Dell Encryption User Manual [fr]

Download

Dell Encryption Enterprise

Guide d'installation avancée v10.10

February 2021 Rév. A01

Remarques, précautions et avertissements

REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit.

PRÉCAUTION : ATTENTION vous avertit d’un risque de dommage matériel ou de perte de données et vous indique

comment éviter le problème.

AVERTISSEMENT : un AVERTISSEMENT signale un risque d’endommagement du matériel, de blessure corporelle, voire

de décès.

suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc. Cylance®, CylancePROTECT, and the Cylance logo are registered trademarks of Cylance, Inc. in the U.S. and other countries. McAfee® and the McAfee logo are trademarks or registered trademarks of McAfee, Inc. in the US and other countries. Intel®, Pentium®, Intel Core Inside Duo®, Itanium®, and Xeon® are registered trademarks of Intel Corporation in the U.S. and other countries. Adobe®, Acrobat®, and Flash® are registered trademarks of Adobe Systems Incorporated. Authen tec® and Eikon® are registered trademarks of Authen tec. AMD® is a registered trademark of Advanced Micro Devices, Inc. Microsoft®, Windows®, and Windows Server®, Windows Vista®, Windows 7®, Windows 10®, Active Directory®, Access®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®, Outlook®, PowerPoint®, Word®, OneDrive®, SQL Server®, and Visual C++® are either trademarks or registered trademarks of Microsoft Corporation in the United States and/or other countries. VMware® is a registered trademark or trademark of VMware, Inc. in the United States or other countries. Box® is a registered trademark of Box. Dropbox ℠ is a service mark of Dropbox, Inc. Google™, Android™, Google™ Chrome™, Gmail™, and Google™ Play are either trademarks or registered trademarks of Google Inc. in the United States and other countries. Apple®, App Store℠, Apple Remote Desktop™, Boot Camp™, FileVault™, iPad®, iPhone®, iPod®, iPod touch®, iPod shuffle®, and iPod nano®, Macintosh®, and Safari® are either servicemarks, trademarks, or registered trademarks of Apple, Inc. in the United States and/or other countries. EnCase™ and Guidance Software® are either trademarks or registered trademarks of Guidance Software. Entrust® is a registered trademark of Entrust®, Inc. in the United States and other countries. Mozilla® Firefox® is a registered trademark of Mozilla Foundation in the United States and/or other countries. iOS® is a trademark or registered trademark of Cisco Systems, Inc. in the United States and certain other countries and is used under license. Oracle® and Java® are registered trademarks of Oracle and/or its affiliates. Travelstar® is a registered trademark of HGST, Inc. in the United States and other countries. UNIX® is a registered trademark of The Open Group. VALIDITY™ is a trademark of Validity Sensors, Inc. in the United States and other countries. VeriSign® and other related marks are the trademarks or registered trademarks of VeriSign, Inc. or its affiliates or subsidiaries in the U.S. and other countries and licensed to Symantec Corporation. KVM on IP® is a registered trademark of Video Products. Yahoo!® is a registered trademark of Yahoo! Inc. Bing® is a registered trademark of Microsoft Inc. Ask® is a registered trademark of IAC Publishing, LLC. Other names may be trademarks of their respective owners.

Table des matières

Chapitre 1: Introduction...................................................................................................................6

Avant de commencer............................................................................................................................................................6

Utilisation de ce Guide...........................................................................................................................................................7

Contacter Dell ProSupport................................................................................................................................................... 7

Chapitre 2: Configuration requise.....................................................................................................8

Tous les clients.......................................................................................................................................................................8

Chiffrement............................................................................................................................................................................ 9

Chiffrement complet du disque...........................................................................................................................................11

Encryption sur système d'exploitation serveur.......................................................................................................13

SED Manager........................................................................................................................................................................16

BitLocker Manager...............................................................................................................................................................19

Chapitre 3: Paramètres de registre.................................................................................................22

Chiffrement..........................................................................................................................................................................22

SED Manager.......................................................................................................................................................................26

Chiffrement complet du disque......................................................................................................................................... 27

BitLocker Manager..............................................................................................................................................................29

Chapitre 4: Installation à l'aide du programme d'installation principal.................................................31

Installation interactive à l'aide du programme d'installation principal.............................................................................31

Installation par la ligne de commande à l'aide du programme d'installation principal..................................................34

Chapitre 5: Désinstaller le programme d'installation principal........................................................... 36

Désinstallation du programme d’installation principal d’................................................................................................. 36

Chapitre 6: Installation à l'aide des programmes d'installation enfants...............................................37

Installer les pilotes................................................................................................................................................................38

Installation d'Encryption......................................................................................................................................................38

Installer le chiffrement complet du disque....................................................................................................................... 42

Installer Encryption sur un système d’exploitation de serveur.......................................................................................43

Installation interactive................................................................................................................................................... 44

Installation à l’aide de la ligne de commande..............................................................................................................48

Activer.............................................................................................................................................................................50

Installation de SED Manager et PBA Advanced Authentication................................................................................... 52

Installer BitLocker Manager............................................................................................................................................... 53

Chapitre 7: Désinstaller à l'aide des programme d'installation enfants............................................... 55

Désinstaller Encryption et Encryption sur système d’exploitation de serveur.............................................................56

Installez le chiffrement complet du disque.......................................................................................................................58

Désinstallation de SED Manager....................................................................................................................................... 59

Désinstaller BitLocker Manager.........................................................................................................................................60

Chapitre 8: Programme de désinstallation de Data Security.............................................................. 61

Table des matières 3

Chapitre 9: Scénarios couramment utilisés......................................................................................66

Client Encryption................................................................................................................................................................. 67

SED Manager (Advanced Authentication inclus) et client Encryption.........................................................................67

SED Manager et Encryption External Media................................................................................................................... 68

BitLocker Manager et Encryption External Media.......................................................................................................... 68

Chapitre 10: Téléchargement du logiciel..........................................................................................69

Chapitre 11: Configuration préalable à l'installation pour SED UEFI, et BitLocker Manager....................71

Initialiser le module TPM......................................................................................................................................................71

Configuration de la pré-Installation avant démarrage sur les ordinateurs UEFI........................................................... 71

Configuration préalable à l'installation d'une partition d'authentification avant démarrage BitLocker.....................72

Chapitre 12: Définir le Dell Server par le biais du registre.................................................................. 73

Chapitre 13: Extraire les programmes d'installation enfant................................................................76

Chapitre 14: Configurer Key Server................................................................................................. 77

Écran des services - Ajouter un utilisateur du compte de domaine.............................................................................. 77

Fichier de configuration de Key Server - Ajouter un utilisateur pour la communication avec le Security

Management Server....................................................................................................................................................... 78

Écran des services - Redémarrage du service Key Server............................................................................................ 79

Console de gestion - Ajouter un administrateur d'analyse approfondie....................................................................... 79

Chapitre 15: Utiliser l'utilitaire Administrative Download (CMGAd).................................................... 81

Utilisation du mode Analyse approfondie.......................................................................................................................... 81

Utilisation du mode Admin..................................................................................................................................................83

Chapitre 16: Configuration d’Encryption sur un système d’exploitation de serveur..............................85

Chapitre 17: Configuration de l'activation différée........................................................................... 88

Personnalisation de l'activation différée...........................................................................................................................88

Préparation de l'ordinateur pour l'installation...................................................................................................................88

Installer Encryption avec activation différée....................................................................................................................89

Activer Encryption avec activation différée.....................................................................................................................89

Résolution des problèmes d'activation différée...............................................................................................................90

Chapitre 18: Dépannage.................................................................................................................92

Tous les clients - Dépannage............................................................................................................................................. 92

Tous les clients - État de la protection.............................................................................................................................92

Dépannage de Dell Encryption (client et serveur) ......................................................................................................... 92

Dépannage SED................................................................................................................................................................. 102

Pilotes Dell ControlVault....................................................................................................................................................103

Mettre à jour les pilotes et le firmware Dell ControlVault....................................................................................... 103

UEFI Computers................................................................................................................................................................. 116

TPM et BitLocker............................................................................................................................................................... 116

Table des matières

Chapitre 19: Glossaire.................................................................................................................. 146

Table des matières 5

Introduction

Ce guide présente l’installation et la configuration d’d’Encryption, de la gestion SED, du chiffrement complet de disque, de la protection Web, du pare-feu client et de BitLocker Manager.

Toutes les informations relatives aux règles ainsi que leur description se trouvent dans AdminHelp.

Avant de commencer

1. Installez le Dell Server avant de déployer les clients. Localisez le guide qui convient tel qu'illustré ci-dessous, suivez les instructions puis revenez à ce guide.

● Security Management Server Installation and Migration Guide (Guide d'installation et de migration de Security Management

Server)

● Security Management Server Virtual Quick Start Guide and Installation Guide (Guide de démarrage rapide et Guide d'installation

de Security Management Server Virtual)

Vérifiez que les stratégies sont définies comme vous le souhaitez. Naviguez dans AdminHelp, disponible à partir du « ? » en haut

●

à droite de l'écran. AdminHelp est une aide au niveau de la page, conçue pour vous aider à configurer et à modifier une règle et à comprendre les options disponibles avec votre Dell Server.

2. Lisez attentivement le chapitre Configuration requise de ce document.

3. Déployez les clients sur les utilisateurs.

6 Introduction

Utilisation de ce Guide

Utilisez le présent guide dans l'ordre suivant :

● Voir Configuration requise pour connaître les prérequis du client, des informations sur le matériel et le logiciel de l'ordinateur, les limites et les modifications spéciales du registre nécessaires aux fonctions.

● Si nécessaire, voir la section Configuration avant installation pour SED UEFI et BitLocker.

● Si vos clients doivent être autorisés à utiliser Dell Digital Delivery, reportez-vous à Définir GPO sur un contrôleur de domaine pour

activer les droits.

● Si vous souhaitez installer les clients à l’aide du programme d’installation principal d’, reportez-vous à :

○ Installation interactive à l'aide du programme d'installation principal

○ Installation par la ligne de commande à l'aide du programme d'installation principal

● Si vous installez des clients à l'aide des programmes d'installation enfants, vous devez extraire les fichiers exécutables des programmes

d'installation enfants du programme d'installation principal. Reportez-vous à Extraire les programmes d'installation enfants du

programme d'installation principal, puis revenez ici.

○ Installer des programmes d'installation enfants par ligne de commande :

￭ Installation d’Encryption : ces instructions permettent d’installer Encryption, un composant qui applique les règles de sécurité,

qu’un ordinateur soit connecté au réseau, déconnecté du réseau, perdu ou volé.

￭ Installation du client de chiffrement complet du disque : ces instructions permettent d’installer le chiffrement complet du

disque, un composant qui applique les règles de sécurité, qu’un ordinateur soit connecté au réseau, déconnecté du réseau, perdu ou volé.

￭ Installation de SED Manager : utilisez ces instructions pour installer un logiciel de chiffrement pour les SED. Les disques à

auto-cryptage assurent leur propre cryptage, mais ils ont besoin d'une plate-forme pour gérer le cryptage et les règles. Avec SED Manager, toutes les règles, le stockage et la récupération des clés de cryptage sont disponibles à partir d’une même console, ce qui réduit le risque de manque de protection des ordinateurs en cas de perte d’accès ou d’accès non autorisé.

￭ Installation de BitLocker Manager : ces instructions permettent d’installer BitLocker Manager, conçu pour renforcer la sécurité

des déploiements BitLocker et pour simplifier et réduire le coût de possession.

REMARQUE :

La plupart des programmes d’installation enfants peuvent être installés de façon interactive, mais ils ne sont pas décrits dans ce guide.

● Reportez-vous à Scénarios couramment utilisés pour consulter les scripts de nos scénarios les plus couramment utilisés.

Contacter Dell ProSupport

Appelez le 877-459-7304, poste 4310039, afin de recevoir 24h/24, 7j/7 une assistance téléphonique concernant votre produit Dell.

Un support en ligne pour les produits Dell est en outre disponible à l'adresse dell.com/support. Le support en ligne englobe les pilotes, les manuels, des conseils techniques et des réponses aux questions fréquentes et émergentes.

Aidez-nous à vous mettre rapidement en contact avec l'expert technique approprié en ayant votre numéro de service ou votre code de service express à portée de main lors de votre appel.

Pour les numéros de téléphone en dehors des États-Unis, consultez l'article Numéros de téléphone internationaux Dell ProSupport.

Introduction

Configuration requise

Tous les clients

Ces exigences s'appliquent à tous les clients. Les exigences répertoriées dans d'autres sections s'appliquent à des clients particuliers.

● Les meilleures pratiques IT doivent être suivies pendant le déploiement. Ceci inclut, sans s'y limiter, les environnements de test contrôlés pour les premiers tests et les déploiements échelonnés pour les utilisateurs.

● Le compte d’utilisateur servant à l’installation/la mise à niveau/la désinstallation doit correspondre à un administrateur local ou de domaine, qui peut être affecté temporairement par un outil de déploiement tel que Microsoft SCCM. Les utilisateurs nonadministrateurs et disposant de privilèges particuliers ne sont pas pris en charge.

● Sauvegardez toutes les données importantes avant de démarrer l'installation ou la désinstallation.

● Lors de l'installation, n'apportez aucune modification à l'ordinateur, notamment, n'insérez ou ne retirez pas de lecteurs externes (USB).

● Les administrateurs doivent s'assurer que tous les ports nécessaires sont disponibles.

● Consultez régulièrement le site dell.com/support pour obtenir la documentation la plus récente et des conseils techniques.

● La ligne de produits Dell Data Security ne prend pas en charge les versions de Windows Insider Preview.

Conditions préalables

● Microsoft .Net Framework 4.5.2 (ou version ultérieure) est nécessaire pour les clients des programmes d’installation principal et enfant . Le programme d’installation n’installe pas les composants Microsoft .Net Framework.

● Pour vérifier la version de Microsoft .Net installée, suivez ces instructions sur l’ordinateur ciblé pour l’installation. Reportez-vous à ces instructions pour installer Microsoft .Net Framework 4.5.2.

● Si vous choisissez d’installer Encryption en mode FIPS, Microsoft .Net Framework 4.6 est requis.

Matériel

● Le tableau suivant indique la configuration matérielle minimale prise en charge.

Matériel

○ Processeur Intel Pentium ou AMD ○ 110 Mo d'espace disque disponible ○ 512 Mo de RAM

REMARQUE : De l’espace disque libre supplémentaire est nécessaire pour chiffrer les fichiers sur le point de terminaison. La

taille varie en fonction des règles activées et de la capacité de disque.

Localisation

● Dell Encryption, SED Manager, PBA Advanced Authentication, et BitLocker Manager sont compatibles avec l’interface utilisateur multilingue et sont localisés dans les langues suivantes.

Langues prises en charge

EN : anglais IT : italien KO : coréen

ES : espagnol DE : allemand PT-BR : portugais brésilien

8 Configuration requise

Langues prises en charge

FR : français JA : japonais PT-PT : portugais du Portugal (ibère)

Chiffrement

● L'ordinateur client doit posséder une connectivité réseau pour être activé.

● Pour activer un compte Microsoft Live avec Dell Encryption, reportez-vous à cet article de la base de connaissances SLN290988.

● Pour réduire la durée du chiffrement initial, lancez l'Assistant Nettoyage de disque Windows qui supprimera les fichiers temporaires et

toute autre donnée inutile.

● Désactivez le mode Veille lors du balayage de chiffrement initial pour prévenir la mise en veille d'un ordinateur lors des périodes d'inactivité. Le chiffrement ne peut pas être exécuté sur un ordinateur en veille (le déchiffrement non plus).

● Encryption ne prend pas en charge les configurations à double amorçage, car il est possible de chiffrer les fichiers système de l’autre système d’exploitation, ce qui perturberait son fonctionnement.

● Dell Encryption ne peut pas être mis à niveau vers v10.7.0 à partir de versions antérieures à v8.16.0. Les points de terminaison exécutant des versions antérieures à la version v8.16.0 doivent être mis à niveau vers v8.16.0 , puis vers v10.7.0.

● Le programme d'installation principal ne prend pas en charge les mises à niveau des composants antérieurs à la version v8.0. Extrayez les programmes d'installation enfants du programme d'installation principal et mettez à niveau le composant individuellement. Reportez-vous à Extraire les programmes d'installation enfants du programme d'installation principal pour obtenir des instructions relatives à l'extraction.

● Encryption prend désormais en charge le mode Audit. Le mode Audit permet aux administrateurs de déployer Encryption dans le cadre de l’image d’entreprise, plutôt que d’utiliser un SCCM tiers ou une solution similaire. Pour obtenir des instructions relatives à l’installation d’Encryption dans une image d’entreprise, reportez-vous à l’article de la base de connaissances SLN304039.

● Le client Encryption est testé avec plusieurs antivirus basés sur des signatures populaires et des solutions antivirus pilotées par l’intelligence artificielle dont McAfee Virus Scan Enterprise, McAfee Endpoint Security, Symantec Endpoint Protection, CylancePROTECT, CrowdStrike Falcon, Carbon Black Defense, etc. avec lesquels il est compatible. Les exclusions codées en dur sont incluses par défaut pour de nombreux fournisseurs d’antivirus afin d’éviter les incompatibilités entre l’analyse antivirus et le chiffrement.

Si votre organisation utilise un fournisseur d’antivirus non répertorié ou si des problèmes de compatibilité sont observés, consultez l’article de la base de connaissances SLN288353 ou contactez Dell ProSupport pour obtenir de l’aide pour la validation de la configuration pour assurer l’interopérabilité entre vos solutions logicielles et les solutions Dell Data Security.

● Dell Encryption utilise les jeux d’instructions de chiffrement d’Intel IPP (Integrated Performance Primitives). Pour plus d’informations, reportez-vous à l’article de la base de connaissances SLN301500.

● Le module TPM (Trusted Platform Module) est utilisé pour sceller la clé GPK. Par conséquent, si vous exécutez Encryption, supprimez le module TPM du BIOS avant d’installer un nouveau système d’exploitation sur l’ordinateur cible.

● La réinstallation du système d'exploitation sur place n'est pas prise en charge. Pour réinstaller le système d'exploitation, effectuez une sauvegarde de l'ordinateur cible, effacez le contenu de l'ordinateur, installez le système d'exploitation, puis récupérez les données cryptées selon les procédures de récupération établies ci-après.

