Une nouvelle méthode optimisée de traitement du chiffrement initial utilisant le chiffrement complet du disque est désormais disponible et réduit considérablement la durée du processus de chiffrement initial. La limitation du chiffrement initial à l'espace du disque dur vraiment "utilisé", et non à tout l'espace disque physique disponible, vous offre un gain de performances considérable selon le pourcentage d'espace disque utilisé. Ce nouveau mode de fonctionnement peut être contrôlé parallèlement aux autres paramètres de la stratégie de chiffrement et il est désactivé par défaut.

1.1.3 Amélioration des performances de chiffrement

La nouvelle mise en place améliorée et optimisée de l'algorithme de chiffrement AES256 assure de meilleures performances d'exécution lors de l'accès aux

données chiffrées. Le module de chiffrement est le même que celui utilisé pour le chiffrement complet du disque et pour le chiffrement des fichiers. Aussi, les deux modules (DE et DX) bénéficient de ces améliorations et fournissent de meilleures performances.

1.2 Ce que contient la version 5.50.1 de SGN

1.2.1 Prise en charge des plates-formes 64 bits pour Data Exchange

SafeGuard Enterprise 5.50.1 Data Exchange prend complètement en charge les versions 32 bits et 64 bits de Microsoft Windows Vista et Microsoft Windows 7 ainsi que Windows XP 32 bits.

1.3 Ce que contient la version 5.50 de SGN

1.3.1 Prise en charge étendue des plates-formes Windows : 64 bits et Windows 7

SafeGuard Enterprise 5.50 Device Encryption prend complètement en charge les versions 32 bits et 64 bits de Microsoft Windows Vista et Microsoft Windows 7 ainsi que Windows XP 32 bits. Le serveur et le Management Center prennent en charge les versions 32 bits et 64 bits de Windows Server 2003 et de Windows Server 2008/R2.

1.3.2 Local Self Help pour clients administrés remplaçant l'aide Web sans assistance

La Local Self Help (LSH, aide locale sans assistance) permet aux utilisateurs qui ont oublié leurs mots de passe de le récupérer eux-mêmes en répondant à une série de questions auxquelles ils ont précédemment répondu sans faire appel au support technique centralisé. Ceci permet de réduire les frais de support technique et les temps d'arrêt à les rendre plus efficaces du côté de l'utilisateur. La fonction LSH, qui était disponible dans le “mode autonome” de SafeGuard Enterprise 5.40, est désormais étendue aux clients administrés. En conséquence, la mise à disposition du module complémentaire d'aide Web sans assistance précédemment disponible est interrompue pour les nouveaux clients, car ses fonctionnalités peuvent être couvertes plus efficacement par la LSH.

1.3.3 Le support Web est désormais inclus dans la licence du SafeGuard Management Center

Le module complémentaire Support Web de SafeGuard Enterprise désormais inclus dans la licence du Management Center est disponible prêt à l'emploi sans frais supplémentaire pour tous les clients. Il contient une interface utilisateur Web pour les employés du support technique qui n'utilisent pas l'application complète de la console d'administration.

1.3.4 Assistant d'installation Management Center/Server pour les nouvelles installations

L'installation de SafeGuard Enterprise géré n'a jamais été aussi simple. Le nouvel assistant de configuration rend simple et directe l'installation des composants d'administration SafeGuard Enterprise. Il s'occupe de toutes les dépendances des composants nécessaires pour l'exécution du serveur, y compris ceux de Microsoft. Ceci accélère les installations initiales tout en réduisant les possibilités de configurations incorrectes, débouchant ainsi sur des évaluations de produits réussies et plus rapides.

1.3.5 Comptes de service

SafeGuard Enterprise 5.50 contient la fonctionnalité d'attribution d'utilisateurs aux listes de comptes de service. Sur une machine cliente nouvellement configurée où la POA (Power on Authentication, authentification au démarrage) n'est pas encore activée, les utilisateurs de cette liste ne sont pas ajoutés dans la liste d'utilisateurs de la POA et ne peuvent donc pas prendre possession de la machine ou activer la POA après l'ouverture d'une session sous Windows. Ceci leur permet d'effectuer la maintenance et de configurer la machine mais en laissant apparemment intacte la configuration de SafeGuard Enterprise avant de la transférer à son propriétaire prévu, une opération nécessaire dans les scénarios de déploiement.

1.3.6 Comptes utilisateurs “POA seulement”

Des comptes spéciaux (facilement reconnaissables par leur appartenance à un domaine virtuel “<POA>” spécial) ont été introduits dans SGN 5.50 pour permettre à l'administrateur de démarrer une machine protégée par la POA sans avoir à connaître l'un des codes d'accès des utilisateurs de la machine ou à être lui-même enregistré comme utilisateur standard sur chaque machine. Il a toujours le droit de démarrer la machine à partir de supports externes et lors de la connexion à Windows sans que cela ne déclenche une des actions d'ouverture de session par défaut du client SafeGuard Enterprise. Par exemple, l'utilisateur ne sera pas enregistré dans SGN si les codes d'accès qui ont été utilisés pour l'ouverture de session Windows ne sont pas pris en compte.

1.3.7 Gestion hiérarchique des responsables de la sécurité

SafeGuard Enterprise 5.50 facilite énormément la gestion d'un grand nombre de responsables sécurité. Non seulement les droits du responsable sécurité ont été revus et étendus pour permettre davantage de contrôle détaillé, ils sont aussi regroupés de manière intelligente pour prendre en compte les dépendances lors de l'attribution. Les responsables sécurité peuvent désormais déléguer un sous-ensemble de leurs droits à des sous-responsables.

1.3.8 Compatibilité matériel/système d'exploitation améliorée

La compatibilité de SafeGuard Enterprise a été améliorée de nombreuses manières :

Tolérance des défauts pour les périphériques USB qui n'adhèrent pas aux spécifications USB
Amélioration des performances du processus de chiffrement initial lors de l'exécution de Windows Vista ou Windows 7
Les jetons USB compatibles U3 peuvent désormais être configurés par la protection de la configuration SGN
Liste de compatibilité étendue des matériels dans le programme d'installation. Pour les dernières mises à jour, reportez-vous à l'article de la base de connaissances suivant : http://www.sophos.fr/support/knowledgebase/article/65700.html

1.3.9 Prise en charge étendue des cartes à puce et des lecteurs de cartes

Comme à chaque publication de SafeGuard Enterprise, le nombre de cartes et de lecteurs de cartes pris en charge a été étendu. Pour plus de détails, reportez-vous aux chapitres 3.6 à 3.9.

1.3.10 SafeGuard Easy 5.50

SafeGuard Enterprise Device Encryption sans serveur d'administration centralisé – le “mode autonome”, qui devient désormais “SafeGuard Easy 5.50”, est censé être le successeur de la série SafeGuard Easy 4.x pour les clients qui préfèrent le mode autonome par rapport à la variante administrée par le serveur. Techniquement, SafeGuard Easy 5.50 est simplement le nouveau nom de produit du mode autonome de SafeGuard Enterprise 5.50. La prise en charge de Windows Vista, Windows 7 et 64 bits est assurée ainsi que tous les autres avantages de SafeGuard Enterprise. La connexion "carte à puce" exige cependant la variante administrée de SafeGuard Enterprise Device Encryption. La migration depuis SafeGuard Easy 4.x est prise en charge dans les mêmes conditions que pour les versions précédentes de SafeGuard Enterprise sauf pour la prise en charge de Windows 2000 qui a été abandonnée.

1.3.11 CD-ROM de récupération Windows PE (client virtuel)

Les fonctions de récupération avancées pour lecteurs de disque dur chiffrés SafeGuard Enterprise, par exemple lors du démarrage d'un environnement de récupération Windows PE en cas de système d'exploitation endommagé mal configuré, sont désormais aussi disponibles pour les clients SafeGuard Easy 5.50.

1.3.12 Simplification de l'installation et de la sauvegarde de clés

Un nouvel assistant d'installation simplifie la première configuration des composants de gestion, dont les stratégies par défaut. Pour appeler cet assistant pour de nouvelles installations SGN, lancez “SGNInstallAdvisor.bat” depuis le répertoire racine du DVD du produit. Si l'administrateur le souhaite, les fichiers de récupération en mode autonome (= SafeGuard Easy/ESDP) peuvent désormais être facilement et automatiquement recueillis sur un partage réseau centralisé. D'autre part, des options ont été ajoutées pour facilement sauvegarder et restaurer le certificat d'entreprise des nouvelles installations.
En outre, la base de connaissances contient désormais un guide de bon usage sur l'installation de SGN, consultez http://www.sophos.fr/support/knowledgebase/article/110259.html.

1.3.13 Diverses améliorations

Diverses autres améliorations ont été apportées dans SafeGuard Enterprise en termes de convivialité, d'utilisation du stockage, des performances et de la gestion et de la manipulation des clés. Parmi celles-ci, on trouve :

· Dans Windows 7, la vitesse de chiffrement initial a été améliorée de manière significative par rapport à SGN 5.40 pour Windows 7. Elle est désormais comparable ou meilleure que sous Windows XP.

Une meilleure expérience et une interface graphique plus convivial pour l'utilisateur, par exemple, un affichage plus complet et plus précis de son état dans la zone de notification.
Une meilleure prise en charge de la récupération après des opérations administratives accidentelles/indésirables en empêchant la suppression définitive de clés SGN internes.
SGNState mentionne désormais par ailleurs la version du client SafeGuard.
Un nouvel outil permet désormais de revenir en arrière dans le cas exceptionnel de l'échec d'une installation conduisant à un blocage dans la POA.
Un correctif de compatibilité a été ajouté pour le pilote du filtre de fichiers dans les modules SafeGuard Enterprise Data Exchange (DX) et Configuration Protection (CP). Ceci permet l'utilisation simultanée de règles d'exportation basées sur le type de fichiers et de fichiers chiffrés.
La période de validité pour une session challenge/réponse a été étendue à 30 minutes. Le délai pour réessayer le mot de passe augmente à la puissance 2 (3, auparavant). Ces mesures atténuent les conséquences d'un mot de passe oublié par l'utilisateur tout en conservant un niveau de sécurité élevé.
Pour récupérer les certificats d'entreprise des installations précédentes, ces derniers peuvent désormais être importés lors de la configuration.
Côté client, un mot de passe de désinstallation peut désormais être requis même pour les utilisateurs administratifs locaux via une stratégie configurable. Cela s'applique seulement aux packages Sophos Endpoint Security à partir de la version 9.5.
Diverses améliorations dans tout le produit en termes de performances, de sécurité et compatibilité, notamment tous les correctifs logiciels publiés depuis SGN 5.40.
Stratégie de marque Sophos complètement nouvelle.

2 Installation

Des droits administrateur sont nécessaires pour installer le logiciel. Pour connaître la procédure correcte d'installation du logiciel, veuillez consulter le chapitre correspondant dans le manuel d'installation.

Si une installation existante de SGN est modifiée ou si des modules sélectionnés sont installés ultérieurement, le programme d'installation peut signaler que certains composants (par exemple, SafeGuard Removable Media Manager) sont en cours d'utilisation. Ce message apparaît parce que ces modules ont des composants en commun en cours d'utilisation et qu'ils ne peuvent donc pas être mis à jour immédiatement. Ce message peut être ignoré car les composants affectés seront de toute façon mis à jour au redémarrage.

Remarque : Il s'agit également du comportement par défaut lors de l'utilisation du mode d'installation automatique.

Bien qu'il soit possible d'installer seulement un sous-ensemble des fonctionnalités de produits initialement et d'en ajouter d'autres par la suite, il est conseillé d'avoir la fonctionnalité de chiffrement des périphériques depuis le début.

Remarque : Ceci s'applique uniquement à l'installation du client SafeGuard Easy 5.50.

