuration SafeGuard
5.8 Mise à jour de SGN 5.35 et supérieure à SGN 5.50
5.11 Jeton/Cartes à puce/Lecteur de cartes à puce
5.12 Lecteur d'empreintes digitales
5.13 Problèmes d'interopérabilité
SafeGuard Enterprise 5.50.8 Configuration Protection prend complètement en charge les versions 32 bits et 64 bits de Windows 7.
Une nouvelle méthode optimisée de traitement du chiffrement initial utilisant le chiffrement complet du disque est désormais disponible et réduit considérablement la durée du processus de chiffrement initial. La limitation du chiffrement initial à l'espace du disque dur vraiment "utilisé", et non à tout l'espace disque physique disponible, vous offre un gain de performances considérable selon le pourcentage d'espace disque utilisé. Ce nouveau mode de fonctionnement peut être contrôlé parallèlement aux autres paramètres de la stratégie de chiffrement et il est désactivé par défaut.
La nouvelle mise en place améliorée et optimisée de l'algorithme de chiffrement AES256 assure de meilleures performances d'exécution lors de l'accès aux
données chiffrées. Le module de chiffrement est le même que celui utilisé pour le chiffrement complet du disque et pour le chiffrement des fichiers. Aussi, les deux modules (DE et DX) bénéficient de ces améliorations et fournissent de meilleures performances.
SafeGuard Enterprise 5.50.1 Data Exchange prend complètement en charge les versions 32 bits et 64 bits de Microsoft Windows Vista et Microsoft Windows 7 ainsi que Windows XP 32 bits.
SafeGuard Enterprise 5.50 Device Encryption prend complètement en charge les versions 32 bits et 64 bits de Microsoft Windows Vista et Microsoft Windows 7 ainsi que Windows XP 32 bits. Le serveur et le Management Center prennent en charge les versions 32 bits et 64 bits de Windows Server 2003 et de Windows Server 2008/R2.
La Local Self Help (LSH, aide locale sans assistance) permet aux utilisateurs qui ont oublié leurs mots de passe de le récupérer eux-mêmes en répondant à une série de questions auxquelles ils ont précédemment répondu sans faire appel au support technique centralisé. Ceci permet de réduire les frais de support technique et les temps d'arrêt à les rendre plus efficaces du côté de l'utilisateur. La fonction LSH, qui était disponible dans le “mode autonome” de SafeGuard Enterprise 5.40, est désormais étendue aux clients administrés. En conséquence, la mise à disposition du module complémentaire d'aide Web sans assistance précédemment disponible est interrompue pour les nouveaux clients, car ses fonctionnalités peuvent être couvertes plus efficacement par la LSH.
Le module complémentaire Support Web de SafeGuard Enterprise désormais inclus dans la licence du Management Center est disponible prêt à l'emploi sans frais supplémentaire pour tous les clients. Il contient une interface utilisateur Web pour les employés du support technique qui n'utilisent pas l'application complète de la console d'administration.
L'installation de SafeGuard Enterprise géré n'a jamais été aussi simple. Le nouvel assistant de configuration rend simple et directe l'installation des composants d'administration SafeGuard Enterprise. Il s'occupe de toutes les dépendances des composants nécessaires pour l'exécution du serveur, y compris ceux de Microsoft. Ceci accélère les installations initiales tout en réduisant les possibilités de configurations incorrectes, débouchant ainsi sur des évaluations de produits réussies et plus rapides.
SafeGuard Enterprise 5.50 contient la fonctionnalité d'attribution d'utilisateurs aux listes de comptes de service. Sur une machine cliente nouvellement configurée où la POA (Power on Authentication, authentification au démarrage) n'est pas encore activée, les utilisateurs de cette liste ne sont pas ajoutés dans la liste d'utilisateurs de la POA et ne peuvent donc pas prendre possession de la machine ou activer la POA après l'ouverture d'une session sous Windows. Ceci leur permet d'effectuer la maintenance et de configurer la machine mais en laissant apparemment intacte la configuration de SafeGuard Enterprise avant de la transférer à son propriétaire prévu, une opération nécessaire dans les scénarios de déploiement.
Des comptes spéciaux (facilement reconnaissables par leur appartenance à un domaine virtuel “<POA>” spécial) ont été introduits dans SGN 5.50 pour permettre à l'administrateur de démarrer une machine protégée par la POA sans avoir à connaître l'un des codes d'accès des utilisateurs de la machine ou à être lui-même enregistré comme utilisateur standard sur chaque machine. Il a toujours le droit de démarrer la machine à partir de supports externes et lors de la connexion à Windows sans que cela ne déclenche une des actions d'ouverture de session par défaut du client SafeGuard Enterprise. Par exemple, l'utilisateur ne sera pas enregistré dans SGN si les codes d'accès qui ont été utilisés pour l'ouverture de session Windows ne sont pas pris en compte.
SafeGuard Enterprise 5.50 facilite énormément la gestion d'un grand nombre de responsables sécurité. Non seulement les droits du responsable sécurité ont été revus et étendus pour permettre davantage de contrôle détaillé, ils sont aussi regroupés de manière intelligente pour prendre en compte les dépendances lors de l'attribution. Les responsables sécurité peuvent désormais déléguer un sous-ensemble de leurs droits à des sous-responsables.
La compatibilité de SafeGuard Enterprise a été améliorée de nombreuses manières :
Comme à chaque publication de SafeGuard Enterprise, le nombre de cartes et de lecteurs de cartes pris en charge a été étendu. Pour plus de détails, reportez-vous aux chapitres 3.6 à 3.9.
SafeGuard Enterprise Device Encryption sans serveur d'administration centralisé – le “mode autonome”, qui devient désormais “SafeGuard Easy 5.50”, est censé être le successeur de la série SafeGuard Easy 4.x pour les clients qui préfèrent le mode autonome par rapport à la variante administrée par le serveur. Techniquement, SafeGuard Easy 5.50 est simplement le nouveau nom de produit du mode autonome de SafeGuard Enterprise 5.50. La prise en charge de Windows Vista, Windows 7 et 64 bits est assurée ainsi que tous les autres avantages de SafeGuard Enterprise. La connexion "carte à puce" exige cependant la variante administrée de SafeGuard Enterprise Device Encryption. La migration depuis SafeGuard Easy 4.x est prise en charge dans les mêmes conditions que pour les versions précédentes de SafeGuard Enterprise sauf pour la prise en charge de Windows 2000 qui a été abandonnée.
Les fonctions de récupération avancées pour lecteurs de disque dur chiffrés SafeGuard Enterprise, par exemple lors du démarrage d'un environnement de récupération Windows PE en cas de système d'exploitation endommagé mal configuré, sont désormais aussi disponibles pour les clients SafeGuard Easy 5.50.
Un
nouvel assistant d'installation simplifie la première configuration des
composants de gestion, dont les stratégies par défaut. Pour appeler cet assistant pour de nouvelles
installations SGN, lancez “SGNInstallAdvisor.bat” depuis le répertoire racine
du DVD du produit. Si
l'administrateur le souhaite, les fichiers de récupération en mode autonome (=
SafeGuard Easy/ESDP) peuvent désormais être facilement et automatiquement
recueillis sur un partage réseau centralisé. D'autre part, des options ont été
ajoutées pour facilement sauvegarder et restaurer
le certificat d'entreprise des nouvelles installations.
En outre, la base de connaissances contient désormais un guide de bon usage sur
l'installation de SGN, consultez http://www.sophos.fr/support/knowledgebase/article/110259.html.
Diverses autres améliorations ont été apportées dans SafeGuard Enterprise en termes de convivialité, d'utilisation du stockage, des performances et de la gestion et de la manipulation des clés. Parmi celles-ci, on trouve :
· Dans Windows 7, la vitesse de chiffrement initial a été améliorée de manière significative par rapport à SGN 5.40 pour Windows 7. Elle est désormais comparable ou meilleure que sous Windows XP.
Des droits administrateur sont nécessaires pour installer le logiciel. Pour connaître la procédure correcte d'installation du logiciel, veuillez consulter le chapitre correspondant dans le manuel d'installation.
Si une installation existante de SGN est modifiée ou si des
modules sélectionnés sont installés ultérieurement, le programme d'installation
peut signaler que certains
composants (par exemple, SafeGuard Removable Media Manager) sont en cours
d'utilisation. Ce message apparaît parce que ces modules ont des composants en
commun en cours d'utilisation et qu'ils ne peuvent donc pas être mis à jour
immédiatement. Ce message peut être ignoré car les composants affectés seront
de toute façon mis à jour au redémarrage.
Remarque : Il s'agit également du comportement par défaut lors de l'utilisation du mode d'installation automatique.
Bien qu'il soit possible d'installer seulement un sous-ensemble des fonctionnalités de produits initialement et d'en ajouter d'autres par la suite, il est conseillé d'avoir la fonctionnalité de chiffrement des périphériques depuis le début.
Remarque : Ceci s'applique uniquement à l'installation du client SafeGuard Easy 5.50.
Si vous effectuez une mise à niveau depuis SafeGuard Easy 4.x, assurez-vous de lire la section du manuel d'installation et les articles de la base de connaissances correspondants
Serveur réseau avec administration des utilisateurs et des ordinateurs :
· Microsoft Windows 2008 Server (32 bits et 64 bits) avec Active Directory
· Microsoft Windows 2003 Server (32 bits et 64 bits) avec Active Directory
Base de données :
· Microsoft SQL Server 2005 SP2, SP3
· Microsoft SQL Server 2008 SP1
· Microsoft SQL Server 2005 Express SP2, SP3
· Microsoft SQL Server 2008 Express SP1
Connectivité :
Les Clients doivent être connectés au
· serveur SGN sur les ports 80/TCP ou 443/TCP
Le Management Center SafeGuard doit pouvoir se connecter à la
· base de données SQL : ports 1433/TCP & 1434/TCP pour SQL 2005 (Express) & SQL 2008 (Express)
· Active Directory : port 389/TCP, port 636 SLDAP, port 1025/TCP (RPC), 135/TCP (mappeur système d'extrémité - RPC).