● Le programme d’installation principal installe ces composants s’ils ne sont pas déjà présents sur l’ordinateur cible. Lors de l’utilisation du programme d’installation enfants, vous devez installer ces composants avant d’installer les clients.

Conditions préalables

○ Visual C++ 2012 Redistributable Package (x86 ou x64) Mise à jour 4 ou ultérieure ○ Visual C++ 2017 Redistributable Package (x86 ou x64) ou ultérieur

Visual C++ 2017 nécessite Windows Update KB2999226 s’il est installé sous Windows 7.

○ Depuis janvier 2020, les certificats de signature SHA1 ne sont plus valides et ne peuvent pas être renouvelés. Vous devez

installer les mises à jour https://support.microsoft.com/help/4474419 et https://support.microsoft.com/help/4490628 de la Base de connaissances Microsoft sur les appareils exécutant Windows 7 ou Windows Server 2008 R2 pour valider les certificats de signature SHA256 dans les applications et les modules d’installation.

Sans ces mises à jour installées, les applications et modules d’installation signés avec des certificats SHA1 fonctionnent, mais une erreur s’affiche sur le point de terminaison lors de l’installation ou de l’exécution des applications.

● Les règles Fichier de mise en veille prolongée Windows sécurisé et Empêcher la mise en veille prolongée non sécurisée ne sont pas prises en charge en mode UEFI.

● L'activation différée permet au compte d'utilisateur Active Directory utilisé lors de l'activation d'être indépendant du compte utilisé pour se connecter au point de terminaison. Au lieu que le fournisseur de réseau capture les informations d'authentification, l'utilisateur

Configuration requise

spécifie manuellement le compte basé sur Active Directory lorsqu'il y est invité. Une fois que les informations d'identification ont été saisies, les informations d'authentification sont envoyées de manière sécurisée au Dell Server qui les valide par rapport aux domaines Active Directory configurés. Pour plus d’informations, reportez-vous à l’article de la base de connaissances SLN306341.

● Suite à la mise à niveau des fonctionnalités de Windows 10, un redémarrage est nécessaire pour finaliser Dell Encryption. Le message suivant s’affiche dans la zone de notification après la mise à niveau des fonctionnalités de Windows 10 :

Matériel

● Le tableau suivant répertorie en détail le matériel compatible.

Matériel intégré en option

○ TPM 1.2 ou 2.0

Systèmes d'exploitation

● Le tableau suivant décrit les systèmes d'exploitation pris en charge.

Systèmes d'exploitation Windows (32 bits et 64 bits)

○ Windows 7 SP1 : Entreprise, Professionnel, Ultimate ○ Windows Embedded Standard 7 avec modèle de compatibilité des applications ○ Windows 8.1 : Enterprise, Pro ○ Windows Embedded 8.1 Industry Enterprise ○ Windows 10 : Éducation, Entreprise, Pro v1803-v20H2 (mise à jour avril 2018/Redstone 4 - Mise à jour octobre 2020/20H2)

Remarque : Windows 10 V2004 (mise à jour de mai 2020/20H1) ne prend pas en charge l’architecture 32 bits. Pour plus d’informations, voir https://docs.microsoft.com/windows-hardware/design/minimum/minimum-hardware-requirements-

overview

￭ Windows 10 2016 LTSB ￭ Windows 10 2019 LTSC

○ VMWare Workstation 12.5 et version ultérieure ○ Activation différée comprend la prise en charge de tous les éléments ci-dessus

Encryption External Media

Systèmes d'exploitation

● Le support externe doit disposer d'environ 55 Mo, ainsi que d'un espace libre sur le support égal au plus gros fichier à crypter, pour héberger Encryption External Media.

● Le tableau suivant répertorie les systèmes d’exploitation pris en charge lors de l’accès aux supports protégés par Encryption External Media :

Systèmes d’exploitation Windows pris en charge pour accéder à un support chiffré (32 bits et 64 bits)

○ Windows 7 SP1 : Entreprise, Professionnel, Ultimate

10 Configuration requise

Systèmes d’exploitation Windows pris en charge pour accéder à un support chiffré (32 bits et 64 bits)

○ Windows Embedded Standard 7 avec modèle de compatibilité des applications ○ Windows 8.1 : Enterprise, Pro ○ Windows Embedded 8.1 Industry Enterprise ○ Windows 10 : Éducation, Entreprise, Pro v1803-v20H2 (mise à jour avril 2018/Redstone 4 - Mise à jour octobre 2020/20H2)

overview

￭ Windows 10 2016 LTSB ￭ Windows 10 2019 LTSC

Systèmes d’exploitation Mac pris en charge pour accéder à un support chiffré (noyaux 64 bits)

○ macOS High Sierra 10.13.5 - 10.13.6 ○ macOS Mojave 10.14.0 - 10.14.4 ○ macOS Catalina 10.15.5 - 10.15.6

Chiffrement complet du disque

● Le chiffrement complet du disque exige une activation sur un serveur Dell exécutant v9.8.2 ou une version ultérieure.

● Le chiffrement complet du disque n'est actuellement pas pris en charge dans les ordinateurs hôtes virtualisés.

● Le chiffrement complet du disque des configurations à plusieurs disques n'est pas pris en charge.

● Le chiffrement complet du disque nécessite un module TPM matériel séparé. Les modules PTT et TPM basés sur firmware ne sont pas

pris en charge à l’heure actuelle.

● Les fournisseurs d'informations d'identification tiers ne fonctionneront pas avec les fonctionnalités FDE installées et tous les fournisseurs d'informations d'identification tiers seront désactivés si la PBA est activée.

● L'ordinateur client doit posséder une connectivité réseau ou un code d'accès pour être activé.

● L’ordinateur doit disposer d’une connexion réseau filaire pour permettre aux utilisateurs de carte à puce de se connecter dans l’écran

d’authentification avant démarrage à la première connexion.

● La mise à jour des fonctionnalités du système d'exploitation n'est pas prise en charge avec le chiffrement complet du disque.

● Une connexion filaire est nécessaire pour que la PBA communique avec le serveur Dell.

● Un SED ne peut pas être présent sur l’ordinateur cible.

● Le chiffrement complet de disque utilise les jeux d’instructions de chiffrement d’Intel IPP (Integrated Performance Primitives). Pour

plus d’informations, reportez-vous à l’article de la base de connaissances SLN301500.

● Le chiffrement complet du disque n'est pas pris en charge avec BitLocker ou BitLocker Manager. N'installez pas le chiffrement complet du disque sur un ordinateur sur lequel le BitLocker ou BitLocker Manager est installé.

● Dell recommande le pilote Intel Rapid Storage Technology v15.2.0.0 ou ultérieure avec les disques NVMe.

● Tout disque NVMe utilisé pour la fonction PBA : ○ L’opération SATA du BIOS doit être définie sur RAID ON, car PBA Management de Dell ne prend pas en charge AHCI sur les

disques NVMe.

○ Le mode d’amorçage du BIOS doit être UEFI et les ROM de l’option Hérité doivent être désactivés.

● Tout disque non NVMe utilisé pour la fonction PBA : ○ L’opération SATA du BIOS doit être définie sur AHCI, car PBA Management de Dell ne prend pas en charge RAID avec les disques

non NVMe.

○ RAID ON n’est pas pris en charge, car l’accès à la lecture et l’écriture des données RAID (sur un secteur non disponible sur un

disque non NVMe verrouillé) n’est pas disponible au démarrage et ne peut attendre de lire ces données après la connexion de l’utilisateur.

○ Le système d'exploitation plante lorsqu'il est transféré de RAID ON à AHCI si les disques du contrôleur AHCI ne sont pas

préinstallés. Pour obtenir des instructions sur le passage de RAID à AHCI (ou vice-versa), voir l'article de la base de connaissances

SLN306460.

● La gestion du chiffrement complet de disque ne prend pas en charge les configurations à double démarrage dans la mesure où il est possible de chiffrer les fichiers système de l’autre système d’exploitation, ce qui perturberait son fonctionnement.

Configuration requise

● Les mises à jour des fonctions Direct à partir de Windows 10 v1607 (mise à jour anniversaire/Redstone 1) vers Windows 10 v1903 (mise à jour mai 2019/19H1) ne sont pas prises en charge avec FDE. Dell vous recommande de mettre à jour le système d’exploitation avec une mise à jour des fonctionnalités plus récente en cas de mise à jour vers Windows 10 v1903. Si vous tentez d’effectuer la mise à jour directement de Windows 10 v1607 à v1903, un message d’erreur s’affiche et la mise à jour est impossible.

Conditions préalables

○ Visual C++ 2017 Redistributable Package (x86 ou x64) ou ultérieur

Visual C++ 2017 nécessite Windows Update KB2999226 s’il est installé sous Windows 7.

○ Depuis janvier 2020, les certificats de signature SHA1 ne sont plus valides et ne peuvent pas être renouvelés. Vous devez

●

REMARQUE : Un mot de passe est requis pour l’authentification avant démarrage. Dell recommande d'utiliser des paramètres de

mot de passe au moins conformes aux stratégies de sécurité internes.

REMARQUE :

plusieurs utilisateurs. De plus, tous les utilisateurs doivent disposer de mots de passe. Les utilisateurs ayant un mot de passe de longueur nulle ne pourront plus utiliser l’ordinateur suite à l’activation.

REMARQUE :

Windows 10 v1703 (mise à jour Creators Update/Redstone 2) ou une version ultérieure avant d’effectuer la mise à jour vers Windows 10 v1903 (mise à jour mai 2019/19H1) ou une version ultérieure. Si vous tentez cette stratégie de mise à niveau, un message d’erreur s’affiche.

REMARQUE : Le chiffrement complet du disque doit être configuré avec des algorithmes de chiffrement définis sur AES-256 et le

mode de chiffrement défini sur CBC.

REMARQUE : Les mises à niveau du système d’exploitation sur place vers une version plus récente (telle que Windows 7 ou

Windows 8.1) pour Windows 10 ne sont pas prises en charge.

Lorsque PBA est utilisé, la règle de synchronisation de tous les utilisateurs doit être activée si un ordinateur a

Les ordinateurs protégés par chiffrement complet du disque doivent effectuer la mise à jour vers

Matériel

● Le tableau suivant répertorie en détail le matériel compatible.

Matériel intégré en option

○ TPM 1.2 ou 2.0

Options d'authentification pour les clients avec chiffrement complet du disque

● L'utilisation des cartes à puce et l'authentification sur des ordinateurs UEFI nécessitent du matériel spécifique. La configuration est nécessaire pour utiliser les cartes à puce avec l’authentification avant démarrage. Les tableaux suivants montrent les options d'authentification disponibles par système d'exploitation, lorsque les conditions en terme de configuration et de matériel sont remplies.

Configuration requise

Non UEFI

PBA

Mot de passe Empr. digit. Carte à puce à

Windows 7 SP0-SP1 X

1. Disponible lorsque les pilotes d'authentification sont téléchargés depuis support.dell.com.

UEFI

Windows 10 X

1. Disponible pour les ordinateurs UEFI pris en charge.

PBA - sur les ordinateurs Dell pris en charge

Mot de passe Empr. digit. Carte à puce à

contact

1 2

contact

Carte SIPR

Modèles d'ordinateur Dell pris en charge avec le mode de démarrage UEFI

● Pour consulter la toute dernière liste des plates-formes compatibles avec le chiffrement complet du disque, reportez-vous à cet article de la base de connaissances : SLN296720.

● Pour obtenir la liste des stations d’accueil et des adaptateurs compatibles avec le chiffrement complet du disque, voir l’article de la base de connaissances SLN314695.

Systèmes d'exploitation

● Le tableau suivant décrit les systèmes d'exploitation pris en charge.

Systèmes d'exploitation Windows (64 bits)

○ Windows 7 SP1 : Entreprise, Professionnel, Édition Intégrale (mode de démarrage hérité requis) ○ Windows 10 : Éducation, Entreprise, Pro v1803-v20H2 (mise à jour avril 2018/Redstone 4 - Mise à jour octobre 2020/20H2)

overview

￭ Windows 10 2016 LTSB ￭ Windows 10 2019 LTSC

Encryption sur système d'exploitation serveur

Encryption sur systèmes d’exploitation de serveur est conçu pour une utilisation sur des ordinateurs fonctionnant en mode Serveur, en particulier les serveurs de fichiers.

● Encryption sur systèmes d’exploitation de serveur est compatible uniquement avec Encryption Enterprise et Endpoint Security Suite Enterprise.

● Encryption sur systèmes d’exploitation de serveur fournit :

○ Le chiffrement logiciel est ○ Removable Media Encryption ○ Contrôle de port

REMARQUE :

Configuration requise 13

Le serveur doit prendre en charge les contrôles de port.

Les règles du système de contrôle de port affectent le support amovible des serveurs protégés, en contrôlant par exemple l’accès et l’utilisation des ports USB du serveur par des périphériques USB. La règle du port USB s'applique aux ports USB externes. La fonction du port USB interne n'est pas affectée par la règle du port USB. Si la règle du port USB est désactivée, le clavier et la souris USB du client ne fonctionnent pas et l'utilisateur n'est pas en mesure d'utiliser l'ordinateur à moins que la connexion du bureau à distance soit définie avant l'application de la règle.

Conditions préalables

○ Visual C++ 2012 Redistributable Package (x86 ou x64) Mise à jour 4 ou ultérieure ○ Visual C++ 2017 Redistributable Package (x86 ou x64) ou ultérieur

Visual C++ 2017 nécessite Windows Update KB2999226 s’il est installé sous Windows 7.

○ Depuis janvier 2020, les certificats de signature SHA1 ne sont plus valides et ne peuvent pas être renouvelés. Vous devez

Encryption sur systèmes d’exploitation de serveur peut être utilisé avec :

● les serveurs de fichier sur disque locaux

● les invités de la machine virtuelle (VM) s’exécutant sous un système d’exploitation de serveur ou autre que serveur en tant que simple

serveur de fichiers

● Configurations prises en charge :

○ les serveurs équipés de disques RAID 5 ou 10 ; RAID 0 (agrégation par bande) et RAID 1 (mise en miroir) sont pris en charge

indépendamment l’un de l’autre.

○ les serveurs équipés de lecteurs RAID de plusieurs To ○ les serveurs équipés de lecteurs pouvant être remplacé sans avoir a mettre l'ordinateur hors tension. ○ Le chiffrement du serveur est validé par les principaux fournisseurs d’antivirus du marché. Les exclusions codées en dur sont en

place afin que ces fournisseurs d’antivirus puissent empêcher les incompatibilités entre l’analyse et le chiffrement des antivirus. Si votre entreprise utilise un fournisseur d'antivirus qui n'est pas répertorié, reportez-vous à l'article de base de connaissances

SLN298707 ou contactez Dell ProSupport

Encryption sur systèmes d’exploitation de serveur ne peut pas être utilisé avec :

● Security Management Servers/Security Management Server Virtuals ou les serveurs exécutant des bases de données pour Security Management Servers/Security Management Server Virtual.

● Encryption Personal.

● SED Manager, PBA Advanced Authentication ou BitLocker Manager.

● Les serveurs qui font partie de DFS (distributed file systems).

● La migration vers ou depuis Encryption sur un système d’exploitation de serveur. La mise à niveau depuis External Media Edition

vers Encryption sur systèmes d’exploitation de serveur exige que le produit précédent soit entièrement désinstallé avant l’installation d’Encryption sur systèmes d’exploitation de serveur.

● les hôtes de machine virtuelle (un hôte de machine virtuelle contient généralement plusieurs invités de machine virtuelle.)

● Contrôleurs de domaine.

● Serveurs Exchange

● Serveurs hébergeant des bases de données (SQL, Sybase, SharePoint, Oracle, MySQL, Exchange etc.)

● Serveurs utilisant l'une des technologies suivantes :

○ Systèmes de fichiers résistants ○ Systèmes de fichiers fluides ○ Espace de stockage Microsoft ○ Solutions de stockage réseau SAN/NAS ○ Périphériques connectés iSCSI ○ Logiciel de déduplication ○ Matériel de déduplication

Configuration requise

○ RAID fractionnés (plusieurs volumes sur un RAID unique) ○ Lecteurs SED (RAID et NON RAID) ○ Connexion automatique (Windows 7, 8/8.1) des bornes ○ Microsoft Storage Server 2012

● Encryption sur un système d’exploitation de serveur ne prend pas en charge les configurations à double amorçage, car il est possible de

chiffrer les fichiers système de l’autre système d’exploitation, ce qui perturberait son fonctionnement.

Systèmes d'exploitation

Le tableau suivant décrit les systèmes d'exploitation pris en charge.

Systèmes d'exploitation (32 et 64 bits)

● Windows 7 SP1 : Entreprise, Professionnel, Ultimate

● Windows 8.1 : Enterprise, Pro

● Windows 10 : Éducation, Entreprise, Pro v1803-v20H2 (mise à jour avril 2018/Redstone 4 - Mise à jour octobre 2020/20H2)

overview

○ Windows 10 2016 LTSB ○ Windows 10 2019 LTSC

Systèmes d'exploitation de serveur pris en charge

● Windows Server 2008 R2 SP1 : Édition Standard, Édition Datacenter, Édition Enterprise, Édition Webserver

● Windows Server 2012 : Édition Standard, Édition Essentials, Édition Datacenter (Server Core n'est pas pris en charge)

● Windows Server 2012 R2 : Édition Standard, Édition Essentials, Édition Datacenter (Server Core n'est pas pris en charge)

● Windows Server 2016 : Édition Standard, Édition Essentials, Édition Datacenter (Server Core n'est pas pris en charge)

● Windows Server 2019 - Standard, Datacenter Edition

Systèmes d'exploitation pris en charge avec le mode UEFI

● Windows 8.1 : Enterprise, Pro

● Windows 10 : Éducation, Entreprise, Pro v1803-v20H2 (mise à jour avril 2018/Redstone 4 - Mise à jour octobre 2020/20H2)

overview

○ Windows 10 2016 LTSB ○ Windows 10 2019 LTSC

REMARQUE :

Sur un ordinateur UEFI pris en charge, après que vous sélectionnez Redémarrer dans le menu principal, l'ordinateur redémarre, puis affiche l'un des deux écrans de connexion possibles. L'écran de connexion affiché est déterminé par les différences d'architecture de plateforme de l'ordinateur.