Si vous effectuez une mise à niveau depuis SafeGuard Easy 4.x, assurez-vous de lire la section du manuel d'installation et les articles de la base de connaissances correspondants

3 Informations générales

3.1 Infrastructure réseau

Serveur réseau avec administration des utilisateurs et des ordinateurs :

· Microsoft Windows 2008 Server (32 bits et 64 bits) avec Active Directory

· Microsoft Windows 2003 Server (32 bits et 64 bits) avec Active Directory

Base de données :

· Microsoft SQL Server 2005 SP2, SP3

· Microsoft SQL Server 2008 SP1

· Microsoft SQL Server 2005 Express SP2, SP3

· Microsoft SQL Server 2008 Express SP1

Connectivité :

Les Clients doivent être connectés au

· serveur SGN sur les ports 80/TCP ou 443/TCP

Le Management Center SafeGuard doit pouvoir se connecter à la

· base de données SQL : ports 1433/TCP & 1434/TCP pour SQL 2005 (Express) & SQL 2008 (Express)

· Active Directory : port 389/TCP, port 636 SLDAP, port 1025/TCP (RPC), 135/TCP (mappeur système d'extrémité - RPC).

Le serveur SafeGuard Enterprise doit pouvoir se connecter à la

· base de données SQL : port 1433/TCP & 1434/TCP pour SQL 2005 (Express) & SQL 2008 (Express)

3.2 Management Center SafeGuard

Matériel :

Unité centrale Intel ou AMD X86

512 Mo de RAM

1 Go d'espace disque (conseillé)

Jetons d'authentification pris en charge (certains jetons ne prennent pas en charge plus de 1024 bits RSA)

Logiciel :

Systèmes d'exploitation Microsoft Windows en anglais, français, allemand ou japonais

· XP SP2 SP3 32 bits

· Vista SP1 SP2 32 bits 64 bits

· 7 32 bits 64 bits

· 2003 Server SP1 SP2 32 bits 64 bits

· 2003 Server R2 SP1 SP2 32 bits 64 bits

· 2008 Server SP1 SP2 32 bits 64 bits

· 2008 Server R2 64 bits

Microsoft ASP.net

· .NET Framework 3.0 SP1

L'utilisateur Windows doit avoir un accès en lecture/écriture à la base de données grâce à l'une des méthodes d'authentification suivantes :

· Authentification Windows NT

· Authentification à la base de données SQL

Certificats X.509 testés

Microsoft PKI (longueur 384 à 4096 bits – mais au moins 2048 bits conseillés pour des raisons de sécurité)
MS Base Cryptographic Provider 1.0
MS Strong Cryptographic Provider
OpenSSL

3.3 SafeGuard Enterprise Server

Matériel :

Unité centrale Intel ou AMD X86

512 Mo de RAM

1 Go d'espace disque (conseillé)

Logiciel :

Systèmes d'exploitation Microsoft Windows en allemand ou en anglais (les autres langues de systèmes d'exploitation n'ont pas été testées mais doivent fonctionner)

· 2003 Server SP1 SP2 32 bits 64 bits

· 2003 Server R2 SP1 SP2 32 bits 64 bits

· 2008 Server SP1 SP2 32 bits 64 bits

· 2008 Server R2 64 bits

Microsoft ASP.net

· .NET Framework 3.0 SP1

Microsoft Internet Information Services

· Version 6.0 sous Windows Server 2003

· Version 7.0 sous Windows Server 2008

· Version 7.5 sous Windows Server 2008 R2

· Mise à jour d'IIS conformément à l'article Microsoft conseillé KB934903

L'utilisateur Windows doit avoir un accès en lecture/écriture à la base de données grâce à l'une des méthodes d'authentification suivantes :

Authentification Windows NT
Authentification à la base de données SQL (conseillé)

Remarque:
Sophos conseille fortement d'utiliser la communication chiffrée SSL entre les stations de travail du client SGN et le serveur SGN en vue d'une utilisation sur tout système sauf pour les configurations démo ou de test. Si, pour quelque raison que ce soit, ce n'est pas possible et le chiffrement SGN propriétaire doit être utilisé, il existe une limite supérieure de 1000 stations de travail clientes pouvant se connecter à une instance unique du serveur. Lors de l'utilisation de SSL, les paramètres nécessaires doivent être configurés manuellement dans le Management Center SGN pour activer cette fonctionnalité. Pour plus de détails, veuillez vous reporter au manuel d'installation.

Remarque:
La charge du serveur SGN sera influencée par le nombre de clients qui y sont connectés, par le nombre d'utilisateurs de SGN par client, par le nombre d'appartenances de groupe par utilisateur de SGN (si les clés ont été générées lors d'une synchronisation Active Directory) et par la fréquence avec laquelle les clients contactent le serveur SGN concernant les mises à jour de stratégies. Vous pouvez affiner la charge et les performances du serveur SGN en réglant ces paramètres. Avec un seul utilisateur de SGN, quelques appartenances à des groupes et une mise à jour quotidienne, 40 000 clients ont pu travailler correctement avec un serveur SGN avec SSL.

3.4 Client SafeGuard Enterprise Device Encryption/Data Exchange

Matériel :

Unité centrale Intel ou AMD X86
512 Mo de RAM (minimum), 1 Go conseillé pour Windows Vista / 7
L'installation nécessite au moins 300 Mo d'espace disque. Pour le chiffrement de périphériques, au moins 100 Mo de cet espace libre doit être une zone contiguë. Avant l'installation, pour augmenter les chances que cette zone contiguë soit disponible, défragmentez votre système si vous avez moins de 5 Go d'espace disque et si votre système d'exploitation n'est pas fraîchement installé. Sinon, il est possible que l'installation échoue à cause d'un "manque d'espace libre contigu” et qu'elle ne soit pas prise en charge.

Systèmes d'exploitation Microsoft Windows :

XP SP2 SP3 32 bits

Vista SP1 SP2 32 bits 64 bits Enterprise/Edition Intégrale/Professionnel/Edition Familiale Premium
7 32 bits 64 bits Enterprise/Edition Intégrale/Professionnel/Edition Familiale Premium

La fonctionnalité client SGN BitLocker peut être installée seulement sur les plates-formes où MS BitLocker est disponible.

Logiciel :

Internet Explorer version 6.0 ou supérieure

3.5 Client de la protection de la configuration SafeGuard

Matériel :

Unité centrale Intel ou AMD X86
512 Mo de RAM minimum, 1 Go conseillé
1 Go d'espace disque (minimum)

Systèmes d'exploitation Microsoft Windows :

XP SP2 SP3 32 bits

Vista SP1 SP2 32 bits Enterprise/Edition Intégrale/Professionnel/Edition Familiale Premium
7 32 bits 64 bits Enterprise/ Edition Intégrale/Professionnel/Edition Familiale

Logiciel :

Internet Explorer version 6.0 ou supérieure

.NET Framework 2.0

3.6 Lecteurs de cartes à puce pris en charge

Lecteurs testés dans la POA de SafeGuard Device Encryption

Les lecteurs de cartes à puce ont été testés par l'assurance qualité (versions actuelles et/ou précédentes).

Fabricant	Lecteur de carte	Interface	Commentaire
ACS	ACR 38U-CCID	USB-CCID	Exige un migroprogramme version ³ v1.12c
ActivIdentity	USB Reader 3.0	USB-CCID
	Lecteur PCMCIA	Carte PC	SCR 243 OEM
Broadcom	BCM 5880	intégré (USB)
Cherry	ST-1044U	USB-CCID
	ST-2000	USB-CCID	Le clavier d'identification personnelle pour une entrée sécurisée du numéro PIN n'est pas pris en charge
	ST-4044	Carte PC	CardMan 4040 OEM
	G83-6644 G83-6733 G83-6744	USB-CCID	Claviers ; entrée sécurisée du numéro PIN non prise en charge
Dell	RT7D60 SK-3105	USB-CCID	Claviers
Eutronsec	SIM Pocket (y compris les versions combinées)	USB-CCID	Cartes SIM et de taille standard
	Smart Pocket (y compris les versions combinées)	USB-CCID
Fujitsu Siemens	Smartcase SCR (USB)	USB-CCID	aussi appelée “Solo”
Gemalto	GemPC Express	ExpressCard
	GemPC Twin	USB-CCID
	Clé GemPC	USB-CCID	Taille SIM
	Reflex USB v3	USB-CCID
HP	Terminal SC (KUS0133)	USB-CCID	Clavier
	PC Smart Card Reader	Carte PC	SCR 243 OEM
Kobil	KAAN Base	USB-CCID
	KAAN Advanced	USB-CCID	Le clavier d'identification personnelle pour une entrée sécurisée du numéro PIN n'est pas pris en charge
Lenovo	Lecteur de carte à puce intégré	intégré (USB)	Le lecteur peut être remplacé par un autre en fonction de la situation du marché
o2micro	Série Oz711	intégré (CardBus)
	Oz776	CCID intégré
Omnikey	CardMan 3021 CardMan 3121	USB-CCID
	CardMan 4040	Carte PC
	CardMan 4321	ExpressCard
	CardMan 5125 CardMan 5321	USB-CCID	L'interface sans contact n'est pas prise en charge
	CardMan 6121	USB-CCID	Taille SIM
Ricoh	R/RL/5C476	Intégré (CardBus)
SCM	SCR 243	Carte PC
	SCR 331	USB-CCID	Requiert le microprogramme version 5.18 ou supérieure !
	SCR 335 SCR 3310 SCR 3311	USB-CCID
	SCR 3320	USB-CCID	Taille SIM
	SCR 3340	ExpressCard
	SDI 010	USB-CCID	L'interface sans contact n'est pas prise en charge
Texas Instruments	PCI 6515a PCI 7621	intégré (CardBus)	Prise en charge générique pour les lecteurs PCI xx21

Si un client dispose de plusieurs lecteurs de carte à puce, nous vous recommandons de désactiver ceux qui ne sont pas utilisés afin d'éviter tout effet secondaire indésirable. Pour les lecteurs internes, il se peut que vous deviez désactiver le périphérique dans le BIOS.

Lecteurs censés fonctionner avec l'authentification au démarrage de SafeGuard Device Encryption

Les lecteurs de cartes à puce ci-dessous sont intégrés dans SafeGuard Enterprise et doivent fonctionner conformément aux informations de compatibilité des éditeurs.