Le serveur SafeGuard Enterprise doit pouvoir se connecter à la
· base de données SQL : port 1433/TCP & 1434/TCP pour SQL 2005 (Express) & SQL 2008 (Express)
Matériel :
Unité centrale Intel ou AMD X86
512 Mo de RAM
1 Go d'espace disque (conseillé)
Jetons d'authentification pris en charge (certains jetons ne prennent pas en charge plus de 1024 bits RSA)
Logiciel :
Systèmes d'exploitation Microsoft Windows
en anglais, français, allemand ou japonais
· XP SP2 SP3 32 bits
· Vista SP1 SP2 32 bits 64 bits
· 7 32 bits 64 bits
· 2003 Server SP1 SP2 32 bits 64 bits
· 2003 Server R2 SP1 SP2 32 bits 64 bits
· 2008 Server SP1 SP2 32 bits 64 bits
· 2008 Server R2 64 bits
Microsoft ASP.net
· .NET Framework 3.0 SP1
L'utilisateur Windows doit avoir un accès en lecture/écriture à la base de données grâce à l'une des méthodes d'authentification suivantes :
· Authentification Windows NT
· Authentification à la base de données SQL
Certificats X.509 testés
Matériel :
Unité centrale Intel ou AMD X86
512 Mo de RAM
1 Go d'espace disque (conseillé)
Logiciel :
Systèmes d'exploitation Microsoft Windows en allemand ou en anglais (les autres langues de systèmes d'exploitation n'ont pas été testées mais doivent fonctionner)
· 2003 Server SP1 SP2 32 bits 64 bits
· 2003 Server R2 SP1 SP2 32 bits 64 bits
· 2008 Server SP1 SP2 32 bits 64 bits
· 2008 Server R2 64 bits
Microsoft ASP.net
· .NET Framework 3.0 SP1
Microsoft Internet Information Services
· Version 6.0 sous Windows Server 2003
· Version 7.0 sous Windows Server 2008
· Version 7.5 sous Windows Server 2008 R2
· Mise à jour d'IIS conformément à l'article Microsoft conseillé KB934903
L'utilisateur Windows doit avoir un accès en lecture/écriture à la base de données grâce à l'une des méthodes d'authentification suivantes :
Remarque:
Sophos conseille fortement d'utiliser la communication chiffrée SSL entre les
stations de travail du client SGN et le serveur SGN en vue d'une utilisation
sur tout système sauf pour les configurations démo ou de test. Si, pour quelque
raison que ce soit, ce n'est pas possible et le chiffrement SGN propriétaire
doit être utilisé, il existe une limite supérieure de 1000 stations de travail
clientes pouvant se connecter à une instance unique du serveur. Lors de
l'utilisation de SSL, les paramètres nécessaires doivent être configurés
manuellement dans le Management Center SGN pour activer cette fonctionnalité.
Pour plus de détails, veuillez vous reporter au manuel d'installation.
Remarque:
La charge du serveur SGN sera influencée par le nombre de clients qui y sont
connectés, par le nombre d'utilisateurs de SGN par client, par le nombre
d'appartenances de groupe par utilisateur de SGN (si les clés ont été générées
lors d'une synchronisation Active Directory) et par la fréquence avec laquelle
les clients contactent le serveur SGN concernant les mises à jour de
stratégies. Vous pouvez affiner la charge et les performances du serveur SGN en
réglant ces paramètres. Avec un seul utilisateur de SGN, quelques appartenances
à des groupes et une mise à jour quotidienne, 40 000 clients ont pu
travailler correctement avec un serveur SGN avec SSL.
Matériel :
Systèmes d'exploitation Microsoft Windows :
La fonctionnalité client SGN BitLocker peut être installée seulement sur les plates-formes où MS BitLocker est disponible.
Logiciel :
Matériel :
Systèmes d'exploitation Microsoft Windows :
Logiciel :
Internet Explorer version 6.0 ou supérieure
.NET Framework 2.0
Lecteurs testés dans la POA de SafeGuard Device Encryption
Les lecteurs de cartes à puce ont été testés par l'assurance qualité (versions actuelles et/ou précédentes).
Fabricant |
Lecteur de carte |
Interface |
Commentaire |
ACS |
ACR 38U-CCID |
USB-CCID |
Exige un migroprogramme version ³ v1.12c |
ActivIdentity |
USB Reader 3.0 |
USB-CCID |
|
|
Lecteur PCMCIA |
Carte PC |
SCR 243 OEM |
Broadcom |
BCM 5880 |
intégré (USB) |
|
Cherry |
ST-1044U |
USB-CCID |
|
|
ST-2000 |
USB-CCID |
Le clavier d'identification personnelle pour une entrée sécurisée du numéro PIN n'est pas pris en charge |
|
ST-4044 |
Carte PC |
CardMan 4040 OEM |
|
G83-6644 |
USB-CCID |
Claviers ; entrée sécurisée du numéro PIN non prise en charge |
Dell |
RT7D60 |
USB-CCID |
Claviers |
Eutronsec |
SIM Pocket |
USB-CCID |
Cartes SIM et de taille standard |
|
Smart Pocket |
USB-CCID |
|
Fujitsu Siemens |
Smartcase SCR (USB) |
USB-CCID |
aussi appelée “Solo” |
Gemalto |
GemPC Express |
ExpressCard |
|
|
GemPC Twin |
USB-CCID |
|
|
Clé GemPC |
USB-CCID |
Taille SIM |
|
Reflex USB v3 |
USB-CCID |
|
HP |
Terminal SC |
USB-CCID |
Clavier |
|
PC Smart Card Reader |
Carte PC |
SCR 243 OEM |
Kobil |
KAAN Base |
USB-CCID |
|
|
KAAN Advanced |
USB-CCID |
Le clavier d'identification personnelle pour une entrée sécurisée du numéro PIN n'est pas pris en charge |
Lenovo |
Lecteur de carte à puce intégré |
intégré (USB) |
Le lecteur peut être remplacé par un autre en fonction de la situation du marché |
o2micro |
Série Oz711 |
intégré (CardBus) |
|
|
Oz776 |
CCID intégré |
|
Omnikey |
CardMan 3021 |
USB-CCID |
|
|
CardMan 4040 |
Carte PC |
|
|
CardMan 4321 |
ExpressCard |
|
|
CardMan 5125 |
USB-CCID |
L'interface sans contact n'est pas prise en charge |
|
CardMan 6121 |
USB-CCID |
Taille SIM |
Ricoh |
R/RL/5C476 |
Intégré (CardBus) |
|
SCM |
SCR 243 |
Carte PC |
|
|
SCR 331 |
USB-CCID |
Requiert le microprogramme version 5.18 ou supérieure ! |
|
SCR 335 |
USB-CCID |
|
|
SCR 3320 |
USB-CCID |
Taille SIM |
|
SCR 3340 |
ExpressCard |
|
|
SDI 010 |
USB-CCID |
L'interface sans contact n'est pas prise en charge |
Texas Instruments |
PCI 6515a |
intégré (CardBus) |
Prise en charge générique pour les lecteurs PCI xx21 |
Si un client dispose de plusieurs lecteurs de carte à puce, nous vous recommandons de désactiver ceux qui ne sont pas utilisés afin d'éviter tout effet secondaire indésirable. Pour les lecteurs internes, il se peut que vous deviez désactiver le périphérique dans le BIOS.
Lecteurs censés fonctionner avec l'authentification au démarrage de SafeGuard Device Encryption
Les lecteurs de cartes à puce ci-dessous sont intégrés dans SafeGuard Enterprise et doivent fonctionner conformément aux informations de compatibilité des éditeurs.