Configuration requise 15

Encryption External Media

Systèmes d'exploitation

● Le support externe doit disposer d'environ 55 Mo, ainsi que d'un espace libre sur le support égal au plus gros fichier à crypter, pour héberger Encryption External Media.

● Le paragraphe suivant décrit les systèmes d’exploitation pris en charge lors de l’accès à des médias protégés par Dell :

Systèmes d’exploitation Windows pris en charge pour accéder à un support chiffré (32 bits et 64 bits)

● Windows 7 SP1 : Entreprise, Professionnel, Ultimate

● Windows 8.1 : Enterprise, Pro

● Windows 10 : Éducation, Entreprise, Pro v1803-v20H2 (mise à jour avril 2018/Redstone 4 - Mise à jour octobre 2020/20H2)

overview

○ Windows 10 2016 LTSB ○ Windows 10 2019 LTSC

Systèmes d'exploitation de serveur pris en charge

● Windows Server 2012 R2

Systèmes d’exploitation Mac pris en charge pour accéder à un support chiffré (noyaux 64 bits)

● macOS High Sierra 10.13.5 - 10.13.6

● macOS Mojave 10.14.0 - 10.14.4

● macOS Catalina 10.15.1 - 10.15.4

SED Manager

● Pour que l’installation de SED Manager réussisse, l’ordinateur doit disposer d’une connexion réseau filaire.

● L’ordinateur doit disposer d’une connexion réseau filaire pour permettre aux utilisateurs de carte à puce de se connecter dans l’écran

d’authentification avant démarrage à la première connexion.

● Les fournisseurs d’informations d’identification tiers ne fonctionneront pas avec SED Manager installé et tous les fournisseurs d’informations d’identification tiers seront désactivés si la PBA est activée.

● IPv6 n'est pas pris en charge.

● SED Manager n'est pas pris en charge avec les configurations à plusieurs disques.

● SED Manager n'est actuellement pas pris en charge dans les ordinateurs hôtes virtualisés.

● Dell Encryption utilise les jeux d’instructions de chiffrement d’Intel IPP (Integrated Performance Primitives). Pour plus d’informations,

reportez-vous à l’article de la base de connaissances SLN301500.

● Après avoir appliqué des règles, préparez-vous à redémarrer l'ordinateur avant de pouvoir les mettre en application.

● Les ordinateurs équipés de disques auto-cryptables ne peuvent pas être utilisés avec des cartes HCA. Il existe des incompatibilités

qui empêchent le provisionnement des accélérateurs HCA. Notez que Dell ne vend pas d'ordinateurs comportant des disques à auto-chiffrement prenant en charge le module HCA. Cette configuration non prise en charge est une configuration après-vente.

● Si l'ordinateur ciblé pour chiffrement est équipé d'un accélérateur d'un lecteur à chiffrement automatique, vérifiez que l'option Active Directory, l'utilisateur doit changer de mot passe lors de la prochaine connexion, est désactivée. L’authentification avant démarrage ne prend pas en charge cette option Active Directory.

● Dell vous déconseille de changer de méthode d'authentification après avoir activé la règle PBA. Si vous devez changer de méthode d'authentification, vous devez :

○ Supprimez tous les utilisateurs de la PBA.

○ Désactivez la PBA, changez de méthode d'authentification, puis ré-activez la PBA.

Configuration requise

REMARQUE :

En raison de la nature du RAID et des SED, SED Manager ne prend pas en charge le RAID. RAID=On avec disques SED présente un problème : le RAID exige un accès au disque pour la lecture et l'écriture des données associées au RAID dans un secteur élevé non disponible sur un SED verrouillé dès le début, et, pour lire ces données, ne peut pas attendre que l'utilisateur se connecte. Pour résoudre le problème, dans le BIOS, définissez l'opération SATA sur AHCI au lieu de RAID=On. Si les pilotes de contrôleur AHCI ne sont pas pré-installés sur le système d'exploitation, ce dernier plante lors du passage de RAID=On à AHCI.

● La configuration des disques à chiffrement automatique pour SED Manager est différente entre les disques NVMe et non NVMe (SATA).

○ Tout disque NVMe utilisé pour la fonction SED :

￭ L’opération SATA du BIOS doit être définie sur RAID ON, car SED Manager ne prend pas en charge AHCI sur les disques

NVMe.

￭ Le mode d’amorçage du BIOS doit être UEFI et les ROM de l’option Hérité doivent être désactivés.

○ Tout disque non NVMe utilisé pour la fonction SED :

￭ L’opération SATA du BIOS doit être définie sur AHCI, car SED Manager ne prend pas en charge RAID avec les disques non

NVMe.

￭ RAID ON n’est pas pris en charge, car l’accès à la lecture et l’écriture des données RAID (sur un secteur non disponible sur un

disque non NVMe verrouillé) n’est pas disponible au démarrage et ne peut attendre de lire ces données après la connexion de l’utilisateur.

￭ Le système d'exploitation plante lorsqu'il est transféré de RAID ON à AHCI si les disques du contrôleur AHCI ne sont

pas préinstallés. Pour obtenir des instructions sur le passage de RAID à AHCI (ou vice-versa), voir l'article de la base de connaissances SLN306460.

Les lecteurs SED compatibles OPAL pris en charge exigent les pilotes Intel Rapid Storage Technology mis à jour, disponibles à l’adresse

www.dell.com/support. Dell recommande Intel Rapid Storage Technology Driver version 15.2.0.0 ou ultérieure avec les disques NVMe.

REMARQUE :

système en suivant le lien ci-dessus, en fonction du modèle de votre ordinateur.

Conditions préalables

○ Visual C++ 2017 Redistributable Package (x86 ou x64) ou ultérieur

Visual C++ 2017 nécessite Windows Update KB2999226 s’il est installé sous Windows 7.

○ Depuis janvier 2020, les certificats de signature SHA1 ne sont plus valides et ne peuvent pas être renouvelés. Vous devez

● SED Manager n’est pas prise en charge avec Encryption sur des systèmes d’exploitation de serveur .

●

REMARQUE :

mot de passe au moins conformes aux stratégies de sécurité internes.

REMARQUE :

Creators Update/Redstone 2) ou une version ultérieure avant d’effectuer la mise à jour vers Windows 10 v1903 (mise à jour mai 2019/19H1) ou une version ultérieure. Si vous tentez cette stratégie de mise à niveau, un message d’erreur s’affiche.

REMARQUE :

Windows 8.1) pour Windows 10 ne sont pas prises en charge.

Les pilotes Intel Rapid Storage Technology dépendent de la plate-forme. Vous pouvez obtenir le pilote de votre

Un mot de passe est requis pour l’authentification avant démarrage. Dell recommande d'utiliser des paramètres de

Lorsque PBA est utilisé, la règle de synchronisation de tous les utilisateurs doit être activée si un ordinateur a

Les ordinateurs protégés par SED Manager doivent effectuer la mise à jour vers Windows 10 v1703 (mise à jour

Les mises à niveau du système d’exploitation sur place vers une version plus récente (telle que Windows 7 ou

Configuration requise 17

Matériel

Lecteurs SED compatibles Opal

● Pour consulter la toute dernière liste de SED compatibles Opal pris en charge avec SED Manager, reportez-vous à cet article de la base de connaissances SLN296720.

● Pour consulter la toute dernière liste des plates-formes compatibles avec SED Manager, voir l’article de la base de connaissances :

SLN296720.

● Pour obtenir la liste des stations d’accueil et des adaptateurs compatibles avec SED Manager, voir l’article de la base de connaissances : SLN314695.

Options d’authentification avant démarrage avec SED Manager

● L’utilisation des cartes à puce et l’authentification sur des ordinateurs UEFI nécessitent du matériel spécifique. La configuration est nécessaire pour utiliser les cartes à puce avec l’authentification avant démarrage. Les tableaux suivants montrent les options d'authentification disponibles par système d'exploitation, lorsque les conditions en terme de configuration et de matériel sont remplies.

Non UEFI

PBA

Mot de passe Empr. digit. Carte à puce à

contact

Windows 7 SP0-SP1 X

Windows 8.1 X

Windows 10 X

1 2

1. Disponible lorsque les pilotes d’authentification sont téléchargés depuis dell.com/support

2. Disponible avec un SED Opal pris en charge

UEFI

PBA - sur les ordinateurs Dell pris en charge

Mot de passe Empr. digit. Carte à puce à

contact

Windows 7

Windows 8.1 X

Windows 10 X

1. Disponible avec un SED OPAL pris en charge sur les ordinateurs UEFI pris en charge

Carte SIPR

Claviers internationaux

Le tableau suivant répertorie les claviers internationaux pris en charge avec l’authentification avant démarrage sur les ordinateurs avec ou sans UEFI.

Clavier international pris en charge - UEFI

DE-FR - Suisse (français) EN-GB - Anglais (anglais britannique)

DE-CH - Suisse (allemand) EN-CA - Anglais (anglais canadien)

18 Configuration requise

Clavier international pris en charge - UEFI

EN-US - Anglais (anglais américain)

Clavier International prise en charge : Non-UEFI

AR - Arabe (avec lettres latines) EN-US - Anglais (anglais américain)

DE-FR - Suisse (français) EN-GB - Anglais (anglais britannique)

DE-CH - Suisse (allemand) EN-CA - Anglais (anglais canadien)

Systèmes d'exploitation

● Le tableau suivant décrit les systèmes d'exploitation pris en charge.

Systèmes d'exploitation Windows (32 bits et 64 bits)

○ Windows 7 SP0-SP1 : Entreprise, Professionnel, Édition Intégrale (pris en charge pour le mode de démarrage hérité, mais pas

pour UEFI)

REMARQUE :

Les disques à chiffrement automatique NVMe ne sont pas pris en charge avec Windows 7.

○ Windows 8.1 : Enterprise, Pro ○ Windows 10 : Éducation, Entreprise, Pro v1803-v20H2 (mise à jour avril 2018/Redstone 4 - Mise à jour octobre 2020/20H2)

overview

￭ Windows 10 2016 LTSB ￭ Windows 10 2019 LTSC

Localisation

SED Manager est compatible avec l’interface utilisateur multilingue et est localisée dans les langues suivantes. Le mode UEFI et PBA Advanced Authentication sont pris en charge dans les langues suivantes :

Langues prises en charge

EN : anglais JA : japonais

FR : français KO : coréen

IT : italien PT-BR : portugais brésilien

DE : allemand PT-PT : portugais du Portugal (ibère)

ES : espagnol

BitLocker Manager

● Envisagez de revoir la Configuration requise de Microsoft BitLocker si BitLocker n'est pas encore déployé dans votre environnement,

● Assurez-vous que la partition d'authentification avant démarrage est déjà configurée. Si vous installez BitLocker Manager avant de

configurer la partition PBA, vous ne pourrez pas activer BitLocker et BitLocker Manager ne sera pas opérationnel. Voir Configuration

préalable à l'installation d'une partition d'authentification avant démarrage BitLocker.

● Un Dell Server est nécessaire pour utiliser BitLocker Manager.

Configuration requise

● Assurez-vous qu'un certificat de signature est disponible dans la base de données. Pour plus d’informations, reportez-vous à l’article de la base de connaissances SLN307028.

● Le clavier, la souris et les composants vidéo doivent être directement connectés à l'ordinateur. N'utilisez pas de commutateur KVM pour gérer les périphériques, car il risquerait de réduire la capacité de l'ordinateur à identifier le matériel.

● Lancez le TPM et activez-le. Le gestionnaire BitLocker Manager s'approprie le TPM sans nécessiter de redémarrage. Toutefois, si le TPM est déjà propriétaire, BitLocker Manager lance le processus de configuration du chiffrement (aucun redémarrage n'est nécessaire). Ce qui compte, c'est que le TPM soit propriétaire et activé.

● BitLocker Manager utilise les algorithmes validés AES FIPS si le mode FIPS est activé pour le paramètre de sécurité GPO « cryptographie système : utiliser les algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature » sur le périphérique et si vous gérez ce périphérique avec notre produit. BitLocker Manager ne force pas ce mode en tant que mode par défaut pour les clients cryptés par BitLocker, car Microsoft suggère désormais à ses clients de ne pas utiliser leur chiffrement validé par FIPS en raison de nombreux problèmes de compatibilité des applications, de récupération et de chiffrement des supports : http://blogs.technet.com.

● BitLocker Manager n’est pas pris en charge avec Encryption sur des systèmes d’exploitation de serveur ou .

● Lorsque vous utilisez une connexion de bureau à distance avec un point de terminaison exploitant BitLocker Manager, Dell

recommande d'exécuter toutes les sessions de bureau à distance en mode console afin d'éviter tout problème d'interaction dans l'interface utilisateur avec la session utilisateur existante via la commande suivante :

mstsc /admin /v:<target_ip_address>

Conditions préalables

○ Visual C++ 2017 Redistributable Package (x86 ou x64) ou ultérieur

Visual C++ 2017 nécessite Windows Update KB2999226 s’il est installé sous Windows 7.

○ Depuis janvier 2020, les certificats de signature SHA1 ne sont plus valides et ne peuvent pas être renouvelés. Vous devez

●

REMARQUE :

jour Creators Update/Redstone 2) ou une version ultérieure avant d’effectuer la mise à jour vers Windows 10 v1903 (mise à jour mai 2019/19H1) ou une version ultérieure. Si vous tentez cette stratégie de mise à niveau, un message d’erreur s’affiche.

REMARQUE :

Windows 8.1) pour Windows 10 ne sont pas prises en charge.

Les ordinateurs protégés par Bitlocker Manager doivent effectuer la mise à jour vers Windows 10 v1703 (mise à

Les mises à niveau du système d’exploitation sur place vers une version plus récente (telle que Windows 7 ou

Matériel

● Le tableau suivant répertorie en détail le matériel compatible.

Matériel intégré en option

○ TPM 1.2 ou 2.0

Systèmes d'exploitation

● Le tableau suivant décrit les systèmes d'exploitation pris en charge.

Systèmes d'exploitation Windows

○ Windows 7 SP0-SP1 : Enterprise, Ultimate (32 et 64 bits)

REMARQUE : BitLocker Manager ne prend pas en charge les modules TPM 2.0 sur les périphériques Windows 7. Les

périphériques sur lesquels BitLocker Manager est installé sur Windows 7 peuvent ne pas avoir l’article de la base de

20 Configuration requise

Systèmes d'exploitation Windows

connaissances KB3133977 ou KB3125574 installé. Pour résoudre les problèmes liés à BitLocker Manager sur Windows 7, assurez-vous que ces articles de la base de connaissances ne sont pas installés.

○ Windows 8.1 : Enterprise Edition, Pro Edition (64 bits) ○ Windows 10 : Éducation, Entreprise, Pro v1803-v20H2 (mise à jour avril 2018/Redstone 4 - Mise à jour octobre 2020/20H2)

overview

￭ Windows 10 2016 LTSB ￭ Windows 10 2019 LTSC

○ Windows Server 2008 R2 : Standard Edition, Enterprise Edition (64 bits) ○ Windows Server 2012 R2 : Standard Edition, Enterprise Edition (64 bits) ○ Windows Server 2016 : Standard Edition, Datacenter Edition (64 bits) ○ Windows Server 2019 : Standard Edition, Datacenter Edition (64 bits)

Les mises à jour Windows KB3133977 et KB3125574 ne doivent pas être installées en cas d'installation de BitLocker Manager sous Windows 7.

Configuration requise 21

Paramètres de registre

● Cette section décrit en détail tous les paramètres du registre approuvé Dell ProSupport des ordinateurs clients locaux, quel que soit le motif des paramètres de registre. Si un paramètre de registre chevauche deux produits, il est répertorié dans chaque catégorie.

● Ces modifications de registre doivent être effectuées par les administrateurs uniquement et peuvent ne pas être appropriées ou fonctionner dans tous les cas de figure.

Chiffrement

● Si un certificat auto-signé est utilisé sur Dell Server. Pour Windows, la validation d’approbation de certificat doit rester inactive sur l’ordinateur client (la validation d’approbation est désactivée par défaut avec le Dell Server). Les conditions suivantes doivent être remplies avant l'activation de la validation d'approbation sur l'ordinateur client :

○ Un certificat signé par une autorité racine comme EnTrust ou Verisign, doit être importé dans Dell Server. ○ La chaîne d'approbation complète du certificat doit être stockée dans le magasin de clés Microsoft de l'ordinateur client. ○ Pour activer la validation d’approbation pour Encryption, définissez la valeur d’entrée de registre suivante sur 0 sur l’ordinateur

cible.

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]

"IgnoreCertErrors"=DWORD:00000000

0 = Échec si une erreur de certificat est rencontrée

1= Ignorer les erreurs

● Pour créer un fichier journal Encryption Removal Agent, créez l’entrée de registre suivante sur l’ordinateur ciblé pour le déchiffrement. Voir Créer un fichier journal Encryption Removal Agent (facultatif).

[HKLM\Software\Credant\DecryptionAgent].

"LogVerbosity"=DWORD:2

0: aucune journalisation

1 : consigne les erreurs bloquant l'exécution du service

2 : consigne les erreurs qui bloquent le déchiffrement complet des données (niveau recommandé)

3 : consigne des informations sur tous les volumes et fichiers à décrypter

5 : consigne des informations de débogage

● Pour que l’utilisateur ne soit pas invité à redémarrer son ordinateur lorsqu’Encryption Removal Agent atteint son état final dans le processus de déchiffrement, modifiez la valeur de registre suivante ou modifiez la règle Forcer le redémarrage lors de la mise à jour dans la console de gestion.

[HKLM\Software\Dell\Dell Data Protection]

"ShowDecryptAgentRebootPrompt"=DWORD

1 = activé (affiche l’invite)

0 = désactivé (masque l’invite)

● Par défaut, l'icône de zone de notification s'affiche au cours de l'installation. Utilisez le paramètre de registre suivant pour masquer l'icône de zone de notification pour tous les utilisateurs gérés sur un ordinateur après l'installation d'origine. Créez ou modifiez le paramètre de répertoire :

[HKLM\Software\CREDANT\CMGShield]

"HIDESYSTRAYICON"=DWORD:1

● Par défaut, tous les fichiers temporaires qui figurent dans le répertoire c:\windows\temp sont automatiquement supprimés au cours de l'installation. La suppression des fichiers temporaires accélère le chiffrement initial et se produit avant le balayage de chiffrement initial.

22 Paramètres de registre

Cependant, si votre organisation utilise une application tierce qui nécessite de conserver la structure de fichiers dans le répertoire \temp, empêchez cette suppression.