Fabricant	Lecteur de carte	Interface	Commentaire
ACS	ACR 38T ACR 38U-BMC ACR 38F ACR 38K ACR 100F	USB-CCID	Taille SIM
	ACR 122U ACR 122T		L'interface sans contact n'est pas prise en charge
Cherry	G81-7040 G81-7043 G81-8040 G81-8043	USB-CCID	Claviers ; entrée sécurisée du numéro PIN non prise en charge
	G83-14200 G83-14400 G83-14600	USB-CCID	claviers biométriques ; les fonctions de saisie sécurisée du numéro PIN et de biométrie
Eutronsec	Lecteur SIM (y compris les versions combinées)	USB-CCID	Taille SIM
Fujitsu Siemens	Smartcase SCR (carte PC)	Carte PC	CardMan 4040 OEM
	Smartcase SCR (Express Card)	ExpressCard	SCR 3340 OEM
Gemalto	Reflex 20 v3	Carte PC	SCR 243 OEM
Ricoh	R5C835 R5C853	intégré
SCM	SPR 532	USB-CCID	Le clavier d'identification personnelle pour une entrée sécurisée du numéro PIN n'est pas pris en charge Requiert le microprogramme version 5.10 et les pilotes Windows mis à jour
Vasco	DigiPass 905	USB-CCID

3.7 Cartes à puce prises en charge

Cartes à puce prises en charge dans l'authentification au démarrage (POA) de SafeGuard Device Encryption

Fournisseur	Carte	Versions	Type de carte	Format des données
ActivIdentity	Smart Card 64K	v2 (Oberthur) v2c (Axalto)	Java Card	ActivIdentity
AET ^{^[1]}	G&D Sm@rtCafe	64K	Java Card	PKCS#15
	G&D STARCOS SPK	2.3 3.0	ISO 7816	PKCS#15
	IBM JCOP	20 31 41 72K	Java Card	PKCS#15
	Siemens CardOS	M4.3b	ISO 7816	PKCS#15
Charismathics	Siemens CardOS	M4.3b	ISO 7816	CSSID
IT Solution	Siemens CardOS	M4.3b	ISO 7816	PKCS#15
Siemens	Siemens CardOS	M4.3b	ISO 7816	PKCS#15
T-Systems	TCOS	3.0	ISO 7816	NetKey

Cartes d'identités électroniques (EID) nationales testées dans l'authentification au démarrage de SafeGuard Device Encryption

Pays/Type	Carte	Versions	Type de carte	Format des données
Autriche ^{^[2]}	AustriaCard ACOS	3.01 4.0	ISO 7816	A-Trust
Estonie ^{^[3]}	Orga Micardo	V1 V2	ISO 7816

Remarque : Les cartes à puce/jetons suivants ne sont pas pris en charge sur les plates-formes Windows Vista ou Windows 7 :
- CardOS, profil Siemens
- Carte d'identification estonienne
- A-trust
- RSA

3.8 Jetons USB pris en charge

Jetons USB pris en charge dans l'authentification au démarrage de SafeGuard Device Encryption 5.50

Fournisseur	Jeton USB	Fournisseur de middlewares	Commentaire
ActivIdentity	ActivKey SIM	ActivIdentity
	Affichage ActivKey	ActivIdentity	Fonction OTP (mot de passe à usage unique) non pris en charge
Aladdin (CardOS)	eToken Pro eToken NG-Flash	Aladdin
	eToken NG-OTP	Aladdin	Fonction OTP (mot de passe à usage unique) non pris en charge
Aladdin Java	eToken Pro eToken NG-Flash	Aladdin
Charismathics	OTP Sign	Charismathics	Fonction OTP (mot de passe à usage unique) non pris en charge
	plug’n’crypt ID	Charismathics
Eutronsec	CryptoIdentity ITSEC-I	Charismathics
	CryptoIdentity ITSEC-P	AET
	OTP Sign	Charismathics	Fonction OTP (mot de passe à usage unique) non pris en charge
Kobil	mIDentity Light	Siemens	Mémoire flash incluse
MARX	CrypToken	AET
RSA	SecurID 800 v1 [4] SecurID 800 v2	RSA	Fonction OTP (mot de passe à usage unique) non pris en charge

A noter : les jetons USB en caractères gras ont été testés explicitement par l'assurance qualité (versions actuelles et/ou précédentes).

Astuce : l'utilisation de cartes à puce/jetons pour l'authentification au niveau du système d'exploitation requiert l'installation d'un middleware supplémentaire (voir la colonne “Fournisseur de middlewares”).

3.9 Middleware Smartcard testé dans SafeGuard Device Encryption sous Windows

Fournisseur	Middleware	Version	XP 32 bits	Vista 32 bits	Vista 64 bits	7 32 bits	7 64 bits	Commentaires
ActivIdentity	ActivClient	6.2	X	X	X	X	X
AET	SafeSign	3.0.33	X	X	c)	X
Aladdin	Client PKI	5.1 SP1 a)	X	X	X	X	X
A-Trust	Client a.sign	1.2.7.0	X
Charismathics	Smart Security Interface	4.8.1	X	X
* Carte d'identification estonienne	<multiple>		X
IT Solution	trustWare CSP+	1.0.1.23	X
Gemalto	.NET	2.1.3.1	x d)	X	X	X	X
Gemalto	Access Client	5.6.4	X	X	X	X	X	d)
Gemalto	Classic Client	6.0	X	X	X
RSA	RSA Smart Card Middleware	2.0.1	X
	RSA Smart Card Middleware	3.0.1	X
Siemens	CardOS API	3.1	X
T-Systems	NetKey 3.0	1.6.0.10 + 1.3.0.4 b)	c)	c)	c)	c)	c)

a) Les jetons doivent être initialisés avec PKI Client 4.55, sinon la connexion par POA ne fonctionne pas.

b) CSP Minidriver 1.6.0.10 + PKCS#11 module 1.3.0.4

c) Pour plus d'informations, contactez le support technique Sophos.

d) Concernant les clés cryptographiques, veuillez contacter le support technique Sophos pour plus d'informations.

3.10 Matrice de mise à jour SGN

Le tableau suivant montre quelles versions précédentes de SGN peuvent être mises à jour avec SGN 5.50.8

Matrice de mise à jour SGN

Mise à jour depuis

Mise à jour en

SGN 5.20

SGN

5.20.1

SGN 5.20.2

SGN 5.20.3

SGN 5.20.4

SGN 5.20.5

SGN 5.21

SGN 5.21.1

SGN 5.30 RC1

SGN 5.30

SGN 5.30.1

SGN 5.30.2

SGN 5.30.3

SGN

5.35

SGN

5.35.x

SGN 5.40.x

SGN 5.50

SGN 5.50.8

SGN 5.50.1

SGN 5.50 GA

SGN 5.40.x

SGN 5.35.x

SGN 5.35 GA

SGN 5.30.3

¢¹

SGN 5.30.2

SGN 5.30.1

SGN 5.30 GA

SGN 5.30 RC 1

SGN 5.21.1 (correctif)

SGN 5.21

SGN 5.20.5 (correctif)

SGN 5.20.4 (correctif)

SGN 5.20.3 (correctif)

SGN 5.20.2 (correctif)

SGN 5.20.1 (Lenovo)

SGN 5.20

Légende:

l Mise à jour prise en charge

¢¹Mise à jour prise en charge seulement pour le serveur SGN et la console d'administration SGN

3.11 Matrice de migration SGN

Le tableau suivant montre quelles versions précédentes de SafeGuard peuvent être migrées dans SGN 5.50.8.

SGE- Matrice de migration SGN
	IDEA	DES	3DES	AES 128	AES 256	Blowfish	Stealth	XOR
SGE 4.50	l		l	l	l
SGE 4.40	l		l	l	l
SGE 4.30	l		l	l	l
SGE 4.20
SGE 4.1x
SGE 3.x

3.12 Matrice client/serveur SGN

Le tableau suivant montre quelles versions précédentes des clients SGN peuvent faire l'objet de maintenance et par quel serveur SGN.

Globalement, la version du serveur SGN doit être égale ou supérieure à la version du client correspondant.

SGN - Matrice client/serveur
	Clients SGN
Serveur SGN	5.2x	5.30	5.35	5.40	5.50.x
SGN 5.50.x			l	l	l
SGN 5.40.x		l	l	l
SGN 5.35.x		l	l
SGN 5.35 GA		l	l
SGN 5.30.2	l	l
SGN 5.30.2	l	l
SGN 5.30.1	l	l
SGN 5.30 GA	l	l
SGN 5.21	l
SGN 5.20	l

¹ pas d'enregistrement automatique

Légende:

l pris en charge

¢¹ pas d'enregistrement automatique

Remarque :
Dans certains scénarios, un client SGN avec un numéro de version inférieur peut recevoir des stratégies d'un serveur exécutant une version plus récente de SGN. Toutefois, le client ne pourra pas prendre en charge les fonctions qui ont été nouvellement introduites avec la nouvelle version.

3.13 Prise en charge du système d'exploitation Windows par SGN

Le tableau suivant énumère toutes les plates-formes de système d'exploitation prises en charge ainsi que les modules SGN disponibles sur cette plate-forme.

	SGN – Prise en charge des plates-formes Microsoft Windows
						SGN 5.50.x
						DE	DE BitLocker	DX	CP	Serveur SGN	MC
XP Edition Professionnel				SP2 SP3	32 bits	l		l	.NET 2.0		.NET 3.0¹
Vista Edition Familiale Premium Professionnel Entreprise Edition Intégrale				SP1 SP2	32 bits	l	- - l l	l	l		.NET 3.0¹
Vista Edition Familiale Premium Professionnel Entreprise Edition Intégrale				SP1 SP2	64 bits	l	- - l l	l			.NET 3.0¹
7 Edition Familiale Premium Professionnel Entreprise Edition Intégrale					32 bits	l	- - l l	l	l		NET 3.0¹
7 Edition Familiale Premium Professionnel Entreprise Edition Intégrale					64 bits	l	- - l l	l	l		NET 3.0¹
Server 2003 / R2		.NET 3.0	IIS 6	SP1 SP2	32 bits 64 bits					l l	l l
Server 2008 Server 2008 R2		.NET 3.0	IIS 7.0 IIS 7.5	SP1	64 bits 64 bits					l l	l l

¹ .Net 3.0 SP1 requis

Remarque 1 :
SafeGuard Enterprise SafeGuard Easy peut être installé sur des systèmes équipés de disques SSD (Solid State Disk) et prend en charge ces derniers.

Remarque 2 :
SafeGuard Enterprise peut être installé et est exploitable dans des environnements de virtualisation. Sachez que des problèmes d'interopérabilité sont possibles concernant le chiffrement sur les périphériques connectés via le bus USB. En fonction de l'environnement de virtualisation et du périphérique connecté, ce problème peut entraîner une erreur système.

3.14 Prise en charge du serveur de base de données SGN

Le tableau suivant énumère toutes les plates-formes de serveur de base de données prise en charge.

Serveur SGN - Prise en charge du serveur de base de données

	SGN 5.40	SGN 5.50
Microsoft SQL Server 2005 SP1	l
Microsoft SQL Server 2005 Express SP1	l
Microsoft SQL Server 2005 SP2	l	l
Microsoft SQL Server 2005 Express SP2	l	l
Microsoft SQL Server 2005 SP3	l	l
Microsoft SQL Server 2005 Express SP3	l	l
Microsoft SQL Server 2008 SP1		l
Microsoft SQL Server 2008 Express SP1		l

4 Problèmes résolus (version 5.50.x comparée à la version 5.40)

4.1 Management Center SafeGuard Enterprise

L'importation des listes blanches de protection de la configuration n'a pas fonctionné correctement avec certains scénarios.
Lors de l'ajout de fichiers texte d'information, aucune nouvelle ligne n'est insérée, conduisant à des concaténations non souhaitées.

4.2 SafeGuard Enterprise Server

Dans certains cas où une arborescence secondaire a été déplacé dans Active Directory, la synchronisation Active Directory SGN a échoué. Ceci a été corrigé. Aussi, les clés utilisées en interne sont désormais toujours récupérables en cas de scénarios de récupération désastreux si des actions ou des données AD non prises en charge ou indésirables sont rencontrées.
Le processus du serveur SGN a fait l'objet d'une fuite de mémoire lors de la mise à jour des clients avec des listes blanches de protection de la configuration.

4.3 Client SafeGuard Enterprise

Chiffrement de périphériques

- Le jeton A-Trust V4 a posé quelques problèmes

- La carte d'identification estonienne est désormais prise en charge (Windows XP seulement)

- Dans certains scénarios, l'ouverture de session automatique de la POA ne fonctionne pas

- Les clés nouvellement attribuées nécessitaient un redémarrage avant d'être disponibles pour l'utilisateur

- Le programme d'installation n'a pas eu de propriété POACFG

- Des entrées de journal incorrectes indiquaient qu'un lecteur déchiffrait alors qu'il chiffrait

- L'installation (ou la nouvelle image) d'une machine avec un nom d'hôte précédemment utilisé peut laisser cette machine inaccessible et irrécupérable si l'“ancien” objet machine n'a pas été supprimé auparavant dans le Management Center SGN.

SafeGuard Portable

- Aucun dossier en texte clair n'a été créé lors du gravage des CD-ROM à l'aide de l'assistant intégré de Windows

- Le raccourci SGPortable est apparu mais n'a pas fonctionné

Data Exchange

- Après l'installation du client Data Exchange, des options de menu disparaissent dans Corel Draw X4. Des problèmes semblables avec Adobe Fireworks et Candela ont été résolus.