Fabricant |
Lecteur de carte |
Interface |
Commentaire |
ACS |
ACR 38T |
USB-CCID |
Taille SIM |
|
ACR 122U |
|
L'interface sans contact n'est pas prise en charge |
Cherry |
G81-7040 |
USB-CCID |
Claviers ; entrée sécurisée du numéro PIN non prise en charge |
|
G83-14200 |
USB-CCID |
claviers biométriques ; les fonctions de saisie sécurisée du numéro PIN et de biométrie |
Eutronsec |
Lecteur SIM |
USB-CCID |
Taille SIM |
Fujitsu Siemens |
Smartcase SCR (carte PC) |
Carte PC |
CardMan 4040 OEM |
|
Smartcase SCR (Express Card) |
ExpressCard |
SCR 3340 OEM |
Gemalto |
Reflex 20 v3 |
Carte PC |
SCR 243 OEM |
Ricoh |
R5C835 |
intégré |
|
SCM |
SPR 532 |
USB-CCID |
Le clavier d'identification personnelle pour une entrée sécurisée du numéro PIN n'est pas pris en charge Requiert le microprogramme version 5.10 et les pilotes Windows mis à jour |
Vasco |
DigiPass 905 |
USB-CCID |
|
Cartes à puce prises en charge dans l'authentification au démarrage (POA) de SafeGuard Device Encryption
Fournisseur |
Carte |
Versions |
Type de carte |
Format des données |
ActivIdentity |
Smart Card 64K |
v2 (Oberthur) |
Java Card |
ActivIdentity |
AET [1] |
G&D Sm@rtCafe |
64K |
Java Card |
PKCS#15 |
|
G&D STARCOS SPK |
2.3 |
ISO 7816 |
PKCS#15 |
|
IBM JCOP |
20 |
Java Card |
PKCS#15 |
|
Siemens CardOS |
M4.3b |
ISO 7816 |
PKCS#15 |
Charismathics |
Siemens CardOS |
M4.3b |
ISO 7816 |
CSSID |
IT Solution |
Siemens CardOS |
M4.3b |
ISO 7816 |
PKCS#15 |
Siemens |
Siemens CardOS |
M4.3b |
ISO 7816 |
PKCS#15 |
T-Systems |
TCOS |
3.0 |
ISO 7816 |
NetKey |
Cartes d'identités électroniques (EID) nationales testées dans l'authentification au démarrage de SafeGuard Device Encryption
Pays/Type |
Carte |
Versions |
Type de carte |
Format des données |
Autriche [2] |
AustriaCard ACOS |
3.01 |
ISO 7816 |
A-Trust |
Estonie [3] |
Orga Micardo |
V1 |
ISO 7816 |
|
Remarque : Les cartes à puce/jetons suivants ne sont pas
pris en charge sur les plates-formes Windows Vista ou Windows 7 :
- CardOS, profil Siemens
- Carte d'identification estonienne
- A-trust
- RSA
Jetons USB pris en charge dans l'authentification au démarrage de SafeGuard Device Encryption 5.50
Fournisseur |
Jeton USB |
Fournisseur de middlewares |
Commentaire |
ActivIdentity |
ActivKey SIM |
ActivIdentity |
|
|
Affichage ActivKey |
ActivIdentity |
Fonction OTP (mot de passe à usage unique) non pris en charge |
Aladdin (CardOS) |
eToken Pro |
Aladdin |
|
|
eToken NG-OTP |
Aladdin |
Fonction OTP (mot de passe à usage unique) non pris en charge |
Aladdin |
eToken Pro |
Aladdin |
|
Charismathics |
OTP Sign |
Charismathics |
Fonction OTP (mot de passe à usage unique) non pris en charge |
|
plug’n’crypt ID |
Charismathics |
|
Eutronsec |
CryptoIdentity ITSEC-I |
Charismathics |
|
|
CryptoIdentity ITSEC-P |
AET |
|
|
OTP Sign |
Charismathics |
Fonction OTP (mot de passe à usage unique) non pris en charge |
Kobil |
mIDentity Light |
Siemens |
Mémoire flash incluse |
MARX |
CrypToken |
AET |
|
RSA |
SecurID 800 v1 [4] |
RSA |
Fonction OTP (mot de passe à usage unique) non pris en charge |
A noter : les jetons USB en caractères gras ont été testés explicitement par l'assurance qualité (versions actuelles et/ou précédentes).
Astuce : l'utilisation de cartes à puce/jetons pour l'authentification au niveau du système d'exploitation requiert l'installation d'un middleware supplémentaire (voir la colonne “Fournisseur de middlewares”).
Fournisseur |
Middleware |
Version |
XP |
Vista 32 bits |
Vista |
7 |
7 |
Commentaires |
ActivIdentity |
ActivClient |
6.2 |
X |
X |
X |
X |
X |
|
AET |
SafeSign |
3.0.33 |
X |
X |
c) |
X |
|
|
Aladdin |
Client PKI |
5.1 SP1 |
X |
X |
X |
X |
X |
|
A-Trust |
Client a.sign |
1.2.7.0 |
X |
|
|
|
|
|
Charismathics |
Smart Security Interface |
4.8.1 |
X |
X |
|
|
|
|
* Carte d'identification estonienne |
<multiple> |
|
X |
|
|
|
|
|
IT Solution |
trustWare CSP+ |
1.0.1.23 |
X |
|
|
|
|
|
Gemalto |
.NET |
2.1.3.1 |
x d) |
X |
X |
X |
X |
|
Gemalto |
Access Client |
5.6.4 |
X |
X |
X |
X |
X |
d) |
Gemalto |
Classic Client |
6.0 |
X |
X |
X |
|
|
|
RSA |
RSA Smart Card Middleware |
2.0.1 |
X |
|
|
|
|
|
|
3.0.1 |
X |
|
|
|
|
|
|
Siemens |
CardOS API |
3.1 |
X |
|
|
|
|
|
T-Systems |
NetKey 3.0 |
1.6.0.10 +
1.3.0.4 |
c) |
c) |
c) |
c) |
c) |
|
a) Les jetons doivent être initialisés avec PKI Client 4.55, sinon la connexion par POA ne fonctionne pas.
b) CSP Minidriver 1.6.0.10 + PKCS#11 module 1.3.0.4
c) Pour plus d'informations, contactez le support technique Sophos.
d) Concernant les clés cryptographiques, veuillez contacter le support technique Sophos pour plus d'informations.
Le tableau suivant montre quelles versions précédentes de SGN peuvent être mises à jour avec SGN 5.50.8
Matrice de mise à jour SGN |
|
|
|||||||||||||||
|
Mise à jour depuis |
||||||||||||||||
Mise à jour en |
SGN 5.20 |
SGN 5.20.1 |
SGN 5.20.2 |
SGN 5.20.3 |
SGN 5.20.4 |
SGN 5.20.5 |
SGN 5.21 |
SGN 5.21.1 |
SGN 5.30 RC1 |
SGN 5.30 GA |
SGN 5.30.1 |
SGN 5.30.2 |
SGN 5.30.3 |
SGN 5.35 GA |
SGN 5.35.x |
SGN 5.40.x |
SGN 5.50 |
SGN 5.50.8 |
|
|
|
|
|
|
|
|
|
|
|
|
|
l |
l |
l |
l |
SGN 5.50.1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
l |
l |
l |
l |
SGN 5.50 GA |
|
|
|
|
|
|
|
|
|
|
|
|
|
l |
l |
l |
|
SGN 5.40.x |
|
|
|
|
|
|
|
|
|
l |
l |
l |
l |
l |
l |
|
|
SGN 5.35.x |
|
|
|
|
|
|
|
|
|
l |
l |
l |
l |
l |
|
|
|
SGN 5.35 GA |
|
|
|
|
|
|
|
|
|
l |
l |
l |
l |
|
|
|
|
SGN 5.30.3 |
¢1 |
¢1 |
¢1 |
¢1 |
¢1 |
¢1 |
¢1 |
¢1 |
l |
l |
l |
l |
|
|
|
|
|
SGN 5.30.2 |
l |
l |
l |
l |
l |
l |
l |
l |
l |
l |
l |
|
|
|
|
|
|
SGN 5.30.1 |
l |
l |
l |
l |
l |
l |
l |
l |
l |
l |
|
|
|
|
|
|
|
SGN 5.30 GA |
l |
l |
l |
l |
l |
l |
l |
l |
l |
|
|
|
|
|
|
|
|
SGN 5.30 RC 1 |
l |
l |
l |
l |
l |
l |
l |
l |
|
|
|
|
|
|
|
|
|
SGN 5.21.1 (correctif) |
|
|
|
|
|
|
l |
|
|
|
|
|
|
|
|
|
|
SGN 5.21 |
l |
l |
l |
l |
l |
l |
|
|
|
|
|
|
|
|
|
|
|
SGN 5.20.5 (correctif) |
l |
l |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SGN 5.20.4 (correctif) |
l |
l |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SGN 5.20.3 (correctif) |
l |
l |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SGN 5.20.2 (correctif) |
l |
l |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SGN 5.20.1 (Lenovo) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SGN 5.20 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Légende:
l Mise à jour prise en charge
¢1 Mise à jour prise en charge seulement pour le serveur SGN et la console d'administration SGN
Le tableau suivant montre quelles versions précédentes de SafeGuard peuvent être migrées dans SGN 5.50.8.
SGE- Matrice de migration SGN |
||||||||
|
IDEA |
DES |
3DES |
AES 128 |
AES 256 |
Blowfish |
Stealth |
XOR |
SGE 4.50 |
l |
|
l |
l |
l |
|
|
|
SGE 4.40 |
l |
|
l |
l |
l |
|
|
|
SGE 4.30 |
l |
|
l |
l |
l |
|
|
|
SGE 4.20 |
|
|
|
|
|
|
|
|
SGE 4.1x |
|
|
|
|
|
|
|
|
SGE 3.x |
|
|
|
|
|
|
|
|
Le tableau suivant montre quelles versions précédentes des clients SGN peuvent faire l'objet de maintenance et par quel serveur SGN.
SGN - Matrice client/serveur |
|
|
|
||
|
|
|
|||
Serveur SGN |
5.2x |
5.30 |
5.35 |
5.40 |
5.50.x |
SGN 5.50.x |
|
|
l |
l |
l |
SGN 5.40.x |
|
l |
l |
l |
|
SGN 5.35.x |
|
l |
l |
|
|
SGN 5.35 GA |
|
l |
l |
|
|
SGN 5.30.2 |
l |
l |
|
|
|
SGN 5.30.2 |
l |
l |
|
|
|
SGN 5.30.1 |
l |
l |
|
|
|
SGN 5.30 GA |
l |
l |
|
|
|
SGN 5.21 |
l |
|
|
|
|
SGN 5.20 |
l |
|
|
|
|
1 pas d'enregistrement automatique
Légende:
l pris en charge
¢1 pas d'enregistrement automatique
Remarque :
Dans certains scénarios, un client SGN avec un numéro de version inférieur peut
recevoir des stratégies d'un serveur exécutant une version plus récente de SGN.
Toutefois, le client ne pourra pas prendre en charge les fonctions qui ont été
nouvellement introduites avec la nouvelle version.