Pour désactiver la suppression des fichiers temporaires, créez ou modifiez le paramètre de registre de la façon suivante :

[HKLM\SOFTWARE\CREDANT\CMGShield]

"DeleteTempFiles"=REG_DWORD:0

Ne pas supprimer les fichiers temporaires augmente le temps de chiffrement initial.

● Encryption affiche la durée de chaque invite de délai de mise à jour de règle pendant cinq minutes à chaque fois. Si l'utilisateur ne répond pas à l'invite, le report suivant démarre. La dernière invite de report contient un compte à rebours et une barre d'avancement, et elle s'affiche jusqu'à ce que l'utilisateur réponde ou que le dernier report expire et que la déconnexion/le redémarrage ait lieu.

Vous pouvez modifier le comportement de l’invite utilisateur pour commencer le chiffrement ou le reporter pour empêcher le traitement du chiffrement si l’utilisateur ne répond pas à l’invite. Pour ce faire, définissez la valeur suivante :

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]

"SnoozeBeforeSweep"=DWORD:1

Une valeur différente de zéro remplace le comportement par défaut par une alerte (snooze). Sans interaction de l’utilisateur, le traitement du chiffrement est reporté pendant le nombre définissable de reports autorisés. Le traitement de chiffrement démarre au bout du délai final.

Calculez le nombre de reports maximum possible comme suit (un nombre maximum de reports implique que l'utilisateur ne répond jamais à l'invite de report qui s'affiche chaque fois pendant 5 minutes) :

(Nombre de reports de mise à jour de règle autorisés x Durée de chaque report de mise à jour de règle) + (5 minutes x [Nombre de reports de mise à jour de règle autorisés - 1])

● Utilisez le paramètre de registre pour faire interroger le Dell Server par Encryption à la recherche d’une mise à jour forcée de règle. Créez ou modifiez le paramètre de répertoire :

[HKLM\SOFTWARE\Credant\CMGShield\Notify]

"PingProxy"=DWORD value:1

Le paramètre de registre disparaît automatiquement une fois la tâche terminée.

● Utilisez les paramètres de registre pour autoriser Encryption à envoyer un inventaire optimisé, complet (utilisateurs activés et désactivés) ou complet (utilisateurs activés uniquement) au Dell Server.

○ Envoyez un inventaire optimisé au Dell Server :

Créez ou modifiez le paramètre de répertoire :

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]

"OnlySendInvChanges"=REG_DWORD:1

En l'absence d'une entrée, l'inventaire optimisé est envoyé au Dell Server.

○ Envoyez un inventaire complet au Dell Server :

Créez ou modifiez le paramètre de répertoire :

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]

"OnlySendInvChanges"=REG_DWORD:0

En l'absence d'une entrée, l'inventaire optimisé est envoyé au Dell Server.

○ Envoyer l'inventaire complet de tous les utilisateurs activés

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]

"RefreshInventory"=REG_DWORD:1

Cette entrée est supprimée du registre dès qu'elle est traitée. Comme la valeur est enregistrée dans le coffre, même si l’ordinateur est redémarré avant le chargement de l’inventaire, Encryption répond à cette demande lors du prochain téléchargement réussi de l’inventaire.

Cette entrée a précédence sur la valeur de registre OnlySendInvChanges.

● L'activation par laps de temps est une fonction qui vous permet de répartir les activations des clients sur une période de temps donnée afin d'alléger la charge de Dell Server au cours d'un déploiement en masse. Les activations sont retardées selon les laps de temps générés pour fournir une distribution sans heurt des temps d'activation.

Paramètres de registre

Dans le cas des utilisateurs exigeant une activation par l'intermédiaire d'un VPN, une configuration d'activation du client par laps de temps peut être requise, afin de retarder l'activation initiale assez longtemps pour réserver du temps nécessaire au client VPN pour établir une connexion réseau.

Pour que les mises à jour de ces entrées de registre entrent en vigueur, l'ordinateur doit être redémarré.

○ Activation par laps de temps

Pour activer ou désactiver cette fonction, créez un DWORD avec le nom SlottedActivation sous la clé parent suivante :

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\]

○ Laps de temps d'activation

Pour activer ou désactiver cette fonction, créez une sous-clé avec le nom ActivationSlot sous la clé parent suivante :

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\]

Laps de temps d’activation : chaîne qui définit la période pendant laquelle Encryption tente de s’activer avec le Dell Server. Ces valeurs sont définies en secondes et la syntaxe est définie par <lowervalue>,<uppervalue>. Par exemple : 120,300. Encryption tente de s’activer après une période aléatoire allant de 2 à 5 minutes après la connexion de l’utilisateur.

￭ Répéter le calendrier

Pour activer ou désactiver cette fonction, créez une sous-clé avec le nom CalRepeat sous la clé parent suivante :

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot]

CalRepeat : DWORD qui définit la période de temps en secondes au bout de laquelle un intervalle de laps d'activation se produit. Utilisez ce paramètre pour remplacer la période de temps en secondes au bout de laquelle un intervalle de laps d'activation se produit. 25 200 secondes sont disponibles pour les activations de laps de temps au cours d'une période de sept heures. Le paramètre par défaut est de 86 400 secondes, ce qui représente une répétition quotidienne. La valeur décimale suggérée est de 600, soit 10 minutes.

￭ Intervalle de laps de temps

Pour activer ou désactiver cette fonction, créez une sous-clé avec le nom SlotInterval sous la clé parent suivante :

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot]

Intervalle de laps de temps : chaîne qui définit les intervalles entre les laps de temps d'activation. Le paramètre suggéré est 45,120. Ce paramètre correspond à la période d'activation attribuée de manière aléatoire entre 45 et 120 secondes.

￭ Seuil manqué

Pour activer ou désactiver cette fonction, créez une sous-clé avec le nom MissThreshold sous la clé parent suivante :

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot]

Seuil manqué : valeur DWORD qui contient un nombre entier positif définissant le nombre de tentatives d'activation avant la déconnexion. Si le seuil manqué est atteint, les tentatives d'activation de l'utilisateur inactif sont interrompues jusqu'à la prochaine connexion. La valeur du seuil manqué est toujours réinitialisée à la déconnexion.

Les clés de registre suivantes collectent les données utilisateur pour l’activation par laps de temps :

[HKCU/Software/CREDANT/ActivationSlot] (données par utilisateur)

Délai attribué pour une tentative d'activation par laps de temps. Ce délai est défini lorsque l'utilisateur se connecte au réseau pour la première fois après l'activation de l'activation par laps de temps. Le laps de temps d'activation est recalculé pour chaque tentative d'activation.

[HKCU/Software/CREDANT/SlotAttemptCount] (données par utilisateur)

Nombre de tentatives qui ont échoué ou ont été manquées, à l'occurrence d'un laps de temps et lorsqu'une tentative d'activation est effectuée mais échoue. Lorsque ce nombre atteint la valeur définie dans ACTIVATION_SLOT_MISSTHRESHOLD, l'ordinateur tente une activation immédiate au moment de sa connexion au réseau.

● Pour détecter les utilisateurs non gérés sur l'ordinateur client, définissez la valeur de registre sur l'ordinateur client :

[HKLM\SOFTWARE\Credant\CMGShield\ManagedUsers\]

"UnmanagedUserDetected"=DWORD value:1

Détecter les utilisateurs non gérés sur cet ordinateur=1

Ne pas détecter les utilisateurs non gérés sur cet ordinateur=0

● L’accès aux supports externes cryptés avec Encryption External Media peut être limité aux ordinateurs ayant accès au Dell Server qui a généré les clés de chiffrement avec lesquelles le support a été crypté.

Paramètres de registre

Cette fonction est activée en définissant le registre suivant :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]

"EnterpriseUsage"=DWORD:0

Off (default)=0

File Access Restricted to Enterprise=1

Si vous changez cette valeur après avoir crypté les fichiers sur le support externe, les fichiers sont cryptés de nouveau en fonction de la valeur de la clé de registre lorsque le support est connecté à l'ordinateur sur lequel le paramètre de registre a été mis à jour.

● Pour la réactivation automatique silencieuse dans les rares cas où un utilisateur est désactivé, la valeur de registre suivante doit être définie sur l'ordinateur client.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CMGShield]

"AutoReactivation"=DWORD:00000001

0 = Désactivé (valeur par défaut)

1 = Activé

● Le chiffrement de données système (SDE) est appliqué en fonction de la valeur de la règle « Règles du chiffrement SDE ». Les répertoires supplémentaires sont protégés par défaut lorsque la règle « Activer le chiffrement SDE » est sélectionnée. Pour plus d'informations, rechercher « Règles du chiffrement SDE » dans AdminHelp. Lorsque Encryption est en train de traiter une mise à jour de règle qui contient une règle SDE active, le répertoire du profil de l’utilisateur actuel est chiffré par défaut avec la clé SDUser (une clé utilisateur) plutôt qu’avec la clé SDE (une clé de périphérique). La clé SDUser est également utilisée pour crypter les fichiers ou les dossiers qui sont copiés (non déplacé) dans un répertoire utilisateur qui n'est pas un crypté avec SDE.

Pour désactiver la clé SDUser et utiliser la clé SDE pour crypter ces répertoires utilisateurs, créez le registre suivant sur l'ordinateur :

[HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield]

"EnableSDUserKeyUsage"=DWORD:00000000

Si cette clé de registre est absente ou est définie sur autre chose que 0, la clé SDUser sera utilisée pour crypter ces répertoires utilisateurs.

Pour plus d'informations sur la clé SDUser, consultez l'article de la base de connaissances SLN304916

● Définition de l'entrée de registre, EnableNGMetadata, si des problèmes se produisent en lien avec les mises à jour Microsoft sur des ordinateurs comportant des données chiffrées par clé commune ou en lien avec le chiffrement, le déchiffrement ou la décompression d'un grand nombre de fichiers au sein d'un même dossier.

Définissez l'entrée de registre EnableNGMetadata dans l'emplacement suivant :

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CmgShieldFFE]

"EnableNGMetadata" = dword:1

0 = Désactivé (valeur par défaut)

1 = Activé

● La fonction d'activation hors domaine peut être activée en demandant les instructions à Dell ProSupport.

● Encryption Management Agent ne génère plus de stratégies par défaut. Pour générer de futures stratégies consommées, créez la clé

de registre suivante :

HKLM\Software\Dell\Dell Data Protection\

"DumpPolicies" = DWORD

Value=1

Remarque : les journaux sont écrits sur C:\ProgramData\Dell\Dell Data Protection\Policy.

● Pour désactiver ou activer l’option Encrypt for Sharing dans le menu contextuel (clic droit), utilisez la clé de registre suivante.

HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection\Encryption

"DisplaySharing"=DWORD

0 = désactiver l’option Encrypt for Sharing dans le menu contextuel (clic droit)

1 = activer l’option Encrypt for Sharing dans le menu contextuel (clic droit)

Paramètres de registre

SED Manager

● Pour définir l’intervalle entre les tentatives lorsque le Dell Server n’est pas en mesure de communiquer avec SED Manager, ajoutez la valeur de registre suivante.

[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]

"CommErrorSleepSecs"=DWORD:300

Cette valeur correspond au nombre de secondes pendant lesquelles SED Manager tente de contacter le Dell Server si celui-ci est indisponible pour communiquer. La valeur par défaut est de 300 secondes (5 minutes).

● Si un certificat auto-signé est utilisé sur le Dell Server pour SED Manager, la validation d’approbation SSL/TLS doit rester désactivée sur l’ordinateur client (la validation d’approbation SSL/TLS est désactivée par défaut avec SED Manager). Avant l'activation de la validation d'approbation SSL/TLS sur l'ordinateur client, les conditions suivantes doivent être remplies :

○ Un certificat signé par une autorité racine comme EnTrust ou Verisign, doit être importé dans Dell Server. ○ La chaîne d'approbation complète du certificat doit être stockée dans le magasin de clés Microsoft de l'ordinateur client. ○ Pour activer la validation d’approbation SSL/TLS pour SED Manager, modifiez la valeur d’entrée de registre suivante sur 0 sur

l’ordinateur client :

[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]

"DisableSSLCertTrust"=DWORD:0

0 = Activé

1 = Désactivé

● Pour déterminer si l'authentification avant démarrage est activée, assurez-vous que la valeur suivante est définie :

[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]

"PBAIsActivated"=DWORD (32-bit):1

La valeur 1 signifie que l'authentification avant démarrage est activée. La valeur 0 signifie que l'authentification avant démarrage n'est pas activée.

● Pour déterminer si une carte à puce est présente et active, vérifiez que la valeur suivante est définie :

HKLM\SOFTWARE\Dell\Dell Data Protection\

"SmartcardEnabled"=DWORD:1

Si le paramètre SmartcardEnabled est manquant ou si sa valeur est égale à zéro, le fournisseur d'informations d'identification affiche uniquement le mot de passe pour l'authentification.

Si SmartcardEnabled a une valeur différente de zéro, le fournisseur d'informations d'identification affiche les options d'authentification par mot de passe et par carte à puce.

● La valeur de registre suivante indique si Winlogon doit générer une notification pour les événements de connexion par carte à puce.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

"SmartCardLogonNotify"=DWORD:1

0 = Désactivé

1 = Activé

● Pour empêcher SED Manager de désactiver les fournisseurs d’informations d’identification tiers, créez la clé de registre suivante :

HKLM\SOFTWARE\Dell\Dell Data Protection\

"AllowOtherCredProviders" = DWORD:1

0 = Désactivé (valeur par défaut)

1 = Activé

Remarque : cette valeur peut empêcher le fournisseur d’informations d’identification Dell de synchroniser correctement les informations d’identification à la suite de la désactivation des fournisseurs d’informations d’identification tiers. Assurez-vous que les appareils qui utilisent cette clé de registre peuvent communiquer correctement avec le serveur Dell.

● Pour définir l’intervalle selon lequel SED Manager tente de contacter le Dell Server lorsqu’il ne peut pas communiquer, définissez la valeur suivante sur l’ordinateur cible :

[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]

Paramètres de registre

"CommErrorSleepSecs"=DWORD Value:300

● L'hôte Security Server peut être modifié pour qu'il soit différent de l'emplacement d'installation d'origine, au besoin. Les informations de l’hôte sont lues chaque fois qu’une interrogation de règles se produit. Modifiez la valeur de registre suivante sur l'ordinateur client :

HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent

"ServerHost"=REG_SZ:<newname>.<organization>.com

● Le port du Security Server peut être modifié pour qu'il soit différent de l'emplacement d'installation d'origine, le cas échéant. Cette valeur est lue chaque fois qu’une interrogation de règles se produit. Modifiez la valeur de registre suivante sur l'ordinateur client :

HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent

ServerPort=REG_SZ:8888

● L'URL du Security Server peut être modifiée pour qu'elle soit différente de l'emplacement d'installation d'origine, le cas échéant. Cette valeur est lue par l'ordinateur client à chaque fois qu'une interrogation de règles se produit. Modifiez la valeur de registre suivante sur l'ordinateur client :

HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent

"ServerUrl"=REG_SZ:https://<newname>.<organization>.com:8888/agent

● (Avec l’authentification avant démarrage uniquement) Si vous ne souhaitez pas que PBA Advanced Authentication modifie les services associés aux cartes à puce et dispositifs biométriques selon un type de démarrage « automatique », désactivez la fonction de démarrage du service. La désactivation de cette fonction supprime également les avertissements associés aux services requis non exécutés.

En cas de désactivation, PBA Advanced Authentication ne tente pas de démarrer ces services :

○ SCardSvr : gère l'accès aux cartes à puce lues par l'ordinateur. Si ce service est arrêté, cet ordinateur ne peut pas lire les cartes à

puce. Si ce service est désactivé, tout service qui en dépend explicitement ne peut pas démarrer.

○ SCPolicySvc : permet de configurer le système de sorte à verrouiller le bureau de l'utilisateur sur retrait d'une carte à puce. ○ WbioSrvc : le service de biométrie Windows donne aux applications client la possibilité de capturer, comparer, manipuler et stocker

des données biométriques sans accéder directement à n'importe quel matériel ou application d'évaluation biométrique. Ce service est hébergé au sein d'un processus SVCHOST privilégié.

Par défaut, si la clé de registre n'existe pas ou si la valeur est définie sur 0, cette fonction est activée.

[HKLM\SOFTWARE\DELL\Dell Data Protection]

SmartCardServiceCheck=REG_DWORD:0

0 = Activé

1 = Désactivé

● Pour utiliser des cartes à puce avec l’authentification PBA SED, vous devez définir la valeur de registre suivante sur l’ordinateur client équipé d’un SED.

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]

"MSSmartcardSupport"=DWORD:1

Définissez la règle Méthode d'authentification sur Carte à puce dans la console de gestion, puis validez la modification.

● Pour supprimer toutes les notifications Toaster de Encryption Management Agent, la valeur de registre suivante doit être définie sur l'ordinateur client.

[HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection]

"PbaToastersAllowClose" =DWORD:1

0 = Activé (par défaut)

1 = Désactivé

Chiffrement complet du disque

● Cette section décrit en détail tous les paramètres du registre approuvé Dell ProSupport des ordinateurs locaux, quel que soit le motif des paramètres de registre. Si un paramètre de registre chevauche deux produits, il est répertorié dans chaque catégorie.

Paramètres de registre

● Ces modifications de registre doivent être effectuées par les administrateurs uniquement et peuvent ne pas être appropriées ou fonctionner dans tous les cas de figure.

● Pour définir l’intervalle entre les tentatives lorsque le Dell Server n’est pas en mesure de communiquer avec le chiffrement complet du disque, ajoutez la valeur de registre suivante.

[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]

"CommErrorSleepSecs"=DWORD:300

Cette valeur correspond au nombre de secondes pendant lesquelles le chiffrement complet du disque tente de contacter le Dell Server si celui-ci est indisponible pour communiquer avec le chiffrement complet du disque. La valeur par défaut est de 300 secondes (5 minutes).