- Ce n'était pas toujours possible de changer le Media Passphrase car l'option n'était pas disponible dans la barre d'état système.

- Dans Mindjet MindManager, l'ouverture de la boîte de dialogue Enregistrement sous... a provoqué le blocage de l'application.

- Lorsque l'application de surveillance Evidian SSO a été installée sur un client SGN, les changements de mots de passe ont été perdus à la connexion dans Windows XP. Il a par ailleurs été appliqué une correction générique qui résout le problème des changements de mots de passe incorrects après une tentative de connexion avortée.

Protection de la configuration

- En fonction de la liste blanche appliquée, les périphériques de stockage internes SCSI et IDE ont peut-être été bloqués.

5 Problèmes connus

5.1 Version SGN 5.50

La mise à niveau de la version bêta client de SGN 5.50 ne fonctionne pas comme prévu. La version bêta doit être désinstallée avant d'installer la version finale de SGN 5.50.
Sur les plates-formes Windows Vista et Windows 7, lors de la mise à jour du client depuis SGN 5.35 ou supérieure vers SGN 5.50, le programme d'installation demande à l'utilisateur d'arrêter certains processus d'exécution. L'utilisateur peut ignorer cela en toute sécurité et doit le faire. Sous Windows 7, si cette opération n'est pas réalisée, Windows Explorer plantera au prochain redémarrage.
Le processus d'installation de SGN a besoin d'être redémarré dans le contexte d'une session d'ouverture de l'administrateur Windows. Le démarrage de l'installation via l'option “Exécuter en tant qu'administrateur” n'est pas pris en charge.
Sur un système d'exploitation 64 bits pris en charge, l'API du Management Center ne fonctionne pas à moins que vous ne démarriez le script avec cmd.exe dans le dossier C:\Windows\SysWOW64.
Utilisation du verrouillage des majuscules dans la POA : à noter que la touche Verrouillage des majuscules dans la POA ne modifie que la casse des lettres et n'affecte pas la rangée des numéros du clavier. Le bon usage consiste à utiliser la touche Majuscule pour entrer les mots de passe sans se fier aux fonctions de la touche Verrouillage des majuscules car cela peut varier en fonction des applications.
Lors d'une désinstallation du client, qui inclut le déchiffrement des volumes chiffrés, la machine ne doit pas être fermée ou redémarrée. Cette opération génère en effet un message d'erreur provenant du programme de désinstallation.
Un client SGN ne parvient pas à se connecter au serveur SGN lorsqu'un pare-feu Sophos avec des paramètres par défaut est installé sur la machine cliente. Par défaut, le pare-feu Sophos bloque les connexions NetBIOS nécessaires pour la résolution du nom de réseau du serveur SGN. Deux solutions existent pour ce problème :

Débloquer les connexions NetBIOS dans le pare-feu.
Inclure le nom pleinement qualifié du serveur SGN dans le package de configuration du serveur comme suit :

§ Dans le Management Center, choisissez Outils -> Outil de package de configuration -> Onglet Enregistrer le serveur -> Ajouter...

Sélectionnez le certificat du serveur depuis, par exemple, C:\Program Files\Sophos\SafeGuard Enterprise\MachCert\sgnsrv.utimaco.local.cer
Entrez le nom de serveur pleinement qualifié, par exemple, sgnsrv.utimaco.local
Choisissez Outils -> Outil de package de configuration -> Onglet Créer un package de configuration de serveur
Sélectionnez sgnsrv.utimaco.local
Cliquez sur Créer un package de configuration, par exemple Server Configuration Package.msi
Installez Server Configuration Package.msi

Lorsqu'un client avec une installation SafeGuard Enterprise fait l'objet d'une nouvelle image ou réinstallation à l'aide du même nom d'hôte, il est nécessaire de supprimer la machine manuellement dans le Management Center SafeGuard avant de reconnecter la machine au SafeGuard Enterprise Server afin d'éviter des effets secondaires indésirables.

Pour toutes les versions de systèmes d'exploitation prises en charge, si un lecteur de cartes SD interne est relié au contrôleur Secure Digital-Host piloté par le pilote standard Microsoft sdbus.sys, la carte insérée ne sera pas soumise au chiffrement des périphériques SGN, ce qui signifie qu'elle ne peut être ni chiffrée ni bloquée. Il ne sera pas visible dans l'afficheur de chiffrement BE. Il sera, en revanche, disponible et accessible en tant que périphérique texte clair dans Windows Explorer. Pour le chiffrement des cartes SD, les clients doivent utiliser le chiffrement basé sur fichier (SGN DX)
Comme nous l'avons expliqué, sur un SafeGuard Enterprise Server, les anciens packages de configuration doivent être désinstallés avant d'installer un nouveau. Toutefois, étant donné qu'il est possible que certaines données ne soient pas mises à jour dans la mémoire cache locale (par exemple, les paramètres SSL) lorsqu'un nouveau package de configuration est appliqué, la mémoire cache locale doit aussi être détruite manuellement avant l'installation.
S'il existe une stratégie d'authentification contenant l'option de verrouillage "Verrouiller l'écran après mise en veille" OUI/NON, elle ne sera pas transférée sur le client SafeGuard Enterprise.

Lors de l'importation de clés externes, il est possible que celles-ci ne contiennent pas les caractères spéciaux XML comme ‘<’, ’>’, ’&’, ‘\’, ‘”’.

Le système de fichiers exFAT, introduit par Microsoft avec Windows CE 6.0 et Windows Vista Service Pack 1, n'est pas pris en charge par SafeGuard Enterprise Device Encryption.

Si le client SafeGuard Enterprise est installé avec la prise en charge Microsoft BitLocker, l'installation doit être exécutée avec le Contrôle d'accès d'utilisateur (UAC) désactivé ou le compte d'administrateur intégré.

Le gravage de fichiers chiffrés sur support optique (CD/DVD) à l’aide de l’assistant de gravage incorporé Windows n’est pas pris en charge sous Windows Vista 64 bits.

Dans certaines configurations, l'accès aux partages distants échoue si les modules SafeGuard DataExchange et SGN ConfigurationProtection sont installés sur le système distant. Ce problème est généralement causé par les contraintes des ressources système et peut être résolu en augmentant la taille de la pile IRP à l'aide du paramètre de registre suivant :

                Ruche :      HKEY_LOCAL_MACHINE
                    Clé :      SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
       Nom valeur :      IRPStackSize (DWORD)
               Valeur :      21 (ou au moins 3 de plus que la valeur courante)

Pour plus de détails, veuillez consulter http://support.microsoft.com/kb/177078/ EN-US.

· Le nombre maximal d'utilisateurs SGN enregistrés sur un client est 200.
Veuillez aussi considérer les tailles de fichiers maximales suivantes pour les fichiers importés sur un client par la stratégie :

o Les fichiers texte ne doivent pas être supérieurs à 50 Ko en taille.

o Les fichiers bitmaps des bannières ne doivent pas être supérieurs à 100 Ko en taille.

o Les fichiers bitmaps des arrière-plans ne doivent pas être supérieurs à 500 Ko en taille.

Remarque : le nombre d'utilisateurs attribués, surtout combiné à beaucoup d'appartenances de groupe, a un impact perceptible sur les performances du serveur SGN.

5.2 Management Center SafeGuard

· La désinstallation du client SGN sur une machine MC rend le MC inutilisable.
Lorsque le Management Center SafeGuard est exécuté sur une machine avec une installation client SGN, la désinstallation du client laisse MC dans un état inutilisable. Ce problème ne dépend pas de l'ordre d'installation des deux modules. Si vous voulez continuer d'exécuter MC sur cette machine, vous devez le réinstaller.

·         Convention d'appellation de la base de données
Les noms des bases de données SGN doivent être conformes à la convention d'appellation suivante afin d'empêcher les problèmes de localisation.

Les noms des bases de données SGN doivent seulement contenir :
            - Des caractères (A-Z, a-z)
            - Des numéros (0-9)
            - Des traits de soulignement (_)

· Si le Management Center est installé sur une machine cliente SGN, les deux composants (client + MC) doivent être mis à jour vers SGN 5.50 et le client doit être mis à jour en premier. La mise à jour seule du Management Center peut entraîner des échecs d'ouverture de session au niveau de Windows.

· Veuillez vérifier le CD-ROM des logiciels SGN (dossier des outils) pour obtenir des informations supplémentaires sur la mise à jour du Management Center SGN (recherchez également dans la base de connaissances Sophos les termes “SGN & mise à jour” pour rassembler des instructions détaillées).

· Configuration possible des méthodes d'accès à la base de données SQL :
L'option d'authentification Windows NT nécessite d'autres étapes de configuration obligatoires proposées par Microsoft (recherchez dans la base de connaissances Sophos “SGN & compte de service”). L'authentification SQL est le moyen le moins complexe et ne nécessite aucune configuration supplémentaire.

· Les règles de mots de passe SGN sont introduites de manière complètement distincte des paramètres dans AD et, si les deux séries de règles sont utilisées en même temps, des blocages peuvent se produire. Si une série de stratégies de mots de passe est déjà introduite dans AD, il est conseillé de ne pas définir de règles de mots de passe dans le Management Center SafeGuard.

· Si la synchronisation AD est exécutée avec un compte utilisateur Windows qui a des droits d'accès sur AD moins importants que celui qui a exécuté l'importation initiale, tous les objets inaccessibles seront traités comme “plus disponibles” et donc supprimés et déplacés dans le nœud Ordinateurs authentifiés.
Il est conseillé de créer un compte de service dédié à utiliser pour l'authentification de toutes les tâches d'importation et de synchronisation, ceci afin d'empêcher une suppression accidentelle des objets dans la base de données SGN (veuillez rechercher “SGN & synchronisation” dans la base de connaissances Sophos).

· Si des éléments ont été déplacés d'une sous-arborescence dans une autre dans Active Directory, les deux sous-arborescences doivent être synchronisées avec la base de données SQL. La synchronisation d'une sous-arborescence seulement entraîne la suppression des objets au lieu de leur déplacement.

· La synchronisation AD synchronisera le nom pré--Windows 2000 (NetBIOS) du domaine, si le contrôleur de domaine est configuré avec une adresse IP. Veuillez configurer le contrôleur de domaine pour utiliser à la place le nom de serveur (NetBIOS ou DNS). Soit le client (sur lequel la synchronisation AD fonctionne) doit faire partie du domaine, soit il faut s'assurer qu'il peut résoudre le nom DNS dans le contrôleur de domaine cible.

· Les certificats fournis par le client et importés dans SGN ne sont actuellement pas vérifiés conformément à RFC3280. Par exemple, nous n'empêchons pas l'utilisation de certificats de signatures à des fins de chiffrement.

· Des stratégies superposées attribuées à un groupe peuvent conduire à un calcul incorrect des priorités. Veuillez utiliser des paramètres de stratégie dissociés.

· Si vous voulez autoriser des durées minimales de mots de passe de moins de 2 jours, ne changez pas le paramètre “Modification du mot de passe autorisée après un min. de (jours)”. Une fois changé, le minimum est 2 jours.

· A noter avant la désinstallation : les utilisateurs ne pourront pas effectuer de désinstallation des volumes chiffrés avec une clé spécifique à l'utilisateur qui ne leur est pas attribuée.

· Il y a quelques problèmes de mise en page de l'interface utilisateur sur les machines configurées pour des résolutions autres que 96 ppp.

· Il est conseillé de diviser et d'importer plus de 400 000 objets depuis AD dans diverses opérations. Ceci ne sera peut-être pas possible s'il y a plus de 400 000 objets dans une seule unité organisationnelle.

· Les clés de chiffrement créées localement à l'aide d'une version de SafeGuard Removable Media antérieure à la version 1.20 ne sont pas transférées dans le Management Center SafeGuard et n'y sont pas visibles.