Le tableau suivant énumère toutes les plates-formes de système d'exploitation prises en charge ainsi que les modules SGN disponibles sur cette plate-forme.
|
SGN – Prise en charge des plates-formes Microsoft Windows |
||||||||||
|
SGN 5.50.x |
||||||||||
DE |
DE BitLocker |
DX |
CP |
Serveur SGN |
MC |
||||||
XP Edition Professionnel |
SP2 SP3 |
32 bits |
l |
|
l |
.NET 2.0 |
|
.NET 3.01 |
|||
Vista
Edition Familiale Premium Professionnel Entreprise Edition Intégrale |
SP1 SP2 |
32 bits |
l |
- - l l |
l |
l |
|
.NET 3.01 |
|||
Vista
Edition Familiale Premium Professionnel Entreprise Edition Intégrale |
SP1 SP2 |
64 bits |
l |
- - l l |
l |
|
|
.NET 3.01 |
|||
7 Edition Familiale Premium Professionnel Entreprise Edition Intégrale |
|
32 bits
|
l |
- - l l |
l |
l |
|
NET 3.01 |
|||
7 Edition Familiale Premium Professionnel Entreprise Edition Intégrale |
|
64 bits |
l |
- - l l |
l |
l |
|
NET 3.01 |
|||
Server 2003 / R2 |
.NET 3.0 |
IIS 6 |
SP1 SP2 |
32 bits 64 bits |
|
|
|
|
l l |
l l |
|
Server 2008 Server 2008 R2 |
.NET 3.0 |
IIS 7.0 IIS 7.5 |
SP1 |
64 bits 64 bits |
|
|
|
|
l l |
l l |
|
1 .Net 3.0 SP1 requis
Remarque 1 :
SafeGuard Enterprise SafeGuard Easy peut être installé sur des systèmes équipés
de disques SSD (Solid State Disk) et prend en charge ces derniers.
Remarque 2 :
SafeGuard Enterprise peut être installé et est exploitable dans des
environnements de virtualisation. Sachez que des problèmes d'interopérabilité
sont possibles concernant le chiffrement sur les périphériques connectés via le
bus USB. En fonction de l'environnement de virtualisation et du périphérique
connecté, ce problème peut entraîner une erreur système.
Le tableau suivant énumère toutes les plates-formes de serveur de base de données prise en charge.
Serveur SGN - Prise en charge du serveur de base de données |
||
|
|
|
|
SGN 5.40 |
SGN 5.50 |
Microsoft SQL Server 2005 SP1 |
l |
|
Microsoft SQL Server 2005 Express SP1 |
l |
|
Microsoft SQL Server 2005 SP2 |
l |
l |
Microsoft SQL Server 2005 Express SP2 |
l |
l |
Microsoft SQL Server 2005 SP3 |
l |
l |
Microsoft SQL Server 2005 Express SP3 |
l |
l |
Microsoft SQL Server 2008 SP1 |
|
l |
Microsoft SQL Server 2008 Express SP1 |
|
l |
- Le jeton A-Trust V4 a posé quelques problèmes
- La carte d'identification estonienne est désormais prise en charge (Windows XP seulement)
- Dans certains scénarios, l'ouverture de session automatique de la POA ne fonctionne pas
- Les clés nouvellement attribuées nécessitaient un redémarrage avant d'être disponibles pour l'utilisateur
- Le programme d'installation n'a pas eu de propriété POACFG
- Des entrées de journal incorrectes indiquaient qu'un lecteur déchiffrait alors qu'il chiffrait
-
L'installation (ou la
nouvelle image) d'une machine avec un nom d'hôte précédemment utilisé peut
laisser cette machine inaccessible et irrécupérable si l'“ancien” objet machine n'a pas été
supprimé auparavant dans le Management Center SGN.
- Aucun dossier en texte clair n'a été créé lors du gravage des CD-ROM à l'aide de l'assistant intégré de Windows
-
Le raccourci SGPortable
est apparu mais n'a pas fonctionné
- Après l'installation du client Data Exchange, des options de menu disparaissent dans Corel Draw X4. Des problèmes semblables avec Adobe Fireworks et Candela ont été résolus.
- Ce n'était pas toujours possible de changer le Media Passphrase car l'option n'était pas disponible dans la barre d'état système.
- Dans Mindjet MindManager, l'ouverture de la boîte de dialogue Enregistrement sous... a provoqué le blocage de l'application.
-
Lorsque l'application de
surveillance Evidian SSO a été installée sur un client SGN, les changements de
mots de passe ont été perdus à la connexion dans Windows XP. Il a par ailleurs
été appliqué une correction générique qui résout le problème des changements de
mots de passe incorrects après une tentative de connexion avortée.
- En fonction de la liste blanche appliquée, les périphériques de stockage internes SCSI et IDE ont peut-être été bloqués.
§ Dans le Management Center, choisissez Outils -> Outil de package de configuration -> Onglet Enregistrer le serveur -> Ajouter...
·
Le nombre
maximal d'utilisateurs SGN enregistrés sur un client est 200.
Veuillez aussi considérer les tailles de fichiers maximales suivantes pour les
fichiers importés sur un client par la stratégie :
o Les fichiers texte ne doivent pas être supérieurs à 50 Ko en taille.
o Les fichiers bitmaps des bannières ne doivent pas être supérieurs à 100 Ko en taille.
o Les fichiers bitmaps des arrière-plans ne doivent pas être supérieurs à 500 Ko en taille.
Remarque : le nombre d'utilisateurs attribués, surtout combiné à beaucoup d'appartenances de groupe, a un impact perceptible sur les performances du serveur SGN.
·
La
désinstallation du client SGN sur une machine MC rend le MC inutilisable.
Lorsque le
Management Center SafeGuard est exécuté sur une machine avec une installation
client SGN, la désinstallation du client laisse MC dans un état inutilisable.
Ce problème ne dépend pas de l'ordre d'installation des deux modules. Si vous
voulez continuer d'exécuter MC sur cette machine, vous devez le réinstaller.
·
Convention
d'appellation de la base de données
Les noms des bases de données SGN doivent être conformes à la convention
d'appellation suivante afin d'empêcher les problèmes de localisation.
Les noms des bases de données SGN doivent seulement contenir :
- Des caractères (A-Z, a-z)
- Des numéros (0-9)
- Des traits de soulignement (_)
· Si le Management Center est installé sur une machine cliente SGN, les deux composants (client + MC) doivent être mis à jour vers SGN 5.50 et le client doit être mis à jour en premier. La mise à jour seule du Management Center peut entraîner des échecs d'ouverture de session au niveau de Windows.
·
Veuillez vérifier le
CD-ROM des logiciels SGN (dossier des outils) pour obtenir des informations
supplémentaires sur la mise à jour du Management Center SGN (recherchez
également dans la base de connaissances Sophos les termes “SGN & mise à
jour” pour rassembler des instructions détaillées).
·
Configuration possible des
méthodes d'accès à la base de données SQL :
L'option d'authentification Windows NT nécessite d'autres étapes de
configuration obligatoires proposées par Microsoft (recherchez dans la base de
connaissances Sophos “SGN & compte de service”). L'authentification SQL est
le moyen le moins complexe et ne nécessite aucune configuration supplémentaire.
· Les règles de mots de passe SGN sont introduites de manière complètement distincte des paramètres dans AD et, si les deux séries de règles sont utilisées en même temps, des blocages peuvent se produire. Si une série de stratégies de mots de passe est déjà introduite dans AD, il est conseillé de ne pas définir de règles de mots de passe dans le Management Center SafeGuard.
·
Si la synchronisation AD
est exécutée avec un compte utilisateur Windows qui a des droits d'accès sur AD
moins importants que celui qui a exécuté l'importation initiale, tous les
objets inaccessibles seront traités comme “plus disponibles” et donc supprimés
et déplacés dans le nœud Ordinateurs authentifiés.
Il est conseillé de créer un compte de service dédié à utiliser pour
l'authentification de toutes les tâches d'importation et de synchronisation,
ceci afin d'empêcher une suppression accidentelle des objets dans la base de
données SGN (veuillez rechercher “SGN & synchronisation” dans la base de
connaissances Sophos).
· Si des éléments ont été déplacés d'une sous-arborescence dans une autre dans Active Directory, les deux sous-arborescences doivent être synchronisées avec la base de données SQL. La synchronisation d'une sous-arborescence seulement entraîne la suppression des objets au lieu de leur déplacement.
· La synchronisation AD synchronisera le nom pré--Windows 2000 (NetBIOS) du domaine, si le contrôleur de domaine est configuré avec une adresse IP. Veuillez configurer le contrôleur de domaine pour utiliser à la place le nom de serveur (NetBIOS ou DNS). Soit le client (sur lequel la synchronisation AD fonctionne) doit faire partie du domaine, soit il faut s'assurer qu'il peut résoudre le nom DNS dans le contrôleur de domaine cible.
· Les certificats fournis par le client et importés dans SGN ne sont actuellement pas vérifiés conformément à RFC3280. Par exemple, nous n'empêchons pas l'utilisation de certificats de signatures à des fins de chiffrement.
·
Des stratégies
superposées attribuées à un groupe peuvent conduire à un calcul incorrect des
priorités. Veuillez utiliser des paramètres de stratégie dissociés.
·
Si vous voulez
autoriser des durées minimales de mots de passe de moins de 2 jours, ne changez
pas le paramètre “Modification du mot de passe autorisée après un min. de
(jours)”. Une fois changé, le minimum est 2 jours.
· A noter avant la désinstallation : les utilisateurs ne pourront pas effectuer de désinstallation des volumes chiffrés avec une clé spécifique à l'utilisateur qui ne leur est pas attribuée.