Si un certificat auto-signé est utilisé sur le Dell Server pour le chiffrement complet du disque, la validation d’approbation SSL/TLS doit

●

rester désactivée sur l’ordinateur client (la validation d’approbation SSL/TLS est désactivée par défaut avec le chiffrement complet du disque). Avant l'activation de la validation d'approbation SSL/TLS sur l'ordinateur client, les conditions suivantes doivent être remplies :

○ Un certificat signé par une autorité racine comme EnTrust ou Verisign, doit être importé dans Dell Server. ○ La chaîne d'approbation complète du certificat doit être stockée dans le magasin de clés Microsoft de l'ordinateur client. ○ Pour activer la validation d'approbation SSL/TLS pour Dell Encryption Management, remplacez la valeur d'entrée de registre

suivante par 0 sur l'ordinateur client.

[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]

"DisableSSLCertTrust"=DWORD:0

0 = Activé

1 = Désactivé

● Pour déterminer si l'authentification avant démarrage est activée, assurez-vous que la valeur suivante est définie :

[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]

"PBAIsActivated"=DWORD (32-bit):1

La valeur 1 signifie que l'authentification avant démarrage est activée. La valeur 0 signifie que l'authentification avant démarrage n'est pas activée.

REMARQUE :

synchronisant avec la PBA entraînant un besoin de récupération manuelle.

● Pour déterminer si une carte à puce est présente et active, vérifiez que la valeur suivante est définie :

HKLM\SOFTWARE\Dell\Dell Data Protection\

"SmartcardEnabled"=DWORD:1

Si le paramètre SmartcardEnabled est manquant ou si sa valeur est égale à zéro, le fournisseur d'informations d'identification affiche uniquement le mot de passe pour l'authentification.

Si SmartcardEnabled a une valeur différente de zéro, le fournisseur d'informations d'identification affiche les options d'authentification par mot de passe et par carte à puce.

● La valeur de registre suivante indique si Winlogon doit générer une notification pour les événements de connexion par carte à puce.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

"SmartCardLogonNotify"=DWORD:1

0 = Désactivé

1 = Activé

● L'hôte Security Server peut être modifié pour qu'il soit différent de l'emplacement d'installation d'origine, au besoin. Les informations de l'hôte sont lues par l'ordinateur client à chaque fois qu'une interrogation de règles se produit. Modifiez la valeur de registre suivante sur l'ordinateur client :

HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent

"ServerHost"=REG_SZ:<newname>.<organization>.com

Supprimer manuellement cette clé peut donner lieu à des résultats indésirables pour les utilisateurs se

● Le port du Security Server peut être modifié pour qu'il soit différent de l'emplacement d'installation d'origine, le cas échéant. Cette valeur est lue par l'ordinateur client à chaque fois qu'une interrogation de règles se produit. Modifiez la valeur de registre suivante sur l'ordinateur client :

HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent

Paramètres de registre

ServerPort=REG_SZ:8888

En cas de désactivation, PBA Advanced Authentication ne tente pas de démarrer ces services :

○ SCardSvr : gère l'accès aux cartes à puce lues par l'ordinateur. Si ce service est arrêté, cet ordinateur ne peut pas lire les cartes à

puce. Si ce service est désactivé, tout service qui en dépend explicitement ne peut pas démarrer.

des données biométriques sans accéder directement à n'importe quel matériel ou application d'évaluation biométrique. Ce service est hébergé au sein d'un processus SVCHOST privilégié.

Par défaut, si la clé de registre n'existe pas ou si la valeur est définie sur 0, cette fonction est activée.

[HKLM\SOFTWARE\DELL\Dell Data Protection]

SmartCardServiceCheck=REG_DWORD:0

0 = Activé

1 = Désactivé

● Pour empêcher le chiffrement complet du disque de désactiver les fournisseurs d’informations d’identification tiers, créez la clé de registre suivante :

HKLM\SOFTWARE\Dell\Dell Data Protection\

"AllowOtherCredProviders" = DWORD:1

0 = Désactivé (valeur par défaut)

1 = Activé

● Pour supprimer toutes les notifications Toaster de Encryption Management Agent, la valeur de registre suivante doit être définie sur l'ordinateur client.

[HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection]

"PbaToastersAllowClose" =DWORD:1

0 = Activé (par défaut)

1 = Désactivé

● Afin de permettre l’installation du chiffrement complet du disque avec le chiffrement basé sur les règles, la valeur de registre suivante doit être définie sur l’ordinateur client.

[HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection]

"EnableFDE" = DWORD: 1

0 = Désactivé (valeur par défaut)

1 = Activé

BitLocker Manager

● Si un certificat auto-signé est utilisé sur le Dell Server pour BitLocker Manager, la validation d'approbation SSL/TLS doit rester désactivée sur l'ordinateur client (la validation d'approbation SSL/TLS est désactivée par défaut avec BitLocker Manager). Avant l'activation de la validation d'approbation SSL/TLS sur l'ordinateur client, les conditions suivantes doivent être remplies :

○ Un certificat signé par une autorité racine comme EnTrust ou Verisign, doit être importé dans Dell Server. ○ La chaîne d'approbation complète du certificat doit être stockée dans le magasin de clés Microsoft de l'ordinateur client. ○ Pour activer la validation d'approbation SSL/TLS pour BitLocker Manager, définissez la valeur d'entrée de registre suivante sur 0

sur l'ordinateur client.

Paramètres de registre

[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]

"DisableSSLCertTrust"=DWORD:0

0 = Activé

1 = Désactivé

○ Pour empêcher BitLocker Manager de détecter les disques amovibles en tant que disques fixes, ajoutez la clé de registre suivante :

HKLM\Software\Dell\Dell Data Protection\

"UseEncryptableVolumeType" = DWORD:1

0 = Désactivé (valeur par défaut)

1 = Activé

30 Paramètres de registre

Installation à l'aide du programme

d'installation principal

● Les commutateurs et les paramètres de ligne de commande sont sensibles à la casse.

● Pour procéder à une installation de ports autres que ceux par défaut, utilisez les programmes d'installation enfants au lieu du

programme d'installation principal.

● Les fichiers journaux du programme d’installation principal d’se trouvent sur C:\ProgramData\Dell\Dell Data Protection\Installer.

REMARQUE : Si le chiffrement basé sur des règles est installé avant Encryption Management Agent, l’ordinateur peut se

bloquer. Ce problème est dû à l’échec du chargement du pilote de veille pour le chiffrement qui gère l’environnement PBA. Pour contourner ce problème, utilisez le programme d’installation principal ou vérifiez que le chiffrement basé sur des règles est installé après Encryption Management Agent.

● Dirigez les utilisateurs vers les documents suivants et les fichiers d'aide en cas de besoin au moment de l'application :

○ Pour apprendre à utiliser les fonctionnalités d’Encryption, reportez-vous à l’ Aide concernant Dell Encrypt. Accédez à l’aide à partir

de <Install dir>\Program Files\Dell\Dell Data Protection\Encryption\Help.

○ Voir l’Encryption External Media pour apprendre à utiliser les fonctionnalités d’Encryption External Media. Accédez à l’aide à partir

de <Install dir>\Program Files\Dell\Dell Data Protection\Encryption\EMS.

○ Voir l'Aide d'Encryption Enterprise, pour savoir comment utiliser les fonctions de . Accédez à l’aide à partir de <Install

dir>\Program Files\Dell\Dell Data Protection\Client Security Framework\Help.

● Après l'installation, l'utilisateur doit mettre à jour ses règles en faisant un clic droit sur l'icône Dell Encryption située dans la zone de notification et en sélectionnant Rechercher les mises à jour des règles.

● Le programme d'installation principal installe la totalité de la suite de produits. Il existe deux méthodes d'installation à l'aide du programme d'installation principal. Choisissez l'une des options suivantes :

○ Installation interactive à l'aide du programme d'installation principal

○ Installation par la ligne de commande à l'aide du programme d'installation principal

Installation interactive à l'aide du programme d'installation principal

● Le programme d'installation principal d'est disponible à l'emplacement suivant :

○ Depuis le site dell.com/support. Si nécessaire, téléchargez le logiciel depuis le site dell.com/support ○ À partir de votre compte FTP de Dell : localisez le lot d'installation Dell-Encryption-8.x.x.xxx.zip

● Ces instructions permettent d'installer ou de mettre à jour de manière interactive Dell Encryption Enterprise à l'aide du programme

d'installation principal d'. Cette méthode peut être utilisée pour installer la suite de produits sur un ordinateur à la fois.

1. Localisez DDSSetup.exe sur le support d'installation Dell. Copiez-le sur l'ordinateur local.

2. Double-cliquez sur pour lancer le programme d'installation. Cela peut prendre quelques minutes.

3. Cliquez sur Suivant sur l'écran Bienvenue.

4. Lisez le contrat de licence, acceptez-en les termes, puis cliquez sur Suivant.

5. Dans le champ Nom du serveur Dell local, saisissez le nom d’hôte complet du serveur Dell pour gérer l’utilisateur cible.

Saisissez les valeurs de port dans Port du serveur principal et Port du serveur de sécurité si votre organisation n’utilise pas des ports standards.

Cliquez sur Suivant.

Installation à l'aide du programme d'installation principal 31

6. Cliquez sur Suivant pour installer le produit à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\. Dell recommends installing in the default location only. Dell recommande de procéder à

l’installation uniquement à l’emplacement par défaut pour éviter les problèmes qu’une installation dans un autre emplacement pourrait provoquer.

7. Sélectionnez les composants à installer.

Security Framework installe le cadre de sécurité sous-jacent, Encryption Management Agent et l’authentification PBA.

BitLocker Manager permet d’installer le client BitLocker Manager, conçu pour optimiser la sécurité des déploiements BitLocker

Manager en simplifiant et réduisant le coût de possession grâce à une gestion centralisée des règles de chiffrement de BitLocker.

Encryption installe le composant qui applique les règles de sécurité, qu’un ordinateur soit connecté au réseau, déconnecté du réseau, perdu ou volé.

Encryption External Media installe le composant qui applique Encryption External Media.

Chiffrement complet du disque installe le composant qui applique le chiffrement complet du disque.

Cliquez sur Suivant lorsque vos sélections sont terminées.

Installation à l'aide du programme d'installation principal

8. Cliquez sur Installer pour démarrer l'installation. L'installation peut prendre plusieurs minutes.

9. Sélectionnez Oui, je souhaite redémarrer mon ordinateur maintenant, puis cliquez sur Terminer.

Installation à l'aide du programme d'installation principal

L'installation est terminée.

Installation par la ligne de commande à l'aide du programme d'installation principal

● Les commutateurs doivent d'abord être spécifiés dans une installation par ligne de commande. D'autres paramètres figurent dans un argument transmis au commutateur /v.

Commutateurs

● Le tableau suivant décrit les commutateurs qui peuvent être utilisés avec le programme d'installation principal d'.

REMARQUE :

Management Agent doit être installé ou mis à niveau en utilisant le paramètre FEATURE=BLM ou FEATURE=BASIC.

Commutateur Description

/s Installation silencieuse

/z Transmission des variables au fichier .msi dans DDSSetup.exe

Paramètres

● Le tableau suivant décrit les paramètres qui peuvent être utilisés avec le programme d'installation principal d'.

Paramètre

SUPPRESSREBOOT Supprime le redémarrage automatique une fois l'installation terminée. Peut être utilisé en mode

SERVEUR Spécifie l'URL du Dell Server.

InstallPath Spécifie le chemin de l'installation. Peut être utilisé en mode SILENCIEUX.

34 Installation à l'aide du programme d'installation principal

Si votre entreprise nécessite l'utilisation de fournisseurs d'informations d'identification tiers, Encryption

Description

SILENCIEUX.

Paramètre Description

FONCTIONS Spécifie les composants qui peuvent être installés en mode SILENCIEUX :

DE = Client Drive Encryption uniquement

EME = Encryption External Media uniquement

BLM = BitLocker Manager

SED = SED Manager (Encryption Management Agent/Manager, pilotes PBA/GPE)

BLM_ONLY=1 Doit être utilisé lorsque vous utilisez FEATURES=BLM dans la ligne de commande pour exclure le plug-in

de SED Manager.

Exemples de ligne de commande

● Les paramètres de ligne de commande sont sensibles à la casse.

● Cet exemple correspond à l'installation de tous les composants en utilisant le programme d'installation principal d'sur les ports standard,

de façon silencieuse, à l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection\ avec la configuration requise pour utiliser le Dell Server spécifié.

"DDSSetup.exe" /s /z"\"SERVER=server.organization.com\""

● Cet exemple correspond à l’installation de SED Manager et d’Encryption External Media avec le programme d’installation principal, sur des ports standard, de manière silencieuse, sans redémarrage, à l’emplacement par défaut C:\Program Files\Dell\Dell

Data Protection\ et avec la configuration pour utiliser le Dell Server spécifié.

"DDSSetup.exe" /s /z"\"SERVER=server.organization.com, FEATURES=EME-SED, SUPPRESSREBOOT=1\""

● Cet exemple correspond à l’installation de SED Manager avec le programme d’installation principal, sur des ports standard, de manière silencieuse, sans redémarrage, à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\ et avec la configuration pour utiliser le Dell Server spécifié.

"DDSSetup.exe" /s /z"\"SERVER=server.organization.com, FEATURES=SED, SUPPRESSREBOOT=1\""

● Cet exemple correspond à l’installation de SED Manager avec le programme d’installation principal, sur des ports standard, de manière silencieuse, à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\ et avec la configuration pour utiliser le Dell Server spécifié.

"DDSSetup.exe" /s /z"\"SERVER=server.organization.com, FEATURES=SED\""

● Cet exemple correspond à l’installation d’Encryption et de BitLocker Manager (sans le plug-in de SED Manager), avec le programme d’installation principal, sur des ports standard, de manière silencieuse, à l’emplacement par défaut C:\Program Files\Dell\Dell

Data Protection\ et avec la configuration pour utiliser le Dell Server spécifié.

"DDSSetup.exe" /s /z"\"SERVER=server.organization.com, FEATURES=DE-BLM, BLM_ONLY=1\""

● Cet exemple correspond à l’installation de BitLocker Manager (avec le plug-in de SED Manager) et d’Encryption External Media avec le programme d’installation principal, sur des ports standard, de manière silencieuse, en supprimant le redémarrage, à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\ et avec la configuration pour utiliser le Dell Server spécifié.

"DDSSetup.exe" /s /z"\"SERVER=server.organization.com, FEATURES=BLM-EME, SUPPRESSREBOOT=1\""

● Cet exemple correspond à l’installation de BitLocker Manager (sans le plug-in de SED Manager) et d’Encryption External Media avec le programme d’installation principal, sur des ports standard, de manière silencieuse, en supprimant le redémarrage, à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\ et avec la configuration pour utiliser le Dell Server spécifié.

"DDSSetup.exe" /s /z"\"SERVER=server.organization.com, FEATURES=BLM-EME, BLM_ONLY=1, SUPPRESSREBOOT=1\""

Installation à l'aide du programme d'installation principal

Désinstaller le programme d'installation

principal

● Dell recommande d'utiliser le programme de désinstallation de Data Security pour supprimer la suite Data Security.

● Chaque composant doit être désinstallé séparément, avant la désinstallation à l’aide du programme d’installation principal d’. Les clients

doit être désinstallée dans un ordre spécifique pour éviter les échecs de désinstallation.

● Suivez les instructions de la section Extraire les programmes d'installation enfants du programme d'installation principal pour obtenir les programmes d'installation enfants.

● Assurez-vous d’utiliser la même version du programme d’installation principal d’ (et des clients) pour la désinstallation et l’installation.

● Ce chapitre vous réfère à d'autres chapitres contenant des instructions détaillées sur le processus de désinstallation des programmes

d'installation enfants. Ce chapitre explique uniquement la dernière étape de désinstallation du programme d'installation principal.

● Désinstallez les clients dans l'ordre suivant :

1. Désinstallez Encryption.

2. Désinstallez SED Manager.

3. Installez le chiffrement complet du disque

4. Désinstallez BitLocker Manager.

● Passez à l'étape Désinstallation à l'aide du programme d'installation principal.

Désinstallation du programme d’installation principal d’

Maintenant que tous les clients individuels ont été désinstallés, le programme d'installation principal peut être désinstallé.

Désinstallation avec ligne de commande

● L’exemple suivant correspond à la désinstallation silencieuse du programme d’installation principal d’.

"DDSSetup.exe" /s /x

Lorsque vous avez terminé, redémarrez l'ordinateur.

36 Désinstaller le programme d'installation principal

Installation à l'aide des programmes

d'installation enfants

● Pour installer ou mettre à niveau chaque client individuellement, vous devez d'abord extraire les fichiers exécutables enfants du programme d'installation principal d', tel qu'indiqué dans la section Extraire les programmes d'installation enfants du programme

d'installation principal.

● Les exemples de commande inclus dans cette section supposent que les commandes sont exécutées à partir de C:\extracted.

● Les commutateurs et les paramètres de ligne de commande sont sensibles à la casse.

● Veillez à inclure une valeur contenant un ou plusieurs caractères spéciaux, tels qu'un espace dans la ligne de commande, entre des

guillemets d'échappement.

● Utilisez ces programmes d'installation pour installer les clients à l'aide d'une installation avec script, de fichiers séquentiels ou de toute autre technologie Push disponible dans votre entreprise.

● Le redémarrage a été supprimé dans les exemples de ligne de commande. Cependant, un redémarrage éventuel est requis.

Remarque : le chiffrement basé sur les règles ne pourra commencer que lorsque l’ordinateur aura redémarré.

● Fichiers journaux : Windows crée des fichiers journaux d'installation uniques pour l'utilisateur connecté à %Temp%, accessibles dans

C:\Users\<UserName>\AppData\Local\Temp.

● Tous les programmes d'installation enfants utilisent les mêmes options d'affichage et commutateurs .msi de base, sauf lorsque cela est précisé, pour les installations avec ligne de commande. Les commutateurs doivent être indiqués en premier. Le commutateur /v est requis et nécessite un argument. D'autres paramètres figurent dans un argument transmis au commutateur /v.

Les options d'affichage peuvent être spécifiées en fin d'argument transmis au commutateur /v, pour obtenir le comportement voulu. N'utilisez pas /q et /qn dans la même ligne de commande. Utilisez uniquement ! et - après /qb.

Commutateur

/v Transmission des variables au fichier .msi dans l'élément setup.exe. Le contenu doit

/s Mode Silencieux

/x Mode Désinstallation

REMARQUE :

Avec /v, les options Microsoft par défaut sont disponibles. Pour obtenir la liste des options, reportez-vous à cet article.