Les clients qui sont membres d'un groupe de travail inconnu ne peuvent pas s'enregistrer automatiquement sur les installations SGN qui ont été migrées depuis les versions antérieures à la 5.20. Le groupe de travail doit tout d'abord être créé dans le Management Center SafeGuard.

· L'enregistrement automatique échoue si la prise en charge NetBIOS n'est pas disponible.
Utilisez seulement des adresses IP, si NetBIOS est également actif sur votre réseau. Si vous utilisez des adresses IP sans la prise en charge de NetBIOS, les utilisateurs et les ordinateurs enregistrés automatiquement ne seront pas triés dans leur domaine.

· Deux responsables de la sécurité différents ne doivent pas utiliser le même compte Windows sur le même PC. Parce qu'il ne serait pas possible de séparer correctement leurs droits d'accès.

· L'inventaire d'un client BitLocker n'affiche pas le statut correct des supports amovibles.

· Les clients qui ont été enregistrés comme membres d'un domaine ne seront pas mis à jour correctement dans le SafeGuard Management Center, s'ils sont déplacés dans un groupe de travail Windows

· Après la mise à jour de la base de données SGN à la version 5.50, d'anciennes consoles d'administration affichent un message d'erreur. Elles doivent aussi être mises à jour.

· Lors de l'exécution d'une désinstallation, il se peut que certains fichiers et entrées de registre demeurent. Veuillez consulter la base de connaissances Sophos (mots-clés “SGN & désinstaller”) pour savoir comment nettoyer l'installation manuellement. Un tel nettoyage est nécessaire pour réinstaller SGN sur le même ordinateur.

Les listes de révocation des certificats delta (CRL, Certificate Revocation List) ne sont pas prises en charge par SafeGuard Enterprise. Lors de l'importation d'une CRL delta pour une CA, la CRL d'origine de cette CA est remplacée. Après cela, des certificats auparavant révoqués peuvent redevenir valides ! Utilisez des CRL complètes pour SafeGuard Enterprise. La prise en charge des CRL delta sera traitée dans des versions futures de ce produit.
Dans de rares cas, il se peut que vous rencontriez des problèmes de timing et/ou de configuration avec les éditions locales de SQL Server Express, il est possible que la configuration de la base de données SafeGuard conjointement à l'authentification SQL Server ne fonctionne pas. Si c'est le cas, nous vous conseillons d'utiliser à la place l'authentification Windows avec SQL Server Express.
Rarement, il est possible que vous rencontriez des problèmes de dépassement des délais impartis lors de l'exécution d'un requête de rapport sur une base de données contenant plusieurs centaines de milliers d'événements. Dans ce cas, vous pouvez augmenter la valeur de dépassement du délai imparti à l'aide du paramètre de registre suivant :

                Ruche :      HKEY_LOCAL_MACHINE
                    Clé :      SOFTWARE\Utimaco\SafeGuard Enterprise\Internal Settings
       Nom valeur :      TimeOut (DWORD)
               Valeur :      1…30000 [millisecondes]

5.3 SafeGuard Enterprise Server

Veuillez vérifier le CD-ROM du logiciel SGN (dossier outils) pour obtenir des informations supplémentaires sur la mise à jour du serveur SGN.

· L'authentification HTTP (du client dans IIS) n'est pas prise en charge.

· Pour la réduction du trafic réseau, il est conseillé d'utiliser les intervalles de transfert de connexion de plus de 240 minutes.

· Il est conseillé d'activer les options de recyclage de la mémoire d'IIS avec les paramètres par défaut.

· L'accès à la page par défaut du service WEB peut aboutir à une exception non gérée. Ceci peut être résolu par un nouvel enregistrement de ASP.NET : aspnet_regiis /i

· Pour éviter une incompatibilité avec les applications existantes, il est conseillé d'installer le serveur SGN sur un serveur IIS dédié.

· SGN 5.50 Enterprise Server ne prend pas en charge les clients SGN 5.00/5.10/5.20/5.30. Ils doivent être migrés dans SGN version 5.35 ou supérieure avant de migrer SGN Enterprise Server à la version 5.50

· Les clients SGN 5.50 ne sont pas prévus pour se connecter aux serveurs SGN antérieurs à la version 5.50. Seul un mélange de versions de clients SGN doit être présent lors de la phase de migration.

· SafeGuard Enterprise API : il se peut que les événements du journal de la console d'administration ne soient pas créés lors de l'appel simultané de fonctionnalités via l'API de SGN.

· API SafeGuard Enterprise : la méthode “CreateDirectoryConnection” ne fonctionne pas sur un serveur SGN seul. La console d'administration SGN doit aussi être installée sur la machine pour cet API.

5.4 Client SafeGuard Enterprise Data Exchange

· L'installation de DX n'est pas empêchée sur un système muni de SafeGuard Removable Media. SGRM et SGN DX sont des produits de chiffrement de fichiers non prévus pour coexister. Or, le programme d'installation de DX ne vérifie cette condition. SGRM doit être désinstallé avant l'installation de SGN DX.

· Récupération des mots de passe oubliés
SafeGuard Data Exchange sans chiffrement des périphériques n'assure pas la récupération Challenge/Réponse, lorsque l'utilisateur a oublié son mot de passe. Dans ce cas, vous devez changer le mot de passe dans Active Directory, vous connecter avec Sophos Credential Provider et restaurer la configuration de l'utilisateur sur le client. Pour plus de détails, consultez la base de connaissances Sophos.

· Compatibilité avec SG RemovableMedia 1.20
Des clés locales créées avec SafeGuard Removable Media dans une version plus ancienne que la 1.20 avant de changer pour SafeGuard Data Exchange peuvent être utilisées dans le client SGN. Elle ne sont, en revanche, pas transférées automatiquement dans la base de données SGN.

· Compatibilité avec SG Easy 4.x
Lors de l'utilisation de SafeGuard Data Exchange avec SafeGuard Easy 4.x, sachez que les mécanismes SGE GINA (surtout la connexion automatique sécurisée SAL) ne fonctionnent plus, SGE doit être tout d'abord installé et les deux produits doivent seulement être désinstallés ensemble (sans redémarrage) pour éviter les conflits GINA.

· Compatibility avec Microsoft Office 2007
Les applications Microsoft Office 2007 (comme Word, Excel) s'interrompent en indiquant une erreur lors de l'enregistrement des modifications dans un fichier brut qui doit en fait être chiffré conformément à la stratégie de chiffrement en cours.

Solution :
- Réglez le statut de chiffrement des fichiers pour qu'ils se conforment à la stratégie, ou
- Ajoutez les programmes Office dans la clé de registre Special Rename Processes.

Voici un exemple de paramètre de registre qui ajoute WinWord.exe et Excel.exe à cette clé.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO\SGLCENC]
"SpecialRenamePrograms"="winword.exe;excel.exe;"

Pour plus d'informations, reportez-vous à l'article SGI 109474 de la base de connaissances Sophos.

· Elévation de l'utilisateur pour les exécutables chiffrés
Si un exécutable chiffré ou un package d'installation est démarré et nécessite une élévation de l'utilisateur dans Windows Vista ou Windows 7, il peut arriver que l'élévation n'ait pas lieu et que l'exécutable ne soit pas exécuté.

· Lien SafeGuard Portable sur les supports en lecture seule
Le lien vers l'application SafeGuard Portable créé à la racine d'un support amovible peut ne pas fonctionner dans certaines conditions (sous Windows 7 seulement). Lorsque le support est inséré dans un périphérique dont la lettre diffère de celle sur lequel SafeGuard Portable a été copié, le lien ne fonctionne pas si le lecteur portant cette lettre est aussi disponible. Par exemple, si le lien SafeGuard Portable a été créé sur le lecteur D: d'un support et si ce dernier est utilisé sur une machine différente dans le lecteur E:, le lien est rompu si cette machine possède également un lecteur D:, autrement, le lien fonctionne comme prévu.

· Accès au jeu de clés suite à la fermeture d'une session à distance
Le jeu de clés d'un utilisateur n'est plus accessible suite à la fermeture d'une session à distance existante. La machine client doit être redémarré afin de restaurer l'accès au jeu de clés de l'utilisateur. La fermeture et la réouverture d'une session ne suffisent pas à récupérer l'accès.

5.5 Client SafeGuard Enterprise Device Encryption

· BitLocker To Go - les périphériques chiffrés peuvent empêcher l'installation du chiffrement des périphériques (DE)
Si une clé USB chiffrée par BitLocker To Go est connectée à une machine lors de la configuration de SGN, l'installation échouera car Windows signale le système comme étant activé par BitLocker, ce qui constitue une condition d'échec valide pour l'installation du client DE. La solution consiste à supprimer tout périphérique chiffré par BitLocker to Go avant d'installer SGN DE.

· Le chiffrement des périphériques peut échouer sur certaines clés USB
Certains rares modèles de clés USB signalent une capacité de stockage incorrecte (généralement plus importante que leur véritable capacité physiquement disponible). Sur ces modèles, un chiffrement initial à base de volumes échouera et les données contenues dans la clé seront perdues. Sophos conseille généralement d'utiliser le chiffrement à base de fichiers (module DX) pour le chiffrement des supports amovibles.

· Emplacement des profils utilisateur sur les volumes chiffrés
Lors du chiffrement du volume contenant le ou les profils utilisateur, seules les clés disponibles pour tout utilisateur dont le profil est placé sur le volume chiffré doivent être utilisées. Pour garantir une configuration système correcte, les profils utilisateur ne doivent pas être placés sur les volumes chiffrés pour lesquels l'utilisateur n'a pas de clé de chiffrement, ou alors seules les clés disponibles à tous les utilisateurs doivent être utilisées pour le chiffrement de ce volume. Ce sera uniquement un problème lors du changement de l'emplacement par défaut des profils utilisateur du volume système sur tout autre volume local chiffré.

· SafeGuard Easy
Après la première connexion, le client requiert un redémarrage supplémentaire pour garantir l'enregistrement de l'utilisateur connecté.

· Mise à jour
Lors de la mise à jour d'une ancienne version du client SGN, il est conseillé de choisir le mode d'installation ‘Personnalisé’ et de sélectionner manuellement toutes les fonctionnalités désirées qu'elles fussent ou non déjà installées par la version précédente. En option, vous pouvez utiliser à la place le mode ‘Complet’. Si le mode standard est choisi, certaines des fonctionnalités ne seront peut-être pas mises à jour correctement.
Dans le cas d'une installation non assistée, vous devez utiliser la propriété ADDLOCAL= pour sélectionner toutes les fonctionnalités désirées (existantes et nouvelles). Si cette option n'est pas spécifiée, seules les fonctionnalités installées par la version précédentes seront mises à jour.

· Installation du package de configuration du client
Après l'installation du package de configuration du client, l'utilisateur doit attendre ~5-10 secondes avant de valider le redémarrage final. Ensuite, après redémarrage, l'utilisateur doit de nouveau attendre environ 3 minutes à l'écran de connexion Windows avant de passer à la connexion même. Sinon, la synchronisation de l'utilisateur initial n'est peut-être pas terminée tant que le nouveau redémarrage n'a pas eu lieu.

· Local Self Help
Pour l'option d'aide locale sans assistance (LSH, Local Self-Help), l'option de récupération de la POA n'apparaîtra jamais si l'utilisateur connecté à cette dernière a la possibilité d'ouvrir une session avec une carte à puce ou via son empreinte digitale. La LSH fonctionne seulement si l'utilisateur ouvre une session sur la POA avec son identifiant et mot de passe.

·         Erreurs d'écriture différée lors du chiffrement initial
Lors de l'installation de SafeGuard Enterprise Base Encryption, des échecs d'écriture différée peuvent être signalés par le système d'exploitation. Cela se produit juste après l'installation du noyau dans le système de fichiers. Cela peut être forcé par l'exécution de plusieurs opérations d'entrée/sortie parallèles lors du démarrage suivant juste après la manipulation du système de fichiers.