·
Il y a
quelques problèmes de mise en page de l'interface utilisateur sur les machines
configurées pour des résolutions autres que 96 ppp.
·
Il est
conseillé de diviser et d'importer plus de 400 000 objets depuis AD dans
diverses opérations. Ceci ne sera peut-être pas possible s'il y a plus de
400 000 objets dans une seule unité organisationnelle.
·
Les clés de
chiffrement créées localement à l'aide d'une version de SafeGuard Removable
Media antérieure à la version 1.20 ne sont pas transférées dans le Management
Center SafeGuard et n'y sont pas visibles.
·
L'enregistrement
automatique échoue si la prise en charge NetBIOS n'est pas disponible.
Utilisez seulement des adresses IP, si NetBIOS est également actif sur votre
réseau. Si vous utilisez des adresses IP sans la prise en charge de NetBIOS,
les utilisateurs et les ordinateurs enregistrés automatiquement ne seront pas
triés dans leur domaine.
·
Deux
responsables de la sécurité différents ne doivent pas utiliser le même compte
Windows sur le même PC. Parce qu'il ne serait pas possible de séparer
correctement leurs droits d'accès.
·
L'inventaire
d'un client BitLocker n'affiche pas le statut correct des supports amovibles.
·
Les clients
qui ont été enregistrés comme membres d'un domaine ne seront pas mis à jour
correctement dans le SafeGuard Management Center, s'ils sont déplacés dans un
groupe de travail Windows
·
Après la mise
à jour de la base de données SGN à la version 5.50, d'anciennes consoles
d'administration affichent un message d'erreur. Elles doivent aussi être mises
à jour.
· Lors de l'exécution d'une désinstallation, il se peut que certains fichiers et entrées de registre demeurent. Veuillez consulter la base de connaissances Sophos (mots-clés “SGN & désinstaller”) pour savoir comment nettoyer l'installation manuellement. Un tel nettoyage est nécessaire pour réinstaller SGN sur le même ordinateur.
· L'authentification HTTP (du client dans IIS) n'est pas prise en charge.
· Pour la réduction du trafic réseau, il est conseillé d'utiliser les intervalles de transfert de connexion de plus de 240 minutes.
· Il est conseillé d'activer les options de recyclage de la mémoire d'IIS avec les paramètres par défaut.
· L'accès à la page par défaut du service WEB peut aboutir à une exception non gérée. Ceci peut être résolu par un nouvel enregistrement de ASP.NET : aspnet_regiis /i
· Pour éviter une incompatibilité avec les applications existantes, il est conseillé d'installer le serveur SGN sur un serveur IIS dédié.
· SGN 5.50 Enterprise Server ne prend pas en charge les clients SGN 5.00/5.10/5.20/5.30. Ils doivent être migrés dans SGN version 5.35 ou supérieure avant de migrer SGN Enterprise Server à la version 5.50
· Les clients SGN 5.50 ne sont pas prévus pour se connecter aux serveurs SGN antérieurs à la version 5.50. Seul un mélange de versions de clients SGN doit être présent lors de la phase de migration.
· SafeGuard Enterprise API : il se peut que les événements du journal de la console d'administration ne soient pas créés lors de l'appel simultané de fonctionnalités via l'API de SGN.
·
API SafeGuard Enterprise : la méthode “CreateDirectoryConnection” ne fonctionne pas sur un serveur
SGN seul. La console d'administration SGN doit aussi être installée sur la
machine pour cet API.
· L'installation de DX n'est pas empêchée sur un système muni de SafeGuard Removable Media. SGRM et SGN DX sont des produits de chiffrement de fichiers non prévus pour coexister. Or, le programme d'installation de DX ne vérifie cette condition. SGRM doit être désinstallé avant l'installation de SGN DX.
·
Récupération des mots
de passe oubliés
SafeGuard Data Exchange sans chiffrement des périphériques n'assure pas la
récupération Challenge/Réponse, lorsque l'utilisateur a oublié son mot de
passe. Dans ce cas, vous devez changer le mot de passe dans Active Directory,
vous connecter avec Sophos Credential Provider et restaurer la configuration de
l'utilisateur sur le client. Pour plus de détails, consultez la base de
connaissances Sophos.
·
Compatibilité avec SG
RemovableMedia 1.20
Des clés locales créées avec SafeGuard Removable Media dans une version plus
ancienne que la 1.20 avant de changer pour SafeGuard Data Exchange peuvent être
utilisées dans le client SGN. Elle ne sont, en revanche, pas transférées
automatiquement dans la base de données SGN.
·
Compatibilité avec SG
Easy 4.x
Lors de l'utilisation de SafeGuard Data Exchange avec SafeGuard Easy 4.x,
sachez que les mécanismes SGE GINA (surtout la connexion automatique sécurisée
SAL) ne fonctionnent plus, SGE doit être tout d'abord installé et les deux
produits doivent seulement être désinstallés ensemble (sans redémarrage) pour
éviter les conflits GINA.
·
Compatibility avec
Microsoft Office 2007
Les applications Microsoft
Office 2007 (comme Word, Excel) s'interrompent en indiquant une erreur lors de
l'enregistrement des modifications dans un fichier brut qui doit en fait être
chiffré conformément à la stratégie de chiffrement en cours.
Solution :
- Réglez le statut de chiffrement des fichiers pour qu'ils se conforment à
la stratégie, ou
- Ajoutez les programmes Office dans la clé de registre Special Rename
Processes.
Voici un exemple de paramètre de registre qui ajoute WinWord.exe et Excel.exe à
cette clé.
Windows
Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO\SGLCENC]
"SpecialRenamePrograms"="winword.exe;excel.exe;"
Pour plus d'informations, reportez-vous à l'article SGI 109474 de la base de
connaissances Sophos.
·
Elévation de
l'utilisateur pour les exécutables chiffrés
Si un exécutable chiffré ou
un package d'installation est démarré et nécessite une élévation de
l'utilisateur dans Windows Vista ou Windows 7, il peut arriver que l'élévation
n'ait pas lieu et que l'exécutable ne soit pas exécuté.
·
Lien SafeGuard Portable
sur les supports en lecture seule
Le lien vers l'application
SafeGuard Portable créé à la racine d'un support amovible peut ne pas
fonctionner dans certaines conditions (sous Windows 7 seulement). Lorsque le
support est inséré dans un périphérique dont la lettre diffère de celle sur
lequel SafeGuard Portable a été copié, le lien ne fonctionne pas si le lecteur
portant cette lettre est aussi disponible. Par exemple, si le lien SafeGuard Portable
a été créé sur le lecteur D: d'un support et si ce dernier est utilisé sur une
machine différente dans le lecteur E:, le lien est rompu si cette machine
possède également un lecteur D:, autrement, le lien fonctionne comme prévu.
·
Accès au jeu de clés
suite à la fermeture d'une session à distance
Le jeu de clés d'un utilisateur
n'est plus accessible suite à la fermeture d'une session à distance existante.
La machine client doit être redémarré afin de restaurer l'accès au jeu de clés
de l'utilisateur. La fermeture et la réouverture d'une session ne suffisent pas
à récupérer l'accès.
·
BitLocker To Go - les
périphériques chiffrés peuvent empêcher l'installation du chiffrement des
périphériques (DE)
Si une clé USB chiffrée par
BitLocker To Go est connectée à une machine lors de la configuration de SGN,
l'installation échouera car Windows signale le système comme étant activé par
BitLocker, ce qui constitue une condition d'échec valide pour l'installation du
client DE. La solution consiste à supprimer tout périphérique chiffré par
BitLocker to Go avant d'installer SGN DE.
·
Le chiffrement des
périphériques peut échouer sur certaines clés USB
Certains rares modèles de
clés USB signalent une capacité de stockage incorrecte (généralement plus
importante que leur véritable capacité physiquement disponible). Sur ces
modèles, un chiffrement initial à base de volumes échouera et les données
contenues dans la clé seront perdues. Sophos conseille généralement d'utiliser
le chiffrement à base de fichiers (module DX) pour le chiffrement des supports
amovibles.
·
Emplacement des profils
utilisateur sur les volumes chiffrés
Lors du chiffrement du volume
contenant le ou les profils utilisateur, seules les clés disponibles pour tout
utilisateur dont le profil est placé sur le volume chiffré doivent être
utilisées. Pour garantir une configuration système correcte, les profils
utilisateur ne doivent pas être placés sur les volumes chiffrés pour lesquels
l'utilisateur n'a pas de clé de chiffrement, ou alors seules les clés
disponibles à tous les utilisateurs doivent être utilisées pour le chiffrement
de ce volume. Ce sera uniquement un problème lors du changement de
l'emplacement par défaut des profils utilisateur du volume système sur tout
autre volume local chiffré.
·
SafeGuard Easy
Après la première connexion, le client requiert un redémarrage supplémentaire
pour garantir l'enregistrement de l'utilisateur connecté.
·
Mise à jour
Lors de la mise à jour d'une ancienne version du client SGN, il est conseillé
de choisir le mode d'installation ‘Personnalisé’ et de sélectionner
manuellement toutes les fonctionnalités désirées qu'elles fussent ou non déjà
installées par la version précédente. En option, vous pouvez utiliser à la
place le mode ‘Complet’. Si le mode standard est choisi, certaines des
fonctionnalités ne seront peut-être pas mises à jour correctement.
Dans le cas d'une installation non assistée, vous devez utiliser la propriété
ADDLOCAL= pour sélectionner toutes les fonctionnalités désirées (existantes et
nouvelles). Si cette option n'est pas spécifiée, seules les fonctionnalités
installées par la version précédentes seront mises à jour.