Option Signification

/q Boîte de dialogue Aucune progression, se réinitialise après la fin du processus

/qb Boîte de dialogue de progression dotée du bouton Annuler : vous invite à effectuer un

Signification

toujours être entouré de guillemets en texte brut.

redémarrage

/qb- Boîte de dialogue de progression avec bouton Annuler: redémarre automatiquement à la

fin du processus

/qb! Boîte de dialogue de progression sans bouton Annuler : vous invite à effectuer un

redémarrage

Installation à l'aide des programmes d'installation enfants 37

Option Signification

/qb!- Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement

une fois le processus terminé

/qn Pas d'interface utilisateur

/norestart Suppression du redémarrage

● Dirigez les utilisateurs vers les documents suivants et les fichiers d'aide en cas de besoin au moment de l'application :

○ Pour apprendre à utiliser les fonctions d’Encryption, reportez-vous à Dell Encrypt Help (Aide concernant Dell Encrypt). Accédez à

l'aide depuis <Install dir>\Program Files\Dell\Dell Data Protection\Encryption\Help.

○ Voir Encryption External Media Help (Aide concernant Encryption External Media) pour apprendre à utiliser les

fonctions d'Encryption External Media. Accédez à l'aide depuis <Install dir>:\Program Files\Dell\Dell Data Protection\Encryption\EMS.

○ Reportez-vous à l’aide d’Encryption Enterprise, d’pour savoir comment utiliser les fonctions de PBA authentication .

Accédez à l'aide depuis <Install dir>\Program Files\Dell\Dell Data Protection\Client Security Framework\Help.

Installer les pilotes

● Les pilotes et le micrologiciel de ControlVault, les lecteurs d'empreintes et les cartes à puce ne sont pas inclus dans les fichiers exécutables du programme d'installation principal ou des programmes d'installation enfants. Les pilotes et le micrologiciel doivent être conservés à jour et peuvent être téléchargés à partir de http://www.dell.com/support en sélectionnant votre modèle d'ordinateur. Téléchargez les pilotes et le logiciel appropriés en fonction de votre matériel d'authentification.

○ ControlVault ○ NEXT Biometrics Fingerprint Driver ○ Pilote Validity FingerPrint Reader 495 ○ Pilote de carte à puce O2Micro

Si vous installez du matériel autre que Dell, téléchargez les pilotes et le logiciel mis à jour depuis le site internet du fournisseur.

Installation d'Encryption

● Passez en revue les exigences d’Encryption si votre organisation utilise un certificat signé par une autorité racine telle qu’EnTrust or Verisign. Une modification de paramètre de registre est nécessaire sur l'ordinateur client pour activer la validation du certificat.

● Vous pouvez localiser le programme d’installation d’Encryption de la manière suivante :

○ À partir de dell.com/support : si nécessaire, téléchargez le logiciel depuis dell.com/support puis extrayez les

programmes d’installation enfants depuis le programme d’installation principal. Après l'extraction, localisez le fichier dans

C:\extracted\Encryption.

○ À partir de votre compte FTP Dell : repérez le lot d'installation Encryption-Enterprise-10.x.x.xxx.zip, puis extrayez les

programmes d'installation enfant depuis le programme d'installation principal. Après l'extraction, localisez le fichier dans

C:\extracted\Encryption.

○

Installation par ligne de commande

● Le tableau suivant indique les paramètres disponibles dans le cadre de l'installation.

REMARQUE : Les journaux Dell Encryption n'indiquent pas si un espace disque insuffisant a provoqué l'échec de l'installation.

Paramètres

SERVERHOSTNAME= <ServerName> (nom de domaine complet de Dell Server pour la réactivation)

38 Installation à l'aide des programmes d'installation enfants

Paramètres

POLICYPROXYHOSTNAME=<RGKName> (nom de domaine complet du proxy de la stratégie par défaut)

MANAGEDDOMAIN=<MyDomain> (domaine à utiliser pour le périphérique)

DEVICESERVERURL=<DeviceServerName/SecurityServerName> (utilisée pour l'activation, cette URL comprend généralement le nom du serveur, le port et xapi)

GKPORT=<NewGKPort> (port du contrôleur d'accès)

MACHINEID=<MachineName> (nom de l'ordinateur)

RECOVERYID=<RecoveryID> (identifiant de récupération)

REBOOT=ReallySuppress (Null permet les redémarrages automatiques, ReallySuppress désactive le redémarrage)

HIDEOVERLAYICONS=1 (0 active la superposition des icônes, 1 désactive la superposition des icônes)

HIDESYSTRAYICON=1 (0 active l'icône dans la zone de notification, 1 désactive l'icône dans la zone de notification)

ENABLE_FDE_LM=1 (Permet l’installation de Dell Encryption sur un ordinateur avec le chiffrement complet de disque actif)

EME=1 (Installez le mode Encryption External Media)

OPTIN=1 (installation en mode Action différée)

Pour obtenir la liste des commutateurs .msi de base et des options d'affichage pouvant être utilisés dans la ligne de commande, voir la section « Installation à l'aide des programmes d'installation enfants ».

● Le tableau suivant détaille les autres paramètres facultatifs liés à l'activation.

Paramètres

SLOTTEDACTIVATON=1 (0 désactive les activations retardées/planifiées, 1 active les activations retardées/planifiées)

SLOTINTERVAL=45,120 (planifie les activations par la notation x,x où la première valeur est la limite inférieure de la planification et la deuxième valeur est la limite supérieure, en secondes)

CALREPEAT=600 (doit correspondre à ou dépasser la limite maximale définie dans SLOTINTERVAL. Durée d’attente, en secondes, d’Encryption avant de générer une tentative d’activation en fonction de SLOTINTERVAL.)

Exemples de ligne de commande

REMARQUE :

fin) si la version de votre Security Management Server est antérieure à 7.7.

● L’exemple suivant correspond à l’installation de Dell Encryption avec les paramètres par défaut (Encryption, Encrypt for Sharing, pas de boîte de dialogue, pas de barre de progression, redémarrage automatique, installation à l’emplacement par défaut C:\Program

Files\Dell\Dell Data Protection\Encryption).

DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ /qn"

Commande MSI :

msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/"

● L’exemple suivant correspond à l’installation d’Encryption et d’Encrypt for Sharing, avec masquage de l’icône Dell Encryption dans la zone de notification, masquage des icônes en transparence, aucune boîte de dialogue, aucune barre de progression, suppression du redémarrage, installation à l’emplacement par défaut : C:\Program Files\Dell\Dell Data Protection\Encryption.

RemplacezDEVICESERVERURL=https://server.organization.com:8081/xapi (sans barre oblique à la

Installation à l'aide des programmes d'installation enfants

DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ HIDESYSTRAYICON=1 HIDEOVERLAYICONS=1 REBOOT=ReallySuppress /qn"

Commande MSI :

Exemple de ligne de commande pour installer Encryption External Media uniquement

● Installation silencieuse, pas de barre de progression, redémarrage automatique, installation à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\Encryption.

Commande MSI :

● Installation silencieuse, pas de redémarrage, installation à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\Encryption).

DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https:// server.organization.com:8443/xapi/ MANAGEDDOMAIN=ORGANIZATION /norestart /qn"

Commande MSI :

msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" EME="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" DEVICESERVERURL="https://server.organization.com:8443/xapi/" MANAGEDDOMAIN="ORGANIZATION"

●

REMARQUE :

Sur le client, la section À propos affiche le numéro de version du logiciel, mais n’indique pas si Encryption (installation complète) ou uniquement Encryption External Media, a été installé. Pour localiser cette information, allez à C:\ProgramData\Dell\Dell Data Protection\Encryption\CMGShield.log et cherchez l'entrée suivante :

[<date/timestamp> DeviceInfo: < >] 0}

Exemple de ligne de commande pour convertir Encryption External Media en Encryption (installation complète)

REMARQUE :

les mises à niveau.

● Le déchiffrement n’est pas nécessaire pour convertir Encryption External Media en Encryption (installation complète).

Commande MSI :

● Exemple de ligne de commande pour installer en mode Activation différée

● L’exemple suivant correspond à l’installation de Dell Encryption en mode d’activation différée à l’emplacement par défaut

C:\Program Files\Dell\Dell Data Protection\Encryption).

La conversion de Encryption External Media en Encryption (installation complète) n’est pas prise en charge avec

Shield Information - SM=External Media Only

, SB=DELL, UNF=FQUN, last sweep={0,

Installation à l'aide des programmes d'installation enfants

DDPE_XXbit_setup.exe /s /v"OPTIN=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https:// server.organization.com:8443/xapi/ MANAGEDDOMAIN=ORGANIZATION"

Commande MSI :

msiexec.exe /i "Dell Data Protection Encryption.msi" OPTIN="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" DEVICESERVERURL="https://server.organization.com:8443/xapi/" MANAGEDDOMAIN="ORGANIZATION"

● L’exemple suivant correspond à l’installation de Dell Encryption en mode d’activation différée et avec les paramètres par défaut (Encryption, Encrypt for Sharing, pas de boîte de dialogue, pas de barre de progression, pas de redémarrage, masquage des icônes en transparence, installation à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\Encryption).

DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ OPTIN=1 HIDEOVERLAYICONS=1 REBOOT=ReallySuppress /qn"

Commande MSI :

msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" OPTIN="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" HIDEOVERLAYICONS="1"

● Exemple de ligne de commande pour installer Dell Encryption avec chiffrement complet du disque

\Chiffrement

Files\Dell\Dell Data Protection\Encryption).

DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ /qn"

Puis :

\Encryption Management Agent

L’exemple suivant correspond à l’installation du chiffrement complet de disque géré à distance et permet l’installation sur un ordinateur protégé par Dell Encryption (installation silencieuse, pas de redémarrage, aucune entrée dans la liste Programmes du Panneau de configuration, installation à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\Encryption).

EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 ENABLE_FDE_LM=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 /norestart /qn"

● Exemple de ligne de commande pour installer Encryption External Media et le chiffrement complet du disque.

\Chiffrement

L’exemple suivant correspond à l’installation d’Encryption External Media avec installation silencieuse, pas de barre de progression, redémarrage automatique, installation à l’emplacement par défaut C:\Program Files\Dell\Dell Data

Protection\Encryption.

Puis :

\Encryption Management Agent

L'exemple suivant installe le chiffrement complet du disque géré à distance et permet l'installation sur un ordinateur protégé Dell Encryption (installation silencieuse, pas de redémarrage, aucune entrée dans la liste Programmes du Panneau de configuration, installation à l'emplacement par défaut de C:\Program Files\Dell\Dell Data Protection).

● Exemple de ligne de commande pour installer Encryption External Media sur une installation existante avec chiffrement complet du disque.

Installation à l'aide des programmes d'installation enfants

L'exemple suivant correspond à l'installation d'Encryption External Media sur une installation existante avec chiffrement complet du disque avec installation discrète, pas de barre de progression, redémarrage automatique et installation à l'emplacement par défaut

C:\Program Files\Dell\Dell Data Protection.

DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ ENABLE_FDE_LM=1 /norestart /qn"

● Exemple ligne de commande pour installer le client Encryption géré à distance sur une installation existante avec chiffrement complet du disque.

L’exemple suivant correspond à l’installation de Dell Encryption sur une installation existante du chiffrement complet de disque avec les paramètres par défaut (client Encryption, Encrypt for Sharing, pas de boîte de dialogue, pas de barre de progression, redémarrage automatique, installation à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\Encryption) et logs d’installation sous C:\Dell. Remarque : pour que les logs puissent être générés correctement, le répertoire C:\Dell doit exister avant l’installation.

DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ ENABLE_FDE_LM=1 /norestart /qn /l*v C:\Dell\DellEncryptionInstall.log"

REMARQUE : il est possible que certaines versions anciennes nécessitent des caractères d’échappement \" autour des valeurs de paramètres. Par exemple :

DDPE_XXbit_setup.exe /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER=\"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\" DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn

Installer le chiffrement complet du disque

● Passez en revue les exigences pour le chiffrement complet du disque si votre organisation utilise un certificat signé par une autorité racine telle qu’EnTrust or Verisign. Une modification de paramètre de registre est nécessaire sur l'ordinateur client pour activer la validation d'approbation SSL/TLS.

● Les utilisateurs se connectent par l'intermédiaire de l'authentification avant démarrage au moyen de leur mot de passe Windows.

Installation par ligne de commande

● Le tableau suivant indique les paramètres disponibles dans le cadre de l'installation.

Paramètres

CM_EDITION=1 (gestion à distance)

INSTALLDIR=(modifier la destination d’installation)

SERVERHOST=(securityserver.organization.com)

SERVERPORT=8888

SECURITYSERVERHOST=(securityserver.organization.com)

SECURITYSERVERPORT=8443

FEATURE=FDE

ENABLE_FDE_LM=1 <Permet l’installation du chiffrement complet du disque sur un ordinateur avec Dell Encryption actif>

Exemples de ligne de commande

Installation à l'aide des programmes d'installation enfants

Encryption Management/Agent

● L’exemple suivant correspond à l’installation du chiffrement complet du disque géré à distance (installation silencieuse, pas de redémarrage et installation dans l’emplacement par défaut C:\Program Files\Dell\Dell Data

Protection\Encryption).

EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 / norestart /qn"

● Encryption Management/Agent

● L’exemple suivant correspond à l’installation du chiffrement complet du disque géré à distance et permet l’installation sur un ordinateur

protégé par Dell Encryption (installation silencieuse, pas de redémarrage, installation à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\Encryption).

● Exemple de ligne de commande pour installer le chiffrement complet du disque et Encryption External Media.

Cryptage

Protection\Encryption.

Puis :

Encryption Management/Agent

Installer Encryption sur un système d’exploitation de serveur

Il existe deux méthodes pour installer Encryption sur un système d’exploitation de serveur. Sélectionnez l'une des méthodes suivantes :

● Installer Encryption sur un système d’exploitation de serveur de façon interactive

Encryption sur un système d’exploitation de serveur peut être installé manière interactive uniquement sur les ordinateurs dotés d’un système d’exploitation de serveur. L'installation sur des ordinateurs dotés d'un système d'exploitation non-serveur doit être effectuée via la ligne de commande, en spécifiant le paramètre SERVERMODE=1.

● Installer Encryption sur un système d’exploitation de serveur à l’aide de la ligne de commande

Compte d'utilisateur virtuel

● Dans le cadre de l’installation, un compte d’utilisateur de serveur virtuel est créé ; il sera exclusivement utilisé par Encryption sur un système d’exploitation de serveur. L’authentification DPAPI et le mot de passe sont désactivés : seul l’utilisateur du serveur virtuel peut accéder aux clés de chiffrement.

Avant de commencer

● Le compte de l’utilisateur qui exécute l’installation doit correspondre à un utilisateur de domaine doté de droits de niveau Administrateur.

Installation à l'aide des programmes d'installation enfants

● Pour ignorer la configuration requise ou pour exécuter Encryption sur un système d’exploitation de serveur sur des serveurs hors domaine ou multidomaines, définissez la propriété ssos.domainadmin.verify sur false dans le fichier application.properties. Le fichier est stocké dans les chemins de fichier suivants, en fonction du serveur Dell Server que vous utilisez :

Security Management Server - <rép installation>/Security Server/conf/application.properties

Security Management Server Virtual - /opt/dell/server/security-server/conf/application.properties

● Le serveur doit prendre en charge les contrôles de port.

Les règles du système de contrôle de port affectent le support amovible des serveurs protégés, en contrôlant par exemple l’accès et l’utilisation des ports USB du serveur par des périphériques USB. La règle du port USB s'applique aux ports USB externes. La fonction du port USB interne n'est pas affectée par la règle du port USB. Si la règle du port USB est désactivée, le clavier et la souris USB ne fonctionnent pas et l’utilisateur n’est pas en mesure d’utiliser l’ordinateur à moins qu’une connexion du bureau à distance soit définie avant l’application de la règle.

● Pour que l’activation réussisse, l’ordinateur doit avoir accès à une connexion réseau.

● Lorsque le module TPM (Trusted Platform Module) est disponible, il est utilisé pour sceller la clé GPK (General Purpose Key, clé

générale) sur le matériel Dell. Si le module TPM n’est pas disponible, l’API Microsoft Data Protection (DPAPI) est utilisée pour protéger la clé GPK.

Lors de l'installation d'un nouveau système d'exploitation sur un ordinateur Dell avec module TPM qui exécute Server Encryption, effacez le TPM dans le BIOS. Reportez-vous à cet article pour obtenir des instructions.

● Le fichier log de l’installation se trouve dans le répertoire %temp% de l’utilisateur, à savoir C:\Users\<user name>\AppData\Local\Temp. Pour localiser le fichier log approprié, recherchez un nom de fichier qui commence par MSI et

finit par l’extension .log. Le fichier inclut un horodatage de date/heure qui correspond à l’heure à laquelle le programme d’installation a été exécuté.

● Encryption n'est pas pris en charge sur des serveurs qui font partie de DFS (distributed file systems).

Extraction du programme d'installation enfant

● Pour installer Encryption sur un système d’exploitation de serveur, vous devez d’abord extraire le programme d’installation enfant (DDPE_xxbit_setup.exe) du programme d’installation principal. Voir Extraire les programmes d'installation enfants du programme

d'installation principal.

Installation interactive

● Utilisez ces instructions pour installer Encryption sur un système d’exploitation de serveur de façon interactive. Ce programme d’installation comprend les composants requis pour le chiffrement au niveau logiciel.

1. Localisez DDPE_XXbit_setup.exe dans le dossier C:\extracted\Encryption. Copiez-le sur l'ordinateur local.

2. Si vous installez Encryption sur un système d’exploitation de serveur, double-cliquez sur DDPE_XXbit_setup.exe pour lancer le programme d’installation.

REMARQUE :

Lorsque Encryption sur un système d’exploitation de serveur est installé sur un ordinateur qui exécute un système d’exploitation de serveur tel que Windows Server 2012 R2, le programme d’installation installe automatiquement Encryption en SERVERMODE.

3. Dans le dialogue d'accueil, cliquez sur Suivant.

4. Sur l'écran Contrat de Licence, lisez le contrat de licence, acceptez-en les termes, puis cliquez sur Suivant.

Installation à l'aide des programmes d'installation enfants

5. Sélectionnez Serveur Dell Management local, puis cliquez sur

Suivant.