Solution :
Un autre moyen d'installer le SafeGuard Enterprise Base Encryption Kernel peut être forcé en ajoutant la valeur de registre :

            Ruche : HKEY_LOCAL_MACHINE
            Clé :     System\CurrentControlSet\Control\Session Manager
Nom valeur :    AllocMode (DWORD)
            Valeur : 1

Cette valeur de registre doit être ajoutée avant d'exécuter le SafeGuard Enterprise Base
Configuration du chiffrement.

· Stratégie de protection des périphériques pour les lecteurs amovibles
Une stratégie de chiffrement des lecteurs amovibles à base de volumes où l'utilisateur choisit une clé dans une liste (par exemple, “toutes les clés dans un jeu de clés”) peut être contournée par l'utilisateur s'il ne choisit aucune clé. Pour veiller à ce que les lecteurs amovibles soient toujours chiffrés, le responsable de la sécurité doit soit utiliser une stratégie de chiffrement à base de fichiers, soit explicitement définir une clé dans la stratégie de chiffrement à base de volumes.

· Stratégie de protection des périphériques avec la stratégie de protection de la configuration pour les lecteurs sans démarrage
Si les deux fonctionnalités de chiffrement à base de volumes et de protection de la configuration sont installées sur les systèmes Windows Vista, les stratégies de chiffrement des volumes sans démarrage peuvent le blocage du processus de chiffrement initial. Cela peut être évité en copiant le fichier bootmgr sur ces volumes sans démarrage avant l'installation de SGN et en définissant une stratégie de chiffrement pour ‘Bootvolumes’.

· Stratégie d'échange de données et SafeGuard Easy
Les stratégies d'échange de données ne peuvent pas utiliser la clé machine définie dans SafeGuard Easy 5.50. Veuillez utiliser une clé différente si la stratégie doit être appliquée sur les clients SafeGuard Easy.

· Prise en charge de Kerberos avec jeton A-Trust
Configuration du client pour la connexion Kerberos avec les cartes à puce A-Trust :

Le middleware A-Trust doit être installé avec les paramètres suivants :

acSetup.exe /CALAIS=Yes

Utilisez l'icône de la barre d'état système pour exécuter une mise à jour du middleware. Cette étape est aussi nécessaire si vous avez déjà installé la dernière version du middleware A-Trust car il télécharge et installe le certificat racine A-Trust.

Installez les paramètres de registre depuis \Tools\ATrustSetup.reg.

Remarque e: le magasin de clés utilisateur ne peut être ouvert avec la version 1.2.5.2 ou une version antérieure du middleware A-Trust. A-Trust travaille déjà sur ce problème.

· Prise en charge de Kerberos avec Aladdin eToken Pro
Le Aladdin PKI Client 5.0 est requis pour Windows Kerberos Logon avec Aladdin eToken PRO 72k (Java). Par contre, ces jetons doivent être initialisés avec Aladdin PKI Client 4.55 pour être compatibles avec la POA de SGN.

· Client Novell
Pour utiliser le client SGN conjointement avec un client Novell, certaines adaptations spécifiques aux projets sont nécessaires. Pour plus d'informations, veuillez contacter le support technique Sophos.

· Changement rapide d'utilisateur
Le changement rapide d'utilisateur n'est pas pris en charge et doit être désactivé.

· Lecteur de disquette incorporé
Après l'installation de SGN Device Encryption sous Windows Vista, le lecteur de disquette incorporé n'est plus disponible. Cette restriction ne s'applique pas aux lecteurs de disquette externes connectés via le bus USB.

· Durée de démarrage
La durée de démarrage augmente d'à peu près une minute après l'installation du logiciel client SGN.

· Chiffrement des ‘lecteurs virtuels’
Les lecteurs virtuels montés sur la station de travail cliente (par exemple, un fichier VHD dans Windows à l'aide du monteur MS Virtual Server) sont considérés comme des lecteurs de disques durs locaux et donc leurs contenus seront chiffrés également si une stratégie de chiffrement est définie pour les ‘autres volumes’.

· Il n'est pas possible d'utiliser le chiffrement des périphériques à base de volumes parallèlement à BitLocker. La configuration du client SGN ne permet pas l'installation simultanée des deux fonctions.

· Lors du chiffrement initial de la partition système (c'est-à-dire celle où le fichier hiberfil.sys file est placé), la suspension sur disque peut échouer et doit donc être évitée. Après le chiffrement initial de la partition système, un redémarrage est requis avant que la suspension sur disque ne fonctionne de nouveau correctement.

· La désinstallation du client SGN Device Encryption exécute le déchiffrement automatique des volumes qui ont été chiffrés à l'aide de la clé machine par défaut. Les autres volumes chiffrés utilisant d'autres clés ne sont pas chiffrés automatiquement. Ils doivent être déchiffrés à l'aide de la stratégie appropriée avant la désinstallation du client SGN Device Encryption.

· Avant de désinstaller le dernier client SGN accessible, déchiffrez tous les supports amovibles chiffrés. Sinon, vous ne pourrez peut-être plus accéder à vos données. Tant que vous conservez votre base de données SGN, les données présentes sur les supports amovibles peuvent être récupérées.

· Il est conseillé de redémarrer un PC client SGN au moins une fois après avoir activé l'authentification au démarrage SGN. SGN exécute une sauvegarde de ses données de noyau à chaque démarrage Windows. Cette sauvegarde ne se produirait pas si le PC avait seulement hiberné ou était passé en mode veille.

· Microsoft Windows XP a une restriction technique de sa pile de noyau. Si plusieurs pilotes de filtres du système de fichiers (par exemple, le logiciel antivirus) sont installés, il est possible que la mémoire ne soit pas suffisante. Dans ce cas, vous pouvez prendre un BSOD. Sophos ne saurait se considérer responsable de cette restriction Windows et ne peut pas résoudre ce problème.

· Parfois, des événements d'“insertion de jetons” sont perdus pendant l'affichage de la boîte de dialogue de bienvenue Windows Welcome. Cela exige la réinsertion du jeton jusqu'à ce qu'il soit reconnu avec succès. Autrement, il est possible d'appuyer sur CTRL-ALT-SUPPR pour passer directement à la boîte de dialogue de connexion où ce problème n'existe pas.

· Si une erreur se produit lors de la connexion de Kerberos à Windows, la boîte de dialogue du numéro d'identification personnel ne se ferme pas automatiquement après avoir quitté la boîte de message correspondante. L'utilisateur doit appuyer sur ECHAP ou sur CTRL-ALT-SUPPR pour revenir à la boîte de dialogue de connexion."

· Sur les clients utilisant OHCI pour l'interface USB, il est possible que certains lecteurs de cartes à puce ou jetons USB ne fonctionnent pas.

· Pour une prise en charge correcte des lecteurs de cartes à puce USB, les Dell 620 Notebooks nécessitant l'activation du paramètre BIOS „Mode compatible“ (dans les périphériques embarqués/USB intégré). Il s'agit de la valeur par défaut.

· En combinaison avec Aladdin PKI client 4.5x, un délai de connexion massif peut se produire au niveau de GINA. Nous conseillons par conséquent d'utiliser la version 5.0.

· Dans le cas du chiffrement à base de volumes, ceux placés sur des "disques dynamiques" ou sur des “disques GPT” ne sont pas pris en charge.

· A cause de restrictions techniques, “l'ouverture de session unique” avec Kerberos (carte à puce/jeton) requiert la réinsertion de la carte à puce ou du jeton au niveau de GINA lors de l'exécution sous Windows XP.

· Si une désinstallation du client SGN est déclenché via Active Directory, il convient de s'assurer que tous les volumes chiffrés à base de volumes ont été déchiffrés correctement auparavant.

· La compatibilité aux outils d'imagerie n'a pas été testée et n'est donc pas prise en charge.

Si un jeton Aladdin stockant l'identification, le mot de passe et le certificat de l'utilisateur est utilisé pour la connexion, actuellement seuls les certificats de 1024 bits fonctionnent correctement.

· Les caractères spéciaux (par exemple, ä,ö,ü,…) doivent être entrés en tenant compte des majuscules au niveau de la POA.

· Certains ordinateurs ne parviennent pas à démarrer depuis une disquette une fois qu'ils ont démarré la POA depuis le disque dur. Il s'agit d'une restriction de leur implémentation BIOS qui ne peut pas être résolue par Sophos.

· Les caractères spéciaux doivent être utilisés avec précaution dans le texte de la mention légale de la POA. Il se peut que certains de ces caractères ne s'affichent pas correctement.

· Avant de chiffrer une partition avec le chiffrement à base de volumes, il est conseillé d'exécuter chkdsk c: /f /v /l /x afin de toucher chaque secteur de la partition. Le microprogramme du disque dur remplacera alors chaque secteur défectueux avant que SGN n'essaie de le chiffrer.

· Lors de l'utilisation de SafeGuard Portable en combinaison avec le client SGN, l'algorithme AES-256 doit être utilisé pour le chiffrement des supports amovibles.

· Les clients utilisant le chiffrement BitLocker détecteront les disques durs USB sous “Autres volumes” et non “Amovibles”. N'utilisez pas les stratégies de chiffrement pour les “Autres volumes” si vous voulez utiliser les disques durs USB sur les clients BitLocker.

· Si vous avez installé SGN Device Encryption et SGN Data Exchange sur un client, vous ne pouvez pas désinstallez Device Encryption seul. Vous devez désinstallez l'intégralité du package.

· Le chiffrement à base de fichiers et de volumes a été testé avec succès par Sophos sur des installations de produits antivirus concurrents ainsi que les suivants :

AVG
AVG Anti-Virus Netzwerk Edition 8.5.386
Computer Associates
CA Anti-Virus 2009
Veuillez utiliser la clé de registre suivante

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\INO_FLTR\Setting]
"Controls"=dword:00000003
F-Secure
F-Secure AntiVirus 2009 (Version 9.00 Build 149)
G-Data
G Data Antivirus 2010 (Version 20.0.1.1)
Kaspersky
Kaspersky Internet Security 2010 (Version 9.0.0.459)
Network Associates
McAfee VirusScan Enterprise Version 8.7.0 i
Scanmodul-Version (32 bits) : 5300.2777, DAT-Version: 5381.0000
Norman
Norman Virus Control (Version 5.99)
Symantec
Symantec Endpoint Protection 11.0 (Version 11.0.4000)

Si des problèmes sont rencontrés lors du démarrage, veuillez essayer les opérations suivantes :

Dans HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Storages\ Filesystem\RealTimeScan

Paramétrez la valeur DWORD KStackMinFree sur 0x2200.

Pour trouver une explication détaillée de la clé, cliquez sur ce lien :

http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/f5ee041a924af12d8825709d00509eb2?OpenDocument

Trend Micro
Trend Micro Internet Security 2009

· Si seulement SGN Data Exchange est installé sur un client et si les utilisateurs sont importés, ces derniers ne seront pas importés automatiquement dans la POA, lorsque SGN Device Encryption sera installé ultérieurement. Vous devez déclencher une mise à jour des utilisateurs, en attribuant par exemple temporairement une clé au répertoire racine

· Lorsque vous désinstallez un client SGN, vous devez désinstaller tout d'abord le package de configuration client.

· L'outil BE_RESTORE essaie toujours d'accéder au disk0. Il se peut que ce ne soit pas le disque dur, par exemple, si une clé USB est connectée ou si un disquette ram est utilisée.

· L'outil BE_RESTORE contient certaines restrictions sous Windows Vista / Windows PE 2.0 si le disque dur n'est pas encore chiffré.

· L'utilisation de l'outil BE_RESTORE avec Windows PE 2.0 nécessite au moins 512 Mo de mémoire.

· Un changement de support de disquette n'est pas toujours détecté correctement. Essayez d'accéder à la disquette alors qu'aucun support se trouve dans le lecteur (par exemple, avec l'Explorateur) pour vous assurer que le changement de support est détecté.