·
Installation du package
de configuration du client
Après l'installation du package de configuration du client, l'utilisateur doit
attendre ~5-10 secondes avant de valider le redémarrage final. Ensuite, après
redémarrage, l'utilisateur doit de nouveau attendre environ 3 minutes à l'écran
de connexion Windows avant de passer à la connexion même. Sinon, la
synchronisation de l'utilisateur initial n'est peut-être pas terminée tant que
le nouveau redémarrage n'a pas eu lieu.
·
Local Self Help
Pour l'option d'aide locale
sans assistance (LSH, Local Self-Help), l'option de récupération de la POA
n'apparaîtra jamais si
l'utilisateur connecté à cette dernière a la possibilité d'ouvrir une session
avec une carte à puce ou via son empreinte digitale. La LSH fonctionne
seulement si l'utilisateur ouvre une session sur la POA avec son identifiant et
mot de passe.
·
Erreurs d'écriture
différée lors du chiffrement initial
Lors de l'installation de
SafeGuard Enterprise Base Encryption, des échecs d'écriture différée peuvent
être signalés par le système d'exploitation. Cela se produit juste après
l'installation du noyau dans le système de fichiers. Cela peut être forcé par
l'exécution de plusieurs opérations d'entrée/sortie parallèles lors du
démarrage suivant juste après la manipulation du système de fichiers.
Solution :
Un autre moyen d'installer le SafeGuard Enterprise Base Encryption Kernel peut
être forcé en ajoutant la valeur de registre :
Ruche : HKEY_LOCAL_MACHINE
Clé : System\CurrentControlSet\Control\Session Manager
Nom valeur : AllocMode (DWORD)
Valeur : 1
Cette valeur de registre doit être ajoutée avant d'exécuter le SafeGuard
Enterprise Base
Configuration du chiffrement.
·
Stratégie de protection
des périphériques pour les lecteurs amovibles
Une stratégie de chiffrement
des lecteurs amovibles à base de volumes où l'utilisateur choisit une clé dans
une liste (par exemple, “toutes les clés dans un jeu de clés”) peut être
contournée par l'utilisateur s'il ne choisit aucune clé. Pour veiller à ce que
les lecteurs amovibles soient toujours chiffrés, le responsable de la sécurité
doit soit utiliser une stratégie de chiffrement à base de fichiers, soit
explicitement définir une clé dans la stratégie de chiffrement à base de
volumes.
·
Stratégie de protection
des périphériques avec la stratégie de protection de la configuration pour les
lecteurs sans démarrage
Si les deux fonctionnalités
de chiffrement à base de volumes et de protection de la configuration sont
installées sur les systèmes Windows Vista, les stratégies de chiffrement des
volumes sans démarrage peuvent le blocage du processus de chiffrement initial.
Cela peut être évité en copiant le fichier bootmgr sur ces volumes sans
démarrage avant l'installation de SGN et en définissant une stratégie de
chiffrement pour ‘Bootvolumes’.
·
Stratégie d'échange de
données et SafeGuard Easy
Les stratégies d'échange de
données ne peuvent pas utiliser la clé machine définie dans SafeGuard Easy
5.50. Veuillez utiliser une clé différente si la stratégie doit être appliquée
sur les clients SafeGuard Easy.
·
Prise en charge de
Kerberos avec jeton A-Trust
Configuration du client pour la connexion Kerberos avec les cartes à puce
A-Trust :
Le middleware A-Trust doit être installé avec les paramètres suivants :
acSetup.exe
/CALAIS=Yes
Utilisez l'icône de la barre
d'état système pour exécuter une mise à jour du middleware. Cette étape est
aussi nécessaire si vous avez déjà installé la dernière version du middleware
A-Trust car il télécharge et installe le certificat racine A-Trust.
Installez les paramètres de registre depuis \Tools\ATrustSetup.reg.
Remarque e: le magasin de clés utilisateur ne peut être ouvert avec
la version 1.2.5.2 ou une version antérieure du middleware A-Trust. A-Trust
travaille déjà sur ce problème.
·
Prise en charge de
Kerberos avec Aladdin eToken Pro
Le Aladdin PKI Client 5.0 est requis pour Windows Kerberos Logon avec Aladdin
eToken PRO 72k (Java). Par contre, ces jetons doivent être initialisés avec
Aladdin PKI Client 4.55 pour être compatibles avec la POA de SGN.
·
Client Novell
Pour utiliser le
client SGN conjointement avec un client Novell, certaines adaptations
spécifiques aux projets sont nécessaires. Pour plus d'informations, veuillez
contacter le support technique Sophos.
·
Changement
rapide d'utilisateur
Le changement
rapide d'utilisateur n'est pas pris en charge et doit être désactivé.
·
Lecteur de disquette
incorporé
Après l'installation de SGN
Device Encryption sous Windows Vista, le lecteur de disquette incorporé n'est
plus disponible. Cette restriction ne s'applique pas aux lecteurs de disquette
externes connectés via le bus USB.
·
Durée de démarrage
La durée de démarrage augmente d'à peu près une minute après l'installation du
logiciel client SGN.
·
Chiffrement des
‘lecteurs virtuels’
Les lecteurs virtuels montés
sur la station de travail cliente (par exemple, un fichier
VHD dans Windows à l'aide du monteur MS Virtual Server) sont considérés comme
des lecteurs de disques durs locaux et donc leurs contenus seront chiffrés
également si une stratégie de chiffrement est définie pour les ‘autres
volumes’.
· Il n'est pas possible d'utiliser le chiffrement des périphériques à base de volumes parallèlement à BitLocker. La configuration du client SGN ne permet pas l'installation simultanée des deux fonctions.
· Lors du chiffrement initial de la partition système (c'est-à-dire celle où le fichier hiberfil.sys file est placé), la suspension sur disque peut échouer et doit donc être évitée. Après le chiffrement initial de la partition système, un redémarrage est requis avant que la suspension sur disque ne fonctionne de nouveau correctement.
· La désinstallation du client SGN Device Encryption exécute le déchiffrement automatique des volumes qui ont été chiffrés à l'aide de la clé machine par défaut. Les autres volumes chiffrés utilisant d'autres clés ne sont pas chiffrés automatiquement. Ils doivent être déchiffrés à l'aide de la stratégie appropriée avant la désinstallation du client SGN Device Encryption.
· Avant de désinstaller le dernier client SGN accessible, déchiffrez tous les supports amovibles chiffrés. Sinon, vous ne pourrez peut-être plus accéder à vos données. Tant que vous conservez votre base de données SGN, les données présentes sur les supports amovibles peuvent être récupérées.
· Il est conseillé de redémarrer un PC client SGN au moins une fois après avoir activé l'authentification au démarrage SGN. SGN exécute une sauvegarde de ses données de noyau à chaque démarrage Windows. Cette sauvegarde ne se produirait pas si le PC avait seulement hiberné ou était passé en mode veille.
· Microsoft Windows XP a une restriction technique de sa pile de noyau. Si plusieurs pilotes de filtres du système de fichiers (par exemple, le logiciel antivirus) sont installés, il est possible que la mémoire ne soit pas suffisante. Dans ce cas, vous pouvez prendre un BSOD. Sophos ne saurait se considérer responsable de cette restriction Windows et ne peut pas résoudre ce problème.
· Parfois, des événements d'“insertion de jetons” sont perdus pendant l'affichage de la boîte de dialogue de bienvenue Windows Welcome. Cela exige la réinsertion du jeton jusqu'à ce qu'il soit reconnu avec succès. Autrement, il est possible d'appuyer sur CTRL-ALT-SUPPR pour passer directement à la boîte de dialogue de connexion où ce problème n'existe pas.
· Si une erreur se produit lors de la connexion de Kerberos à Windows, la boîte de dialogue du numéro d'identification personnel ne se ferme pas automatiquement après avoir quitté la boîte de message correspondante. L'utilisateur doit appuyer sur ECHAP ou sur CTRL-ALT-SUPPR pour revenir à la boîte de dialogue de connexion."
· Sur les clients utilisant OHCI pour l'interface USB, il est possible que certains lecteurs de cartes à puce ou jetons USB ne fonctionnent pas.
· Pour une prise en charge correcte des lecteurs de cartes à puce USB, les Dell 620 Notebooks nécessitant l'activation du paramètre BIOS „Mode compatible“ (dans les périphériques embarqués/USB intégré). Il s'agit de la valeur par défaut.
· En combinaison avec Aladdin PKI client 4.5x, un délai de connexion massif peut se produire au niveau de GINA. Nous conseillons par conséquent d'utiliser la version 5.0.
· Dans le cas du chiffrement à base de volumes, ceux placés sur des "disques dynamiques" ou sur des “disques GPT” ne sont pas pris en charge.
· Lors de l'exécution d'une désinstallation, il se peut que certains fichiers et entrées de registre demeurent. Veuillez consulter la base de connaissances Sophos (mots-clés “SGN & désinstaller”) pour savoir comment nettoyer l'installation manuellement. Un tel nettoyage est nécessaire pour réinstaller SGN sur le même ordinateur
· A cause de restrictions techniques, “l'ouverture de session unique” avec Kerberos (carte à puce/jeton) requiert la réinsertion de la carte à puce ou du jeton au niveau de GINA lors de l'exécution sous Windows XP.
· Si une désinstallation du client SGN est déclenché via Active Directory, il convient de s'assurer que tous les volumes chiffrés à base de volumes ont été déchiffrés correctement auparavant.
· La compatibilité aux outils d'imagerie n'a pas été testée et n'est donc pas prise en charge.