6. Cliquez sur Suivant pour effectuer l’installation à l’emplacement par défaut.

7. Cliquez sur Suivant pour ignorer la boîte de dialogue Type de gestion.

8. Dans le champ Nom Security Management Server, entrez/validez le nom d’hôte complet de Dell Server pour gérer l’utilisateur cible (par exemple, server.organization.com).

Entrez le nom de domaine dans Domaine géré (par exemple, « entreprise »). Cliquez sur Suivant.

9. Dans le nom d’hôte et le port Proxy de règles, entrez/validez les informations et cliquez sur Suivant.

Installation à l'aide des programmes d'installation enfants

10. Dans l’URL du serveur du périphérique, entrez/validez les informations et cliquez sur Suivant.

11. Cliquez sur Installer pour démarrer l'installation.

Installation à l'aide des programmes d'installation enfants

L'installation peut prendre quelques minutes.

12. Une fois la configuration terminée, cliquez sur Terminer.

L'installation est terminée.

13. Redémarrez l'ordinateur. Dell recommande de mettre en attente le redémarrage uniquement s’il vous faut du temps pour enregistrer votre travail et fermer les applications. Le cryptage ne pourra commencer que lorsque l'ordinateur aura redémarré.

Installation à l'aide des programmes d'installation enfants

Installation à l’aide de la ligne de commande

Recherche du programme d’installation dans C:\extracted\Encryption

● Utilisez DDPE_xxbit_setup.exe pour une installation ou mise à niveau par installation scriptée, à l'aide de fichiers batch ou toute autre technologie Push disponible dans votre entreprise.

Commutateurs

Le tableau suivant indique les commutateurs disponibles dans le cadre de l'installation.

Commutateur Signification

/v Transmission des variables au fichier .msi dans DDPE_XXbit_setup.exe

/a Installation administrateur

/s Mode Silencieux

Paramètres

Le tableau suivant indique les paramètres disponibles dans le cadre de l'installation.

Composant Fichier journal Paramètres de ligne de commande

Tous /l*v [chemin-complet][nom-

fichier].log *

REMARQUE :

Le redémarrage peut être supprimé, mais il sera nécessaire à la fin du processus. Le cryptage ne pourra commencer que lorsque l'ordinateur aura redémarré.

SERVERHOSTNAME=<Security Management Server Name>

SERVERMODE=1

POLICYPROXYHOSTNAME=<RGK Name>

MANAGEDDOMAIN=<My Domain>

DEVICESERVERURL=<Activation Server Name>

GKPORT=<New GK Port>

MACHINEID=<Machine Name>

RECOVERYID=<Recovery ID>

REBOOT=ReallySuppress

HIDEOVERLAYICONS=1

HIDESYSTRAYICON=1

EME=1

Options

Le tableau suivant détaille les options d'affichage que vous pouvez spécifier à la fin de l'argument transmis au commutateur /v.

Option

/q Boîte de dialogue Aucune progression, se réinitialise après la fin du processus

48 Installation à l'aide des programmes d'installation enfants

Signification

Option Signification

/qb Boîte de dialogue de progression dotée du bouton Annuler : vous invite à effectuer un

redémarrage

/qb- Boîte de dialogue de progression avec bouton Annuler: redémarre automatiquement à la

fin du processus

/qb! Boîte de dialogue de progression sans bouton Annuler : vous invite à effectuer un

redémarrage

/qb!- Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement

une fois le processus terminé

/qn Pas d'interface utilisateur

REMARQUE :

N'utilisez pas /q et /qn dans la même ligne de commande. Utilisez uniquement « ! » et « - » après /qb.

● Le paramètre de ligne de commande SERVERMODE=1 est respecté uniquement lors d'une nouvelle installation. Le paramètre est ignoré lors des désinstallations.

Si une valeur contient un ou plusieurs caractères spéciaux, comme un espace, placez-la entre guillemets avec caractères

●

d'échappement.

● Le paramètre DEVICESERVERURL est sensible à la casse.

Exemple d'installation par ligne de commande

● L’exemple suivant permet d’installer Encryption en mode système d’exploitation de serveur avec les paramètres par défaut (Encryption, installation silencieuse, Encrypt for Sharing, pas de boîte de dialogue, pas de barre de progression, redémarrage automatique, installation à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection).

DDPE_XXbit_setup.exe /s /v"SERVERMODE=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ /qn"

Commande MSI :

msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERMODE="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/"

● L’exemple suivant permet d’installer Encryption en mode système d’exploitation de serveur avec un fichier log et les paramètres par défaut (Encryption, installation silencieuse, Encrypt for Sharing, pas de boîte de dialogue, pas de barre de progression, pas de redémarrage, installation à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\Encryption), et précise un nom de fichier log personnalisé finissant par un numéro (DDP_ssos-090.log) qui doit être incrémenté si la ligne de commande est exécutée plusieurs fois sur le même serveur. Pour placer les fichiers journaux à un autre emplacement que l'emplacement par défaut (le dossier du fichier exécutable), vous devez spécifier le chemin complet dans la commande. Par exemple, la commande /l*v C:\Logs\DDP_ssos-090.log crée les logs d’installation dans C:\Logs.

Commande MSI :

msiexec.exe /i "Dell Data Protection Encryption.msi" /qn SERVERMODE="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/ xapi/" /l*v DDP_ssos-090.log /norestart/qn"

Redémarrez l’ordinateur après l’installation. Dell recommande de mettre en attente le redémarrage uniquement s’il vous faut du temps pour enregistrer votre travail et fermer les applications. Le cryptage ne pourra commencer que lorsque l'ordinateur aura redémarré.

Installation à l'aide des programmes d'installation enfants

Activer

● Vérifiez que le nom d'ordinateur du serveur est bien le nom de point de terminaison à afficher dans la console de gestion.

● Pour l'activation initiale, un utilisateur interactif doté d'informations d'identification d'administrateur de domaine doit se connecter au

serveur au moins une fois. L'utilisateur connecté peut être de n'importe quel type : membre du domaine ou non, connecté en mode Bureau à distance ou utilisateur interactif sur le serveur. Cependant, l'activation exige des informations d'identification d'administrateur de domaine.

● Une fois le redémarrage après installation terminé, la boîte de dialogue d'activation s'affiche. L'administrateur doit entrer ses références d'administrateur de domaine et préciser un nom d'utilisateur au format UPN (Nom principal utilisateur). Le chiffrement des systèmes d’exploitation de serveur ne s’active pas automatiquement.

● Pendant l'activation initiale, un compte d'utilisateur de serveur virtuel est créé. Après l'activation initiale, l'ordinateur est redémarré afin que l'activation des périphériques puisse commencer.

● Au cours de la phase d'authentification et d'activation des périphériques, un ID d'ordinateur unique est attribué à l'ordinateur, des clés de cryptage sont créées et regroupées en jeux de clés, et une relation est établie entre le jeu de clés de cryptage et l'utilisateur

du serveur virtuel. Ce jeu de clés de cryptage associe les clés et les règles de cryptage au nouvel utilisateur de serveur virtuel, afin

de créer une relation solide entre les données cryptées, l'ordinateur concerné et l'utilisateur du serveur virtuel. Après l'activation du périphérique, l'utilisateur du serveur virtuel apparaît dans la console de gestion sous la mention « UTILISATEUR-SERVEUR@<fully qualified server name>. Pour plus d'informations sur l'activation, voir la section « Activation sur un système d'exploitation serveur ».

REMARQUE :

Si vous renommez le serveur après l'activation, son nom d'affichage ne change pas dans la console de gestion. Toutefois, si le chiffrement des systèmes d’exploitation de serveur est de nouveau activé après que vous avez renommé le serveur, le nouveau nom du serveur s’affiche dans la console de gestion.

La boîte de dialogue Activation s’affiche une seule fois à chaque redémarrage pour inviter l’utilisateur à activer Encryption sur un système d’exploitation de serveur. Pour effectuer l'activation, procédez comme suit :

1. Connectez-vous au serveur, directement sur ce serveur ou avec Connexion de Bureau à distance.

2. Entrez le nom d'utilisateur d'un administrateur de domaine au format UPN, ainsi que le mot de passe, puis cliquez sur Activer. La même boîte de dialogue Activation s'affiche à chaque nouveau démarrage du système non activé.

Dell Server émet une clé de cryptage pour l'ID d'ordinateur, crée le compte d'utilisateur de serveur virtuel et une clé de cryptage pour ce compte d'utilisateur, regroupe les clés en un jeu de clés de cryptage, puis crée la relation entre le jeu de clés de cryptage et le compte d'utilisateur de serveur virtuel.

3. Cliquez sur Fermer.

Installation à l'aide des programmes d'installation enfants

Après l'activation, le cryptage commence.

4. Une fois le balayage de cryptage terminé, redémarrez l'ordinateur pour traiter tous les fichiers précédemment en cours d'utilisation. Ceci constitue une étape importante à effectuer pour des raisons de sécurité.

REMARQUE :

Si la règle Sécuriser les informations d’identification Windows est activée, Encryption sur systèmes d’exploitation de serveur chiffre les fichiers du dossier \Windows\system32\config, y compris les informations d’identification Windows. Les fichiers du dossier \Windows\system32 \config sont chiffrés même si la règle Cryptage SDE activé est désactivée. Par défaut, la règle Sécuriser les informations d’authentification Windows est sélectionnée.

REMARQUE :

Après le redémarrage de l’ordinateur, l’authentification avec la clé de chiffrement commune exige toujours la clé d’ordinateur du serveur protégé. Dell Server renvoie une clé de déverrouillage pour accéder aux clés de chiffrement et aux règles dans le coffre (les clés et les règles sont pour le serveur, pas pour l’utilisateur). Sans la clé d’ordinateur du serveur, la clé de chiffrement commune ne peut pas être déverrouillée et l’ordinateur ne peut pas recevoir les mises à jour des règles.

Confirmation de l'activation

Sur la console locale, ouvrez la boîte de dialogue À propos pour vérifier que Encryption sur systèmes d’exploitation de serveur est installé, authentifié et en mode Serveur. Si l’ID du client Encryption est rouge, cela signifie que le chiffrement n’a pas encore été activé.

Installation à l'aide des programmes d'installation enfants

Utilisateur de serveur virtuel

● Dans la console de gestion, un serveur protégé peut être identifié grâce au nom de son ordinateur. De plus, chaque serveur protégé possède son propre d'utilisateur de serveur virtuel. Chaque compte est doté d'un nom d'utilisateur statique unique et d'un nom d'ordinateur unique.

● Le compte d’utilisateur de serveur virtuel est utilisé uniquement par Encryption sur systèmes d’exploitation de serveur. Sinon, il est transparent pour le fonctionnement du serveur protégé. L'utilisateur de serveur virtuel est associé au jeu de clés de cryptage et à la règle proxy.

● Après l'activation, le compte d'utilisateur de serveur virtuel est le compte d'utilisateur qui est activé et associé au serveur.

● Après l'activation du compte de l'utilisateur de serveur virtuel, toutes les notifications de connexion/déconnexion du serveur sont

ignorées. Au lieu de cela, au cours du démarrage, l'ordinateur s'authentifie automatiquement auprès de l'utilisateur de serveur virtuel, puis télécharge la clé d'ordinateur depuis le Dell Server.

Installation de SED Manager et PBA Advanced Authentication

● Passez en revue les exigences SED si votre organisation utilise un certificat signé par une autorité racine telle qu’EnTrust or Verisign. Une modification de paramètre de registre est nécessaire sur l'ordinateur client pour activer la validation d'approbation SSL/TLS.

● Les utilisateurs se connectent par l'intermédiaire de l'authentification avant démarrage au moyen de leur mot de passe Windows.

● Les programmes d’installation de SED Manager et PBA Advanced Authentication peuvent se trouver à l’adresse suivante :

○ À partir de dell.com/support : si nécessaire, téléchargez le logiciel depuis dell.com/support puis extrayez les

programmes d’installation enfants depuis le programme d’installation principal. Après l'extraction, localisez le fichier dans

C:\extracted\Encryption Management Agent.

○ À partir de votre compte FTP Dell : repérez le lot d'installation Encryption-Enterprise-10.x.x.xxx.zip, puis extrayez les

programmes d'installation enfant depuis le programme d'installation principal. Après l'extraction, localisez le fichier dans

C:\extracted\Encryption Management Agent.

Installation à l'aide des programmes d'installation enfants

Installation par ligne de commande

● Le tableau suivant indique les paramètres disponibles dans le cadre de l'installation.

Paramètres

CM_EDITION=1 <remote management>

INSTALLDIR=<change the installation destination>

SERVER=<securityserver.organization.com>

SERVERPORT=8888

SECURITYSERVERHOST=<securityserver.organization.com>

SECURITYSERVERPORT=8443

ARPSYSTEMCOMPONENT=1 <no entry in the Control Panel Programs list>

Les exemples de commande suivants permettent d'installer ou de mettre à niveau Encryption Management Agent.

Exemples de ligne de commande

\Encryption Management Agent

● L’exemple suivant correspond à l’installation de SED Manager, d’Encryption Management Agent et de la console de sécurité locale gérés à distance (installation silencieuse, pas de redémarrage, aucune entrée dans la liste Programmes du Panneau de configuration, installation à l’emplacement par défaut C:\Program Files\Dell\Dell Data Protection\Encryption).

EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn"

Installer BitLocker Manager

●

● Passez en revue les conditions requises du client BitLocker Manager si votre organisation utilise un certificat signé par une autorité

● Les programmes d'installation du client BitLocker Manager se trouvent à l'adresse suivante :

REMARQUE :

Management Agent doit être installé ou mis à niveau en utilisant le paramètre FEATURE=BLM ou FEATURE=BASIC.

racine telle que EnTrust ou Verisign. Une modification de paramètre de registre est nécessaire sur l'ordinateur client pour activer la validation d'approbation SSL/TLS.

○ À partir de dell.com\support : si nécessaire, téléchargez le logiciel depuis dell.com\support puis extrayez les

programmes d’installation enfants depuis le programme d’installation principal. Après l'extraction, localisez le fichier dans

C:\extracted\Encryption Management Agent.

○ À partir de votre compte FTP Dell : repérez le lot d'installation Encryption-Enterprise-10.x.x.xxx.zip, puis extrayez les

programmes d'installation enfant depuis le programme d'installation principal. Après l'extraction, localisez le fichier dans

C:\extracted\Encryption Management Agent.

Si votre entreprise nécessite l'utilisation de fournisseurs d'informations d'identification tiers, Encryption

Installation avec ligne de commande

● Le tableau suivant indique les paramètres disponibles dans le cadre de l'installation.

Installation à l'aide des programmes d'installation enfants

Paramètres

CM_EDITION=1 <remote management>

INSTALLDIR=<change the installation destination>

SERVER=<securityserver.organization.com>

SERVERPORT=8888

SECURITYSERVERHOST=<securityserver.organization.com>

SECURITYSERVERPORT=8443

FEATURE=BLM <install BitLocker Manager only>

FEATURE=BLM,SED <install BitLocker Manager with SED>

ARPSYSTEMCOMPONENT=1 <no entry in the Control Panel Programs list>

Pour obtenir la liste des commutateurs .msi de base et afficher les options utilisables dans les lignes de commande, reportez-vous à

Installer à l'aide des programmes d'installation enfants.

Exemple de ligne de commande

● L'exemple suivant correspond à l'installation de BitLocker Manager seulement (installation silencieuse, pas de redémarrage, pas d'entrée dans la liste des Programmes du panneau de configuration, installation à l'emplacement par défaut C:\Program

Files\Dell\Dell Data Protection).

EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM / norestart /qn"

● L'exemple suivant correspond à l'installation de BitLocker Manager avec SED (installation silencieuse, pas de redémarrage, pas d'entrée dans la liste des Programmes du panneau de configuration, installation à l'emplacement par défaut C:\Program

Files\Dell\Dell Data Protection).

EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM,SED / norestart /qn"

● Exemple de ligne de commande pour installer BitLocker Manager et Dell Encryption

L'exemple suivant correspond à l'installation de BitLocker Manager seulement (installation silencieuse, pas de redémarrage, pas d'entrée dans la liste des Programmes du panneau de configuration, installation à l'emplacement par défaut C:\Program

Files\Dell\Dell Data Protection).

EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM / norestart /qn"

Puis :

L'exemple suivant correspond à l'installation du client avec les paramètres par défaut (client Encryption, Encrypt for Sharing, pas de boîte de dialogue, pas de barre d'avancement, redémarrage automatique, installation à l'emplacement par défaut : C:\Program

Files\Dell\Dell Data Protection).

DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https:// server.organization.com:8443/xapi/ /qn"

Installation à l'aide des programmes d'installation enfants

Désinstaller à l'aide des programme

d'installation enfants

● Dell recommande d'utiliser le programme de désinstallation de Data Security pour supprimer la suite Data Security.

● Pour désinstaller chaque client individuellement, vous devez d’abord extraire les fichiers exécutables enfant du programme

d’installation principal d’ ; tel qu’indiqué dans la section Extraire les programmes d’installation enfants du programme d’installation

principal. Sinon, exécutez une installation administrative pour extraire le fichier .msi.

● Assurez-vous que la version de client utilisée pour la désinstallation est identique à celle utilisée pour l'installation.

● Les commutateurs et les paramètres de ligne de commande sont sensibles à la casse.

● Veillez à inclure une valeur contenant un ou plusieurs caractères spéciaux, tels qu'un espace dans la ligne de commande, entre des

guillemets d'échappement. Les paramètres de ligne de commande sont sensibles à la casse.

● Utilisez ces programmes d'installation pour désinstaller les clients à l'aide d'une installation avec script, de fichiers de commandes ou de toute technologie Push disponible dans votre entreprise.

● Fichiers journaux : Windows crée des fichiers journaux de désinstallation du programme d'installation enfant uniques pour l'utilisateur connecté à %Temp%, accessibles dans C:\Users\<UserName>\AppData\Local\Temp.

Si vous décidez d'ajouter un fichier journal distinct lorsque vous exécutez le programme d'installation, assurez-vous que le fichier journal possède un nom unique, car les fichiers journaux de programme d'installation enfant ne s'ajoutent pas. La commande standard .msi peut être utilisée pour créer un fichier journal à l'aide de /l C:\<any directory>\<any log file name>.log. Dell recommande de ne pas utiliser la consignation détaillée « /l*v » dans une désinstallation avec ligne de commande, car le nom d'utilisateur/mot de passe est enregistré dans le fichier journal.