· Le système d'exploitation Windows XP jusqu'au Service Pack 2 affiche un problème sur certaines machines où une reprise après la veille n'affiche pas le bureau verrouillé mais ouvre directement le bureau de l'utilisateur. Le problème s'applique aussi aux machines avec SafeGuard Enterprise. Ceci doit être corrigé sous Windows XP SP3.

· Dans de rares occasions, certains middlewares de cartes à puce présentent des problèmes pendant nos tests où ils perdent leur statut de session après le déverrouillage du bureau. D'après la conception du produit, SGN verrouille de nouveau le bureau dans ce cas. Si vous rencontrez ce problème, une solution consiste à définir la stratégie “Action si l'état de connexion de la carte à puce est perdu” sur “Aucune action”.

· Très rarement, la configuration du client SGN Device Encryption se termine avec l'erreur 5001. Ce qui signifie que votre disque dur est trop fragmenté pour installer ce logiciel. Le noyau SGN a besoin de 96 Mo d'espace disque contigu sur le premier disque dur.

· L'application de la stratégie d'historique des mots de passe SafeGuard Enterprise peut être évitée par l'utilisateur lors de l'exécution du changement de mot de passe due à l'application de l'administrateur système.

· Si la connexion cryptographique avec jetons (Kerberos) est configurée comme méthode possible de connexion sur un client SGN, la connexion Bureau à distance à ce client SGN n'est pas prise en charge.

· Les utilisateurs avec, dans leur identification, les caractères “tréma” autres que les touches de la configuration clavier choisie ne peuvent pas ouvrir de session dans la POA, par exemple en combinaison avec une configuration allemande du clavier.

· Les configurations de clavier suivantes sont prises en charge dans le module d'authentification d'avant démarrage. "x" indique que la langue est parfaitement prise en charge. Toutes les autres langues s'afficheront par défaut comme cela est spécifié. Prenez garde aux caractères spéciaux dans les mots de passe si les utilisateurs ont un clavier non pris en charge qui, par défaut, est en anglais américain (US).

ID langue Clavier Langue / Commentaires

====================================================================

0x0000 US Langue neutre

0x0400 US Langue du processus ou par défaut utilisateur

0x0800 US Langue système par défaut

0x0401 US Arabe (Arabie Saoudite)

0x0801 US Arabe (Iraq)

0x0c01 US Arabe (Egypte)

0x1001 US Arabe (Libye)

0x1401 US Arabe (Algérie)

0x1801 US Arabe (Maroc)

0x1c01 US Arabe (Tunisie)

0x2001 US Arabe (Oman)

0x2401 US Arabe (Yémen)

0x2801 US Arabe (Syrie)

0x2c01 US Arabe (Jordanie)

0x3001 US Arabe (Liban)

0x3401 US Arabe (Koweït)

0x3801 US Arabe (Emirats arabes unis)

0x3c01 US Arabe (Bahreïn)

0x4001 US Arabe (Qatar)

US Arabe (102) AZERTY

X 0x0402 BG Bulgare Aucune police disponible

0x0403 ES Catalan

0x0404 US Chinois (Taiwan) Aucune police disponible

0x0804 US Chinois (République populaire de Chine) Aucune police disponible

0x0c04 US Chinois (Hong Kong RAS, République populaire de Chine) “

0x1004 US Chinois (Singapour) Aucune police disponible

0x1404 US Chinois (Macao RAS) (98/ME,2K/XP)

X 0x0405 cz Tchèque

X 0x1402 cz_qwerty Tchèque (QWERTY)

US Tchèque (Programmeurs)

X 0x0406 dk Danois

X 0x0407 de Allemand (Standard)

X 0x0807 de_CH Allemand (Suisse)

0x0c07 de Allemand (Autriche)

0x1007 de Allemand (Luxembourg)

0x1407 de Allemand (Liechtenstein)

X 0x0408 el Grec Aucune police disponible

X 0x0409 us Anglais (Etats-Unis)

X 0x0809 gb Anglais (Royaume-Uni)

0x0c09 us Anglais (Australie)

0x1009 us Anglais (Canada)

0x1409 us Anglais (Nouvelle-Zélande)

X 0x1809 ie Anglais (Irlande)

0x1c09 US Anglais (Afrique du Sud)

0x2009 US Anglais (Jamaïque)

0x2409 US Anglais (Caraïbes)

0x2809 US Anglais (Belize)

0x2c09 US Anglais (Trinité-et-Tobago)

0x3009 US Anglais (Zimbabwe) (98/ME,2K/XP)

0x3409 US Anglais (Philippines) (98/ME,2K/XP)

X 0x040a ES Espagnol (Espagne, Traditionnel)

0x080a ES Espagnol (Mexique)

0x0c0a ES Espagnol (Espagne, Moderne)

0x100a ES Espagnol (Guatemala)

0x140a ES Espagnol (Costa Rica)

0x180a ES Espagnol (Panama)

0x1c0a ES Espagnol (République dominicaine)

0x200a ES Espagnol (Venezuela)

0x240a ES Espagnol (Colombie)

0x280a ES Espagnol (Pérou)

0x2c0a ES Espagnol (Argentine)

0x300a ES Espagnol (Equateur)

0x340a ES Espagnol (Chili)

0x380a ES Espagnol (Uruguay)

0x3c0a ES Espagnol (Paraguay)

0x400a ES Espagnol (Bolivie)

0x440a ES Espagnol (El Salvador)

0x480a ES Espagnol (Honduras)

0x4c0a ES Espagnol (Nicaragua)

0x500a ES Espagnol (Porto Rico)

X 0x040b fi Finlandais

US Finlandais (avec Sami)

X 0x040c fr Français (Standard)

X 0x080c be Français (Belgique)

0x1080c be Belge (Comma)

X 0x0c0c ca_enhanced Français (Canada)

US Français (Canada, Traditionnel)

US Canadien (Multilingue)

X 0x100c fr_CH Français (Suisse)

0x140c fr_CH Français (Luxembourg)

0x180c fr Français (Monaco) (98/ME,2K/XP)

0x040d US Hébreu

X 0x040e hu Hongrois

X 0x040f is Islandais

X 0x0410 it Italien (Standard)

0x0810 it Italien (Suisse)

X 0x0411 jp Japonais

X 0x0412 ko Coréen Aucune police disponible

0x0812 US Coréen (Johab) (95,NT)

X 0x0413 nl Hollandais (Pays-Bas)

X 0x0813 be Hollandais (Belgique)

X 0x0414 no Norvégien (Bokmal)

0x0814 no Norvégien (Nynorsk)

X 0x0415 pl Polonais Aucune police disponible

X 0x0416 br Portugais (Brésil)

X 0x0816 pt Portugais (Portugal)

X 0x0418 ro Roumain

0x0419 US Russe

0x041a US Croate

0x081a US Serbe (Latin)

0x0c1a US Serbe (Cyrillique)

0x101a US Croate (Bosnie et Herzégovine)

0x141a US Bosniaque (Bosnie et Herzégovine)

0x181a US Serbe (Latin, Bosnie et Herzégovine)

0x1c1a US Serbe (Cyrillique, Bosnie et Herzégovine)

0x041b sk Slovaque

0x041c US Albanais

X 0x041d se Suédois

0x081d se Suédois (Finlande)

0x041e US Thaïlandais

X 0x041f tr Turc Aucune police disponible

0x0420 US Ourdou (Pakistan) (98/ME,2K/XP)

0x0820 US Ourdou (Inde)

0x0421 US Indonésien

0x0422 uk Ukrainien

0x0423 US Biélorusse

0x0424 sl Slovène

0x0425 US Estonien

0x0426 lv Letton

0x0427 lt Lituanien

0x0827 US Lituanien (Classique) (98)

0x0429 US Farsi

0x042a US Vietnamien (98/ME,NT,2K/XP)

0x042b US Arménien. Ceci est au format Unicode seulement. (2K/XP)

US Arménien (Est)

US Arménien (Ouest)

0x042c US Azéri (Latin)

0x082c US Azéri (Cyrillique)

0x042d US Basque

0x042f US Macédonien (FYROM)

0x0430 US Sutu

0x0432 US Setswana/Tswana (Afrique du Sud)

0x0434 US isiXhosa/Xhosa (Afrique du Sud)

0x0435 US isiZulu/Zulu (Afrique du Sud)

0x0436 US Afrikaans

0x0437 US Géorgien. Ceci est au format Unicode seulement. (2K/XP)

0x0438 US Féroïen

0x0439 US Hindi. Ceci est au format Unicode seulement. (2K/XP)

0x043a US Maltais (Malta)

0x043b US Sami du Nord (Norvège)

0x083b US Sami du Nord (Suède)

0x0c3b US Sami du Nord (Finlande)

0x103b US Sami de Lule (Norvège)

0x143b US Sami de Lule (Suède)

0x183b US Sami du Sud (Norvège)

0x1c3b US Sami du Sud (Suède)

0x203b US Sami de Skolt (Finlande)

0x243b US Sami d'Inari (Finlande)

0x043e US Malais (Malaisie)

0x083e US Malais (Brunei Darussalam)

0x0440 US Kirghiz. (XP)

0x0441 US Swahili (Kenya)

0x0443 uz Uzbek (Latin)

0x0843 US Uzbek (Cyrillique)

0x0444 US Tatar (Tatarstan)

0x0445 US Bengali (Inde)

US Bengali (Inscript)

0x0446 US Punjabi. Ceci est au format Unicode seulement. (XP)

0x0447 US Gujarati. Ceci est au format Unicode seulement. (XP)

0x0449 US Tamil. Ceci est au format Unicode seulement. (2K/XP)

0x044a US Telugu. Ceci est au format Unicode seulement. (XP)

0x044b US Kannada. Ceci est au format Unicode seulement. (XP)

0x044c US Malayalam (Inde)

0x044e US Marathi. Ceci est au format Unicode seulement. (2K/XP)

0x044f US Sanskrit. Ceci est au format Unicode seulement. (2K/XP)

0x0450 US Mongol (XP)

0x0452 US Gallois (Royaume-Uni)

0x0455 US Birman

0x0456 US Galicien (XP)

0x0457 US Konkani. Ceci est au format Unicode seulement. (2K/XP)

0x045a US Syriac. Ceci est au format Unicode seulement. (XP)

0x0465 US Divehi. Ceci est au format Unicode seulement. (XP)

US Divehi (Phonétique)

US Divehi (Machine à écrire)

0x046b US Quechua (Bolivie)

0x086b US Quechua (Equateur)

0x0c6b US Quechua (Pérou)

0x046c US Sesotho sa Leboa/Sotho du Nord (Afrique du Sud)

0x007f US LOCALE_INVARIANT. Voir MAKELCID.

0x0481 US Maori (Nouvelle-Zélande)

5.6 Client de la protection de la configuration SafeGuard

Les périphériques ne sont pas bloqués après connexion.
Les stratégies utilisateur sont appliquées par un processus qui est démarré dans la session utilisateur après la connexion. Si le début de ce processus est retardé par le système d'exploitation, l'utilisateur a la possibilité d'accéder aux périphériques bloqués ou à l'accès restreint lors de ce retard. Pour éviter ce comportement, appliquez toujours la stratégie de restriction pour les deux : la machine et l'utilisateur.
BSOD après l'installation de SGN CP
Microsoft a publié un correctif logiciel pour un problème BSOD qui est aussi susceptible de se produire après l'installation du package de protection de la configuration. Pour plus d'informations, reportez-vous à l'article suivant : http://support.microsoft.com, article id 906866.
Installation

§ Configuration système requise
.NET Framework 2.0

§ Installation
Pour installer la protection de la configuration SGN, veuillez suivre l'ordre d'installation suivant :

· SGNClient.msi

· SGN_CP_Client.msi ; ne redémarrez pas !

· SGNClientConfig.msi

§ Désinstallation
Pour désinstaller la protection de la configuration SGN, veuillez suivre l'ordre d'installation suivant :

· SGNClientConfig.msi

· SGNClient.msi ; ne redémarrez pas !