· Les caractères spéciaux (par exemple, ä,ö,ü,…) doivent être entrés en tenant compte des majuscules au niveau de la POA.
· Certains ordinateurs ne parviennent pas à démarrer depuis une disquette une fois qu'ils ont démarré la POA depuis le disque dur. Il s'agit d'une restriction de leur implémentation BIOS qui ne peut pas être résolue par Sophos.
· Les caractères spéciaux doivent être utilisés avec précaution dans le texte de la mention légale de la POA. Il se peut que certains de ces caractères ne s'affichent pas correctement.
· Avant de chiffrer une partition avec le chiffrement à base de volumes, il est conseillé d'exécuter chkdsk c: /f /v /l /x afin de toucher chaque secteur de la partition. Le microprogramme du disque dur remplacera alors chaque secteur défectueux avant que SGN n'essaie de le chiffrer.
· Lors de l'utilisation de SafeGuard Portable en combinaison avec le client SGN, l'algorithme AES-256 doit être utilisé pour le chiffrement des supports amovibles.
· Les clients utilisant le chiffrement BitLocker détecteront les disques durs USB sous “Autres volumes” et non “Amovibles”. N'utilisez pas les stratégies de chiffrement pour les “Autres volumes” si vous voulez utiliser les disques durs USB sur les clients BitLocker.
· Si vous avez installé SGN Device Encryption et SGN Data Exchange sur un client, vous ne pouvez pas désinstallez Device Encryption seul. Vous devez désinstallez l'intégralité du package.
·
Le chiffrement
à base de fichiers et de volumes a été testé avec succès par Sophos sur des
installations de produits antivirus concurrents ainsi que les suivants :
Si des problèmes sont rencontrés lors du démarrage, veuillez essayer les opérations suivantes :
Dans HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Storages\ Filesystem\RealTimeScan
Paramétrez la valeur DWORD KStackMinFree sur 0x2200.
Pour trouver une explication détaillée de la clé, cliquez sur ce lien :
· Si seulement SGN Data Exchange est installé sur un client et si les utilisateurs sont importés, ces derniers ne seront pas importés automatiquement dans la POA, lorsque SGN Device Encryption sera installé ultérieurement. Vous devez déclencher une mise à jour des utilisateurs, en attribuant par exemple temporairement une clé au répertoire racine
· Lorsque vous désinstallez un client SGN, vous devez désinstaller tout d'abord le package de configuration client.
· L'outil BE_RESTORE essaie toujours d'accéder au disk0. Il se peut que ce ne soit pas le disque dur, par exemple, si une clé USB est connectée ou si un disquette ram est utilisée.
· L'outil BE_RESTORE contient certaines restrictions sous Windows Vista / Windows PE 2.0 si le disque dur n'est pas encore chiffré.
· L'utilisation de l'outil BE_RESTORE avec Windows PE 2.0 nécessite au moins 512 Mo de mémoire.
· Un changement de support de disquette n'est pas toujours détecté correctement. Essayez d'accéder à la disquette alors qu'aucun support se trouve dans le lecteur (par exemple, avec l'Explorateur) pour vous assurer que le changement de support est détecté.
· Le système d'exploitation Windows XP jusqu'au Service Pack 2 affiche un problème sur certaines machines où une reprise après la veille n'affiche pas le bureau verrouillé mais ouvre directement le bureau de l'utilisateur. Le problème s'applique aussi aux machines avec SafeGuard Enterprise. Ceci doit être corrigé sous Windows XP SP3.
· Dans de rares occasions, certains middlewares de cartes à puce présentent des problèmes pendant nos tests où ils perdent leur statut de session après le déverrouillage du bureau. D'après la conception du produit, SGN verrouille de nouveau le bureau dans ce cas. Si vous rencontrez ce problème, une solution consiste à définir la stratégie “Action si l'état de connexion de la carte à puce est perdu” sur “Aucune action”.
· Très rarement, la configuration du client SGN Device Encryption se termine avec l'erreur 5001. Ce qui signifie que votre disque dur est trop fragmenté pour installer ce logiciel. Le noyau SGN a besoin de 96 Mo d'espace disque contigu sur le premier disque dur.
· L'application de la stratégie d'historique des mots de passe SafeGuard Enterprise peut être évitée par l'utilisateur lors de l'exécution du changement de mot de passe due à l'application de l'administrateur système.
· Si la connexion cryptographique avec jetons (Kerberos) est configurée comme méthode possible de connexion sur un client SGN, la connexion Bureau à distance à ce client SGN n'est pas prise en charge.
· Les utilisateurs avec, dans leur identification, les caractères “tréma” autres que les touches de la configuration clavier choisie ne peuvent pas ouvrir de session dans la POA, par exemple en combinaison avec une configuration allemande du clavier.
· Les configurations de clavier suivantes sont prises en charge dans le module d'authentification d'avant démarrage. "x" indique que la langue est parfaitement prise en charge. Toutes les autres langues s'afficheront par défaut comme cela est spécifié. Prenez garde aux caractères spéciaux dans les mots de passe si les utilisateurs ont un clavier non pris en charge qui, par défaut, est en anglais américain (US).
ID langue Clavier Langue / Commentaires
====================================================================
0x0000 US Langue neutre
0x0400 US Langue du processus ou par défaut utilisateur
0x0800 US Langue système par défaut
0x0401 US Arabe (Arabie Saoudite)
0x0801 US Arabe (Iraq)
0x0c01 US Arabe (Egypte)
0x1001 US Arabe (Libye)
0x1401 US Arabe (Algérie)
0x1801 US Arabe (Maroc)
0x1c01 US Arabe (Tunisie)
0x2001 US Arabe (Oman)
0x2401 US Arabe (Yémen)
0x2801 US Arabe (Syrie)
0x2c01 US Arabe (Jordanie)
0x3001 US Arabe (Liban)
0x3401 US Arabe (Koweït)
0x3801 US Arabe (Emirats arabes unis)
0x3c01 US Arabe (Bahreïn)
0x4001 US Arabe (Qatar)
US Arabe (102) AZERTY
X 0x0402 BG Bulgare Aucune police disponible
0x0403 ES Catalan
0x0404 US Chinois (Taiwan) Aucune police disponible
0x0804 US Chinois (République populaire de Chine) Aucune police disponible
0x0c04 US Chinois (Hong Kong RAS, République populaire de Chine) “
0x1004 US Chinois (Singapour) Aucune police disponible
0x1404 US Chinois (Macao RAS) (98/ME,2K/XP)
X 0x0405 cz Tchèque
X 0x1402 cz_qwerty Tchèque (QWERTY)
US Tchèque (Programmeurs)
X 0x0406 dk Danois
X 0x0407 de Allemand (Standard)
X 0x0807 de_CH Allemand (Suisse)
0x0c07 de Allemand (Autriche)
0x1007 de Allemand (Luxembourg)
0x1407 de Allemand (Liechtenstein)
X 0x0408 el Grec Aucune police disponible
X 0x0409 us Anglais (Etats-Unis)
X 0x0809 gb Anglais (Royaume-Uni)
0x0c09 us Anglais (Australie)
0x1009 us Anglais (Canada)
0x1409 us Anglais (Nouvelle-Zélande)
X 0x1809 ie Anglais (Irlande)
0x1c09 US Anglais (Afrique du Sud)
0x2009 US Anglais (Jamaïque)
0x2409 US Anglais (Caraïbes)
0x2809 US Anglais (Belize)
0x2c09 US Anglais (Trinité-et-Tobago)
0x3009 US Anglais (Zimbabwe) (98/ME,2K/XP)
0x3409 US Anglais (Philippines) (98/ME,2K/XP)
X 0x040a ES Espagnol (Espagne, Traditionnel)
0x080a ES Espagnol (Mexique)
0x0c0a ES Espagnol (Espagne, Moderne)
0x100a ES Espagnol (Guatemala)
0x140a ES Espagnol (Costa Rica)
0x180a ES Espagnol (Panama)
0x1c0a ES Espagnol (République dominicaine)
0x200a ES Espagnol (Venezuela)
0x240a ES Espagnol (Colombie)
0x280a ES Espagnol (Pérou)
0x2c0a ES Espagnol (Argentine)
0x300a ES Espagnol (Equateur)
0x340a ES Espagnol (Chili)
0x380a ES Espagnol (Uruguay)
0x3c0a ES Espagnol (Paraguay)
0x400a ES Espagnol (Bolivie)
0x440a ES Espagnol (El Salvador)
0x480a ES Espagnol (Honduras)
0x4c0a ES Espagnol (Nicaragua)
0x500a ES Espagnol (Porto Rico)
X 0x040b fi Finlandais
US Finlandais (avec Sami)
X 0x040c fr Français (Standard)
X 0x080c be Français (Belgique)
0x1080c be Belge (Comma)
X 0x0c0c ca_enhanced Français (Canada)
US Français (Canada, Traditionnel)
US Canadien (Multilingue)
X 0x100c fr_CH Français (Suisse)
0x140c fr_CH Français (Luxembourg)
0x180c fr Français (Monaco) (98/ME,2K/XP)
0x040d US Hébreu
X 0x040e hu Hongrois
X 0x040f is Islandais
X 0x0410 it Italien (Standard)
0x0810 it Italien (Suisse)
X 0x0411 jp Japonais
X 0x0412 ko Coréen Aucune police disponible
0x0812 US Coréen (Johab) (95,NT)
X 0x0413 nl Hollandais (Pays-Bas)
X 0x0813 be Hollandais (Belgique)