· SGN_CP_Client.msi

Mise à niveau
Lors de la mise à jour du module de protection de la configuration, la stratégie doit être réappliquée pour être prise en compte
Vista

§ Log-Event concernant l'identificateur de registre ouvert
Le client de protection de la configuration (SimonPro.exe) conserve une identification au registre (pour des raisons d'antialtération), ce qui provoque cet avertissement sous Vista

§ Stratégie utilisateur non chargée
Si les utilisateurs n'ont pas à appuyer sur Ctrl+Alt+Suppr pour se connecter à Vista (paramètre de connexion interactive), la stratégie de l'utilisateur n'est pas chargée correctement. Dans ce scénario, la stratégie machine est utilisée à la place.

Claviers USB classés comme périphériques matériels d'enregistrement de frappe
Certains claviers USB sont considérés comme des périphériques matériels d'enregistrement de frappe et sont donc bloqués, ce qui les rend indisponibles pour le système d'exploitation. Ce problème survient seulement lorsque le clavier est déconnecté tout en étant connecté à un port USB différent au cours du fonctionnement du système. A l'heure où nous écrivons, les claviers suivants sont connus pour causer ce problème :

- Dell Keyboard RT7D60
- Dell Keyboard SK-3106
Nombre maximal de périphériques dans la liste blanche
Lors de l'ajout de périphériques dans la liste blanche afin qu'ils ne soient pas bloqués, il est conseillé de conserver le nombre de périphériques autorisés à un niveau gérable. L'ajout de beaucoup plus que 1 000 périphériques dans une liste blanche peut avoir un impact considérable sur les performances d'une machine lors de l'évaluation de la stratégie.
Importation de listes blanches
Lors de l'importation d'une liste blanche qui a été générée par l'application Port Auditor, la liste blanche obtenue doit être modifiée et enregistrée de nouveau dans le Management Center SGN avant qu'elle ne puisse être utilisée dans une stratégie de protection de la configuration.

5.7 Web Helpdesk

Conditions requises pour le navigateur Web
Les pages web hébergées par le composant SafeGuard Web Helpdesk ne sont pas rendues correctement par Internet Explorer 6. Nous vous suggérons par conséquent d'utiliser à la place la version 7 d'Internet Explorer ou une version supérieure ou la version 2 de Firefox ou une version supérieure.
Si SafeGuard Web Helpdesk est installé sous IIS, les processus du travailleur ne doivent pas être augmentés de plus de 1 (par défaut), sinon, l'autorisation d'accès au Web Helpdesk échoue.

5.8 Mise à jour de SGN 5.35 et supérieure à SGN 5.50

· Chemin de mise à niveau pour le module ConfigurationProtection de SGN
Le module ConfigurationProtection de SGN ne peut pas être mis à jour à SGN 5.50 directement à cause de restrictions de sécurité. Afin que l'installation de la nouvelle version du module ConfigurationProtection se passe correctement, la version existante doit tout d'abord être supprimée.

La procédure de mise à jour approuvée est la suivante :

1. Installez le package SGxClientPreinstall.msi

2. Mettez à jour le client SafeGuard Enterprise (SGNClient.msi), qui inclut le module de protection de la configuration (ne redémarrez pas après l'opération !).

3. Supprimez le client SafeGuard Enterprise ConfigurationProtection PortProtector (SGN_CP_Client.msi)

4. Redémarrez.

5. Installez le nouveau client SafeGuard Enterprise ConfigurationProtection PortProtector (SGN_CP_Client.msi).

6. Redémarrez.

5.9 SafeGuard Easy 4.x

Migration de SafeGuard Easy 4.30 ou supérieure vers SafeGuard Enterprise
Pour une migration de SafeGuard Easy à SafeGuard Enterprise, l'utilisateur a besoin d'un compte Windows valide. Dans le cas où l'utilisateur ne connaît pas son mot de passe Windows parce qu'il utilise l'ouverture de session SAL pour Windows, le mot de passe Windows de l'utilisateur doit être réinitialisé et la nouvelle valeur doit être transférée à l'utilisateur. Avant de passer à la mise à niveau, veillez à lire la section correspondante du manuel d'installation.
Installation parallèle de SafeGuard Easy 4.x et de SafeGuard Enterprise sans migration
SafeGuard Easy 4.x et SafeGuard Enterprise peuvent être installés en parallèle sur la même machine tant que le module Device Encryption de SGN n'est pas installé. Etant donné que les deux produits installent leurs propres GINA, SGN ne fonctionnera correctement seulement si son propre GINA est utilisé. Afin de s'assurer d'une configuration correcte, SGE doit être installé sans la prise en charge de GINA (c'est-à-dire en utilisant l'option GINASYS=0) avant l'installation de tout module SGN (à part SGN DE). Si SGE a été installé avec l'option GINA activée, il doit être supprimé avant l'installation de SGN.

5.10 SafeGuard LAN Crypt

· SafeGuard LAN Crypt 3.70 est la première version complètement compatible avec SafeGuard Enterprise. Si une ancienne version de SafeGuard LAN Crypt est installée, nous conseillons fortement d'effectuer d'abord une mise à niveau vers la dernière version de SafeGuard LAN Crypt.

· Si SafeGuard Enterprise 5.50 est installé par-dessus SafeGuard LAN Crypt, le programme d'installation se plaint que le composant SGLC Profile Loader en cours de mise à niveau est en cours d'utilisation. Ce message, qui apparaît parce que SafeGuard LAN Crypt et SafeGuard Enterprise partagent des composants, peut être ignoré. Les composants affectés seront mis à jour au redémarrage.

5.11 Jeton/Cartes à puce/Lecteur de cartes à puce

Client Gemalto Classic (Gemalto GemXpresso (Classic TPC) V1 32k et V1 64k)
Fonctionne seulement avec le client Gemalto Classic 5.2.0 à venir. En outre, l'entrée de registre suivante doit être définie sur une valeur de 0x120 ou supérieure :

[HKEY_LOCAL_MACHINE\SOFTWARE\Gemplus\Cryptography]
"ShmMaxLoops"=dword:00000120
Client Axalto Access (Cyberflex 64k)
La connexion à Windows avec les cartes Cyberflex en combinaison avec le client Axalto Access n'est pas possible immédiatement après le redémarrage. Les valeurs du registre suivantes doivent être configurées en conséquence pour résoudre ce problème :

[HKEY_LOCAL_MACHINE\SOFTWARE\Axalto\Access\CK]
“UseCAM”=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Axalto\Access\CSP]
“UseCAM” =dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Axalto\Access\CAM]
“Allow” =dword:00000000
Jeton middleware sous Windows Vista
Lors de l'utilisation d'un jeton middleware sous Windows Vista, se déconnecter de ce dernier système peut s'avérer nécessaire (en fonction du fabricant) pour supprimer et réinsérer la carte à puce afin de se connecter de nouveau avec la même carte à puce.
Changement rapide d'utilisateur dans Vista après connexion par jeton
L'utilisation du changement rapide d'utilisateur après la connexion précédente qui a été exécutée avec un jeton ou une carte à puce peut conduire à la situation où les fournisseurs de codes d'accès autres que Sophos ne parviennent pas à déverrouiller le bureau utilisateur. Il est conseillé d'utiliser le fournisseur d'informations d'identification de Sophos ou de fermer la session de l'utilisateur en cours avant de passer à un compte différent.

· Échec de la désinstallation échoue sur Windows Vista 64 bits/Windows 7 64 bits en cas d'utilisation de ActivIdentity ActivClient en tant que jeton de connexion
En cas d'utilisation du logiciel ActivIdentity ActivClient en tant que jeton de connexion sur Windows Vista 64 bits ou sur Windows 7 64 bits, la désinstallation du logiciel client SGN échoue et conseill de supprimer des composants. Pour éviter ce problème, avant de lancer la désinstallation, modifiez la stratégie afin que le logiciel ActivIdentity ActivClient ne soit plus utilisé dans le module PKCS#11 et redémarrez l'ordinateur. La désinstallation s'effectue avec succès suite à cette opération.

5.12 Lecteur d'empreintes digitales

Logiciel d'empreintes digitales Lenovo ThinkVantage
A cause d'une restriction dans le logiciel UPEK ThinkVantage Fingerprint, la connexion par empreinte digitale n'est pas prise en charge pour les utilisateurs ayant un espace blanc dans leurs noms utilisateur.

5.13 Problèmes d'interopérabilité

Empirum Security Suite Agent
Si le logiciel du client SGN 5.50 est installé et fonctionne conjointement au logiciel Empirum Security Suite Agent, le système peut s'arrêter avec le BSOD suivant :

BSOD au démarrage du système avec code d'arrêt 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS

Ce problème est provoqué par l'un des composants Empirum Software. Une correction pour ce problème sera incluse dans Empirum Security Suite.
Pour obtenir les derniers détails/mises à jour sur ce problème, veuillez contacter le support technique Matrix42.
Lenovo Rescue and Recovery
Pour plus d'informations sur la compatibilité des versions de Rescue and Recovery avec les versions de SafeGuard Enterprise, consultez : http://www.sophos.fr/support/knowledgebase/article/108383.html
AbsoluteSoftware Computrace
SGN Device Encryption ne parvient pas à s'installer sur les machines sur lesquelles se trouve AbsoluteSoftware Computrace avec ‘track-0 based persisent agent’ installé et activé.

5.14 Disques durs

Client SafeGuard Enterprise Device Encryption
Le client SafeGuard Enterprise Device Encryption ne prend pas en charge les systèmes équipés de disques durs connectés via le bus SCSI.

6 Support technique

Vous pouvez obtenir du support technique pour les produits Sophos de l'une des manières suivantes :

Visitez le forum SophosTalk à l'adresse http://community.sophos.com/ et recherchez d'autres utilisateurs qui connaissent le même problème.
Visitez la base de connaissances du support technique Sophos à l'adresse http://www.sophos.fr/support/
Téléchargez la documentation des produits à l'adresse http://www.sophos.fr/support/docs/
Envoyez un courriel à support@sophos.com, y compris le ou les numéros de version du logiciel Sophos, le ou les systèmes d'exploitation et le ou les niveaux de correctif ainsi que le texte de tout message d'erreur.

Oberursel, 4 novembre 2010

Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous possédez une licence valide, auquel cas vous pouvez reproduire la documentation conformément aux termes de cette licence ou si vous avez le consentement préalable écrit du propriétaire du copyright.

Sophos est une marque déposée de Sophos Plc et de Sophos Group. SafeGuard est une marque déposée de Utimaco Safeware AG - un membre du groupe Sophos. Tous les autres noms de produits et de sociétés mentionnés sont des marques ou des marques déposées appartenant à leurs propriétaires respectifs.

Tous les produits SafeGuard sont sous le copyright d'Utimaco Safeware AG, un membre de Sophos Group, ou, le cas échéant, des concédants de la licence. Tous les autres produits Sophos sont sous copyright de Sophos Plc, ou, le cas échéant, des concédants de la licence.

Des informations de copyright sur les fournisseurs tiers sont disponibles dans le fichier appelé Disclaimer and Copyright for 3rd Party Software.rtf dans le répertoire de votre produit.

[1] Veuillez vous reporter à la documentation AET SafeSign pour les détails relatifs aux cartes à puce (versions Java Card prises en charge, configuration de cartes).

[2] La prise en charge des cartes A-Trust dans SafeGuard Enterprise exige que les cartes soient émises par A-Trust avec des extensions de connexion Kerberos Windows et l'installation du middleware A-Trust.

[3] La prise en charge des cartes EID estoniennes requiert :

· Middleware standard : OpenSC PKCS#11 version 0.8.3, et la “EstEID Card CSP”.

· Logiciel supplémentaire de JaJa Arendus OU (http://www.jaja.ee), c'est-à-dire leur “ITLogon CSP” supplémentaire et leur outil d'écriture de scripts pour relier l'identification des citoyens estoniens avec les utilisateurs Active Directory.