X 0x0414 no Norvégien (Bokmal)
0x0814 no Norvégien (Nynorsk)
X 0x0415 pl Polonais Aucune police disponible
X 0x0416 br Portugais (Brésil)
X 0x0816 pt Portugais (Portugal)
X 0x0418 ro Roumain
0x0419 US Russe
0x041a US Croate
0x081a US Serbe (Latin)
0x0c1a US Serbe (Cyrillique)
0x101a US Croate (Bosnie et Herzégovine)
0x141a US Bosniaque (Bosnie et Herzégovine)
0x181a US Serbe (Latin, Bosnie et Herzégovine)
0x1c1a US Serbe (Cyrillique, Bosnie et Herzégovine)
0x041b sk Slovaque
0x041c US Albanais
X 0x041d se Suédois
0x081d se Suédois (Finlande)
0x041e US Thaïlandais
X 0x041f tr Turc Aucune police disponible
0x0420 US Ourdou (Pakistan) (98/ME,2K/XP)
0x0820 US Ourdou (Inde)
0x0421 US Indonésien
0x0422 uk Ukrainien
0x0423 US Biélorusse
0x0424 sl Slovène
0x0425 US Estonien
0x0426 lv Letton
0x0427 lt Lituanien
0x0827 US Lituanien (Classique) (98)
0x0429 US Farsi
0x042a US Vietnamien (98/ME,NT,2K/XP)
0x042b US Arménien. Ceci est au format Unicode seulement. (2K/XP)
US Arménien (Est)
US Arménien (Ouest)
0x042c US Azéri (Latin)
0x082c US Azéri (Cyrillique)
0x042d US Basque
0x042f US Macédonien (FYROM)
0x0430 US Sutu
0x0432 US Setswana/Tswana (Afrique du Sud)
0x0434 US isiXhosa/Xhosa (Afrique du Sud)
0x0435 US isiZulu/Zulu (Afrique du Sud)
0x0436 US Afrikaans
0x0437 US Géorgien. Ceci est au format Unicode seulement. (2K/XP)
0x0438 US Féroïen
0x0439 US Hindi. Ceci est au format Unicode seulement. (2K/XP)
0x043a US Maltais (Malta)
0x043b US Sami du Nord (Norvège)
0x083b US Sami du Nord (Suède)
0x0c3b US Sami du Nord (Finlande)
0x103b US Sami de Lule (Norvège)
0x143b US Sami de Lule (Suède)
0x183b US Sami du Sud (Norvège)
0x1c3b US Sami du Sud (Suède)
0x203b US Sami de Skolt (Finlande)
0x243b US Sami d'Inari (Finlande)
0x043e US Malais (Malaisie)
0x083e US Malais (Brunei Darussalam)
0x0440 US Kirghiz. (XP)
0x0441 US Swahili (Kenya)
0x0443 uz Uzbek (Latin)
0x0843 US Uzbek (Cyrillique)
0x0444 US Tatar (Tatarstan)
0x0445 US Bengali (Inde)
US Bengali (Inscript)
0x0446 US Punjabi. Ceci est au format Unicode seulement. (XP)
0x0447 US Gujarati. Ceci est au format Unicode seulement. (XP)
0x0449 US Tamil. Ceci est au format Unicode seulement. (2K/XP)
0x044a US Telugu. Ceci est au format Unicode seulement. (XP)
0x044b US Kannada. Ceci est au format Unicode seulement. (XP)
0x044c US Malayalam (Inde)
0x044e US Marathi. Ceci est au format Unicode seulement. (2K/XP)
0x044f US Sanskrit. Ceci est au format Unicode seulement. (2K/XP)
0x0450 US Mongol (XP)
0x0452 US Gallois (Royaume-Uni)
0x0455 US Birman
0x0456 US Galicien (XP)
0x0457 US Konkani. Ceci est au format Unicode seulement. (2K/XP)
0x045a US Syriac. Ceci est au format Unicode seulement. (XP)
0x0465 US Divehi. Ceci est au format Unicode seulement. (XP)
US Divehi (Phonétique)
US Divehi (Machine à écrire)
0x046b US Quechua (Bolivie)
0x086b US Quechua (Equateur)
0x0c6b US Quechua (Pérou)
0x046c US Sesotho sa Leboa/Sotho du Nord (Afrique du Sud)
0x007f US LOCALE_INVARIANT. Voir MAKELCID.
0x0481 US Maori (Nouvelle-Zélande)
§
Configuration système
requise
.NET Framework 2.0
§
Installation
Pour installer la protection de la configuration SGN, veuillez suivre l'ordre
d'installation suivant :
· SGNClient.msi
· SGN_CP_Client.msi ; ne redémarrez pas !
· SGNClientConfig.msi
§
Désinstallation
Pour désinstaller la protection de la configuration SGN, veuillez suivre
l'ordre d'installation suivant :
· SGNClientConfig.msi
· SGNClient.msi ; ne redémarrez pas !
· SGN_CP_Client.msi
§
Log-Event concernant
l'identificateur de registre ouvert
Le client de protection de la configuration (SimonPro.exe) conserve une
identification au registre (pour des raisons d'antialtération), ce qui provoque
cet avertissement sous Vista
§
Stratégie utilisateur non
chargée
Si les utilisateurs n'ont pas à appuyer sur Ctrl+Alt+Suppr pour se connecter à
Vista (paramètre de connexion interactive), la stratégie de l'utilisateur n'est
pas chargée correctement. Dans ce scénario, la stratégie machine est utilisée à
la place.
·
Chemin de
mise à niveau pour le module ConfigurationProtection de SGN
Le module ConfigurationProtection de SGN ne peut pas être mis à jour à SGN 5.50
directement à cause de restrictions de sécurité. Afin que l'installation de la
nouvelle version du module ConfigurationProtection se passe correctement, la
version existante doit tout d'abord être supprimée.
La procédure de mise à jour approuvée est la suivante :
1. Installez le package SGxClientPreinstall.msi
2. Mettez à jour le client SafeGuard Enterprise (SGNClient.msi), qui inclut le module de protection de la configuration (ne redémarrez pas après l'opération !).
3. Supprimez le client SafeGuard Enterprise ConfigurationProtection PortProtector (SGN_CP_Client.msi)
4. Redémarrez.
5. Installez le nouveau client SafeGuard Enterprise ConfigurationProtection PortProtector (SGN_CP_Client.msi).
6. Redémarrez.
· SafeGuard LAN Crypt 3.70 est la première version complètement compatible avec SafeGuard Enterprise. Si une ancienne version de SafeGuard LAN Crypt est installée, nous conseillons fortement d'effectuer d'abord une mise à niveau vers la dernière version de SafeGuard LAN Crypt.
· Si SafeGuard Enterprise 5.50 est installé par-dessus SafeGuard LAN Crypt, le programme d'installation se plaint que le composant SGLC Profile Loader en cours de mise à niveau est en cours d'utilisation. Ce message, qui apparaît parce que SafeGuard LAN Crypt et SafeGuard Enterprise partagent des composants, peut être ignoré. Les composants affectés seront mis à jour au redémarrage.
·
Échec de la
désinstallation échoue sur Windows Vista 64 bits/Windows 7 64 bits en cas
d'utilisation de ActivIdentity ActivClient en tant que jeton de connexion
En cas d'utilisation du
logiciel ActivIdentity ActivClient en tant que jeton de connexion sur Windows
Vista 64 bits ou sur Windows 7 64 bits, la désinstallation du logiciel client
SGN échoue et conseill de supprimer des composants. Pour éviter ce problème,
avant de lancer la désinstallation, modifiez la stratégie afin que le logiciel
ActivIdentity ActivClient ne soit plus utilisé dans le module PKCS#11 et
redémarrez l'ordinateur. La désinstallation s'effectue avec succès suite à
cette opération.
Vous pouvez obtenir du support technique pour les produits Sophos de l'une des manières suivantes :
Oberursel, 4 novembre 2010
Copyright © 1996 - 2010 Sophos Group et Utimaco Safeware AG. Tous droits réservés.
Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous possédez une licence valide, auquel cas vous pouvez reproduire la documentation conformément aux termes de cette licence ou si vous avez le consentement préalable écrit du propriétaire du copyright.
Sophos est une marque déposée de Sophos Plc et de Sophos Group. SafeGuard est une marque déposée de Utimaco Safeware AG - un membre du groupe Sophos. Tous les autres noms de produits et de sociétés mentionnés sont des marques ou des marques déposées appartenant à leurs propriétaires respectifs.
Tous les produits SafeGuard sont sous le copyright d'Utimaco Safeware AG, un membre de Sophos Group, ou, le cas échéant, des concédants de la licence. Tous les autres produits Sophos sont sous copyright de Sophos Plc, ou, le cas échéant, des concédants de la licence.
Des informations de copyright sur les fournisseurs tiers sont disponibles dans le fichier appelé Disclaimer and Copyright for 3rd Party Software.rtf dans le répertoire de votre produit.
[1] Veuillez vous reporter à la documentation AET SafeSign pour les détails relatifs aux cartes à puce (versions Java Card prises en charge, configuration de cartes).
[2] La prise en charge des cartes A-Trust dans SafeGuard Enterprise exige que les cartes soient émises par A-Trust avec des extensions de connexion Kerberos Windows et l'installation du middleware A-Trust.
[3] La prise en charge des cartes EID estoniennes requiert :
· Middleware standard : OpenSC PKCS#11 version 0.8.3, et la “EstEID Card CSP”.
· Logiciel supplémentaire de JaJa Arendus OU (http://www.jaja.ee), c'est-à-dire leur “ITLogon CSP” supplémentaire et leur outil d'écriture de scripts pour relier l'identification des citoyens estoniens avec les utilisateurs Active Directory.
[4] Testé avec RSA Middleware Client 2.01.