● Tous les programmes d'installation enfants utilisent les mêmes options d'affichage et commutateurs .msi de base, sauf lorsque cela est précisé, pour les désinstallations avec ligne de commande. Les commutateurs doivent être indiqués en premier. Le commutateur /v est requis et nécessite un argument. D'autres paramètres figurent dans un argument transmis au commutateur /v.

Commutateur

/v Transmission des variables au fichier .msi dans l'élément setup.exe. Le contenu doit

/s Mode Silencieux

/x Mode Désinstallation

/a Installation administrative (copie tous les fichiers dans le fichier .msi)

REMARQUE :

Avec /v, les options Microsoft par défaut sont disponibles. Pour obtenir la liste des options, voir https://msdn.microsoft.com/

en-us/library/windows/desktop/aa367988(v=vs.85).aspx.

Option Signification

/q Boîte de dialogue Aucune progression, se réinitialise après la fin du processus

Signification

toujours être entouré de guillemets en texte brut.

/qb Boîte de dialogue de progression dotée du bouton Annuler : vous invite à effectuer un

redémarrage

/qb- Boîte de dialogue de progression avec bouton Annuler: redémarre automatiquement à la

fin du processus

Désinstaller à l'aide des programme d'installation enfants 55

Option Signification

/qb! Boîte de dialogue de progression sans bouton Annuler : vous invite à effectuer un

redémarrage

/qb!- Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement

une fois le processus terminé

/qn Pas d'interface utilisateur

Désinstaller Encryption et Encryption sur système d’exploitation de serveur

● Pour réduire la durée du décryptage, lancez l'Assistant Nettoyage de disque Windows qui supprimera les fichiers temporaires et toute autre donnée inutile.

● Dans la mesure du possible, lancez le décryptage la veille au soir.

● Désactivez le mode Veille pour empêcher la mise en veille lors des périodes d'inactivité. Le décryptage ne peut pas être exécuté sur un

ordinateur en veille.

● Arrêtez tous les processus et applications afin de minimiser le risque d'échecs de décryptage dus à des fichiers verrouillés.

● Lorsque la désinstallation est terminée alors que le décryptage est toujours en cours, désactivez toute connectivité réseau. Sinon, de

nouvelles règles peuvent être acquises et réactiver le cryptage.

● Suivez votre processus actuel de décryptage des données (envoi d'une mise à jour de règle, par exemple).

● Encryption et Encryption External Media mettent à jour le Dell Server pour faire passer le statut à Non protégé au début du processus

de désinstallation d’un client. Toutefois, lorsque le client ne peut pas contacter le Dell Server, quelle qu'en soit la raison, le statut ne peut pas être mis à jour. Dans ce cas, vous devez supprimer le point de terminaison manuellement dans la console de gestion. Si votre organisation utilise ce flux de travail à des fins de conformité, Dell recommande de vérifier que le statut Non protégé a été défini correctement, dans la console de gestion ou dans les rapports gérés.

Processus

● Avant de lancer la désinstallation, voir (Facultatif) Créer un fichier journal de Encryption Removal Agent. Ce fichier journal permet de diagnostiquer les erreurs, si vous rencontrez un problème lors de la désinstallation / du décryptage. Si vous ne souhaitez pas décrypter les fichiers à la désinstallation, il n'est pas nécessaire de créer un fichier journal Encryption Removal Agent.

● Le Key Server (et Security Management Server) doit être configuré avant de procéder à la désinstallation si on utilise l'option Télécharger les clés d'Encryption Removal Agent depuis un serveur. Voir Configuration du Key Server pour procéder à

la désinstallation du client Encryption activé auprès de Security Management Server pour obtenir les instructions. Aucune action

préalable n'est nécessaire si le client à désinstaller est activé auprès d'un Security Management Server Virtual, car le Security Management Server Virtual n'utilise pas le Key Server.

● Vous devez utiliser l'utilitaire Dell Administrative Utility (CMGAd) avant de lancer Encryption Removal Agent si vous utilisez l'option Importer les clés d'Encryption Removal Agent depuis un fichier. Cet utilitaire est utilisé pour l'obtention du paquet de clés de cryptage. Reportez-vous à Utiliser l'utilitaire de téléchargement administratif (CMGAd) pour obtenir des instructions. L'utilitaire est disponible sur le support d'installation Dell.

● Exécutez WSScan pour vous assurer que toutes les données sont décryptéee une fois la désinstallation terminée, mais avant de redémarrer l'ordinateur. Reportez-vous à Utiliser WSScan pour obtenir des instructions.

● A intervalles réguliers, Vérifiez l'état de l'agent Encryption Removal. Le déchiffrement de données est encore en cours si le service Encryption Removal Agent existe encore dans le panneau de services.

Désinstallation avec ligne de commande

● Après son extraction du programme d’installation principal d’, le programme d’installation d’Encryption se trouve dans C:\extracted\Encryption\DDPE_XXbit_setup.exe.

● Le tableau suivant indique les paramètres disponibles dans le cadre de la désinstallation.

Désinstaller à l'aide des programme d'installation enfants

Paramètre Sélection

CMG_DECRYPT propriété permettant de sélectionner le type d'installation

d'Encryption Removal Agent :

3 - Utiliser le bundle LSARecovery

2 - Utiliser les clés d'analyse approfondie précédemment téléchargées

1 : télécharger les clés depuis Dell Server

0 : ne pas installer Encryption Removal Agent

CMGSILENTMODE Propriété permettant d'activer la désinstallation silencieuse :

1 - Silencieux : requis lors de l’exécution avec des variables msiexec contenant /q ou /qn

0 - Non silencieux : possible uniquement lorsque les variables msiexec contenant /q ne sont pas présentes dans la syntaxe de ligne de commande

Propriétés requises

DA_SERVER FQHN pour le Security Management Server hébergeant la

session de négociation.

DA_PORT Port sur Security Management Server pour requête (la valeur

par défaut est 8050).

SVCPN Nom d'utilisateur au format UPN employé par le service Key

Server pour se connecter comme sur Security Management Server.

DA_RUNAS Nom d'utilisateur dans un format compatible SAM, dans le

contexte duquel la demande d'extraction de clé est exécutée. Cet utilisateur doit être répertorié dans la liste des comptes Key Server, dans Security Management Server.

DA_RUNASPWD Mot de passe de l'utilisateur d'exécution

FORENSIC_ADMIN Compte administrateur d'analyse approfondie sur Dell Server, qui

peut être utilisé pour des demandes d'analyse approfondie, des désinstallations ou des clés.

FORENSIC_ADMIN_PWD Mot de passe du compte d'administrateur d'analyse approfondie.

Propriétés facultatives

SVCLOGONUN Nom d'utilisateur au format UPN pour le paramètre Connexion

en tant que service Encryption Removal Agent.

SVCLOGONPWD Mot de passe pour se connecter en tant qu'utilisateur.

● L’exemple suivant correspond à la désinstallation silencieuse d’Encryption et au téléchargement des clés de chiffrement depuis Security Management Server.

DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 DA_SERVER=server.organization.com DA_PORT=8050 SVCPN=administrator@organization.com DA_RUNAS=domain\username DA_RUNASPWD=password /qn"

Commande MSI :

msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" CMG_DECRYPT="1" CMGSILENTMODE="1" DA_SERVER="server.organization.com" DA_PORT="8050" SVCPN="administrator@domain.com" DA_RUNAS="domain\username" DA_RUNASPWD="password" /qn

Désinstaller à l'aide des programme d'installation enfants

Lorsque vous avez terminé, redémarrez l'ordinateur.

● L’exemple suivant correspond à la désinstallation silencieuse d’Encryption et au téléchargement des clés de chiffrement à l’aide d’un compte de l’administrateur d’analyse approfondie.

DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 FORENSIC_ADMIN=forensicadmin@organization.com FORENSIC_ADMIN_PWD=tempchangeit /qn"

Commande MSI :

msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn CMG_DECRYPT=1 CMGSILENTMODE=1 FORENSIC_ADMIN=forensicadmin@organization.com FORENSIC_ADMIN_PWD=tempchangeit REBOOT=REALLYSUPPRESS

Lorsque vous avez terminé, redémarrez l'ordinateur.

REMARQUE :

Dell recommande les actions suivantes lors de l'utilisation d'un mot de passe d'administrateur d'analyse approfondie sur la ligne de commande :

1. crée un compte d'administrateur d'analyse approfondie sur la console de gestion, dans le but d'effectuer la désinstallation silencieuse ;

2. utilise un mot de passe temporaire, applicable uniquement à ce compte et pendant cette période.

3. retire le compte temporaire de la liste des administrateurs ou en modifie le mot de passe une fois la désinstallation silencieuse terminée.

Il est possible que quelques anciens clients nécessitent des caractères d'échappement \" autour des valeurs de paramètres. Par exemple :

DDPE_XXbit_setup.exe /x /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER=\"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\" DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn"

Désinstallation d'Encryption External Media

Après son extraction du programme d’installation principal, le programme d’installation d’Encryption est disponible à l’emplacement C:\extracted\Encryption\DDPE_XXbit_setup.exe.

Désinstallation avec ligne de commande

Exécutez une ligne de commande basée sur l'exemple suivant :

DDPE_XXbit_setup.exe /s /x /v"/qn"

Lorsque vous avez terminé, redémarrez l'ordinateur.

Installez le chiffrement complet du disque

● La désactivation de l'authentification avant démarrage requiert une connexion réseau au Dell Server.

Processus

● Désactivation de l’authentification avant démarrage, ce qui supprime toutes les données d’authentification avant démarrage de l’ordinateur et déverrouille les clés de chiffrement complet du disque.

● Désinstallez le chiffrement complet du disque.

Désactiver l'authentification avant démarrage

1. Connectez-vous à la console de gestion en tant qu'administrateur Dell.

2. Dans le volet de gauche, cliquez sur Populations > Points de terminaison.

3. Sélectionnez le type de point final approprié.

4. Sélectionnez Afficher >Visible, Masqué, ou Tout.

Désinstaller à l'aide des programme d'installation enfants

5. Si vous connaissez le nom d'hôte de l'ordinateur, saisissez-le dans le champ Nom d'hôte (les jokers sont pris en charge). Pour afficher tous les ordinateurs, laissez ce champ vide. Cliquez sur Rechercher.

Si vous ne connaissez pas le nom d'hôte, faites défiler la liste des ordinateurs disponibles afin d'identifier celui qui vous intéresse.

Selon le filtre de recherche utilisé, un ordinateur ou une liste d'ordinateurs s'affiche.

6. Sélectionnez le nom d'hôte de l'ordinateur souhaité.

7. Cliquez sur Règles de sécurité sur le menu supérieur.

8. Sélectionnez le chiffrement complet du disque dans le groupe de Chiffrement Windows.

9. Passez le chiffrement complet du disque et la stratégie de On sur Off.

10. Cliquez sur Enregistrer.

11. Dans le volet de gauche, cliquez sur la bannière Valider les règles.

12. Cliquez sur Valider les règles.

Attendez que la règle se propage du Dell Server à l'ordinateur cible de la désactivation.

Désinstallez le chiffrement complet du disque et PBA Advanced Authentication une fois que l’authentification avant démarrage est désactivée.

Installation d’un client de chiffrement complet du disque

Désinstallation avec ligne de commande

● Après son extraction du programme d’installation principal, le chiffrement complet du disque est disponible à l’emplacement

C:\extracted\Encryption Management Agent\EMAgent_XXbit_setup.exe.

○ L’exemple suivant permet de désinstaller silencieusement le chiffrement complet du disque.

EMAgent_XXbit_setup.exe /x /s /v" /qn"

Après avoir terminé, éteignez et redémarrez l'ordinateur.

Désinstallation de SED Manager

● La désactivation de l'authentification avant démarrage requiert une connexion réseau au Dell Server.

Processus

● Désactivation de l'authentification avant démarrage, ce qui supprime toutes les données d'authentification avant démarrage de l'ordinateur et déverrouille les clés SED.

● Désinstallez SED Manager

Désactiver l'authentification avant démarrage

1. Connectez-vous à la console de gestion en tant qu'administrateur Dell.

2. Dans le volet de gauche, cliquez sur Populations > Points de terminaison.

3. Sélectionnez le type de point final approprié.

4. Sélectionnez Afficher >Visible, Masqué, ou Tout.

Si vous ne connaissez pas le nom d'hôte, faites défiler la liste des ordinateurs disponibles afin d'identifier celui qui vous intéresse.

Selon le filtre de recherche utilisé, un ordinateur ou une liste d'ordinateurs s'affiche.

6. Sélectionnez le nom d'hôte de l'ordinateur souhaité.

7. Cliquez sur Règles de sécurité sur le menu supérieur.

8. Sélectionnez Disques à cryptage automatique à partir de la page Catégorie de règle.

9. Modifiez le lecteur à cryptage automatique (SED) et la règle en passant de On à Off.

10. Cliquez sur Enregistrer.

Désinstaller à l'aide des programme d'installation enfants

11. Dans le volet de gauche, cliquez sur la bannière Valider les règles.

12. Cliquez sur Valider les règles.

Attendez que la règle se propage du Dell Server à l'ordinateur cible de la désactivation.

Désinstallez SED Manager et PBA Advanced Authentication une fois que l’authentification avant démarrage est désactivée.

Désinstaller le client SED

Désinstallation avec ligne de commande

Après son extraction du programme d’installation principal, le programme d’installation de SED Manager est disponible à l’emplacement

●

C:\extracted\Encryption Management Agent\EMAgent_XXbit_setup.exe.

○ L’exemple suivant correspond à la désinstallation silencieuse de SED Manager.

EMAgent_XXbit_setup.exe /x /s /v" /qn"

Après avoir terminé, éteignez et redémarrez l'ordinateur.

Désinstaller BitLocker Manager

Désinstallation avec ligne de commande

● Après son extraction du programme d’installation principal d’, le programme d’installation de BitLocker Manager se trouve dans C:\extracted\Encryption Management Agent\EMAgent_XXbit_setup.exe.

● L’exemple suivant correspond à la désinstallation silencieuse de BitLocker Manager.

EMAgent_XXbit_setup.exe /x /s /v" /qn"

Lorsque vous avez terminé, redémarrez l'ordinateur.

Désinstaller à l'aide des programme d'installation enfants

Programme de désinstallation de

Data Security

Désinstaller

Dell fournit le programme de désintallation de Data Security comme programme de désinstallation maître. Cet utilitaire rassemble les produits actuellement installés et les supprime dans l'ordre approprié.

Ce programme de désinstallation de Data Security est disponible dans : C:\Program Files (x86)\Dell\Dell Data

Protection

Pour plus d'informations ou pour utiliser l'interface de ligne de commande (CLI), voir l'article de la base de connaissances SLN307791.

Les journaux sont générés dans C:\ProgramData\Dell\Dell Data Protection\ pour tous les composants supprimés.

Pour exécuter l'utilitaire, ouvrez le dossier le contenant, faites un clic droit sur DataSecurityUninstaller.exe, et sélectionnez Exécuter

en tant qu'administrateur.

Cliquez sur Suivant.

Programme de désinstallation de Data Security 61

Vous pouvez également effacer n'importe quelle application de la suppression et cliquer sur Suivant.

Les dépendances requises sont automatiquement sélectionnées ou effacées.

Programme de désinstallation de Data Security

Pour supprimer des applications sans installer Encryption Removal Agent, choisissez Ne pas installer Encryption Removal Agent et sélectionnez Suivant.

Programme de désinstallation de Data Security

Sélectionnez Encryption Removal Agent : télécharger des clés depuis un serveur.

Saisissez les informations d'identification complètes d'un administrateur d'analyse approfondie et sélectionnez Suivant.

Sélectionnez Supprimer pour lancer la désinstallation.

Programme de désinstallation de Data Security

Cliquez sur Terminer pour terminer la suppression et redémarrez l'ordinateur. L'option Redémarrer la machine après avoir cliqué sur Terminé est sélectionnée par défaut.

La désinstallation et la suppression sont terminées.

Programme de désinstallation de Data Security

Scénarios couramment utilisés

● Pour installer chaque client individuellement, vous devez d’abord extraire les fichiers exécutables enfant du programme d’installation principal d’ ; tel qu’indiqué dans la section Extraire les programmes d’installation enfants du programme d’installation principal.

● Les commutateurs et les paramètres de ligne de commande sont sensibles à la casse.

● Veillez à inclure une valeur contenant un ou plusieurs caractères spéciaux, tels qu'un espace dans la ligne de commande, entre des

guillemets d'échappement.

● Le redémarrage a été supprimé dans les exemples de ligne de commande. Cependant, un redémarrage éventuel est requis. Le cryptage ne pourra commencer que lorsque l'ordinateur aura redémarré.

● Fichiers journaux : Windows crée des fichiers journaux d'installation uniques pour l'utilisateur connecté à %Temp%, accessibles dans

C:\Users\<UserName>\AppData\Local\Temp.

Commutateur

/v Transmission des variables au fichier .msi dans le fichier .exe

/s Mode Silencieux

/i Mode d'installation

Option Signification

/q Boîte de dialogue Aucune progression, se réinitialise après la fin du processus

/qb Boîte de dialogue de progression dotée du bouton Annuler : vous invite à effectuer un

/qb- Boîte de dialogue de progression avec bouton Annuler: redémarre automatiquement à la

/qb! Boîte de dialogue de progression sans bouton Annuler : vous invite à effectuer un

/qb!- Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement

/qn Pas d'interface utilisateur

Signification

redémarrage

fin du processus

redémarrage

une fois le processus terminé

● Dirigez les utilisateurs vers les documents suivants et les fichiers d'aide en cas de besoin au moment de l'application :

○ Pour apprendre à utiliser les fonctions d’Encryption, reportez-vous à Dell Encrypt Help (Aide concernant Dell Encrypt). Accédez à

l'aide depuis <Install dir>:\Program Files\Dell\Dell Data Protection\Encryption\Help.

66 Scénarios couramment utilisés

○ Voir Encryption External Media Help (Aide concernant Encryption External Media) pour apprendre à utiliser les

fonctions d'Encryption External Media. Accédez à l'aide depuis <Install dir>:\Program Files\Dell\Dell Data

Protection\Encryption\EMS

○ Voir Encryption Enterprise Help (Aide d'Encryption Enterprise) d' pour savoir comment utiliser les fonctions de. Accédez à l'aide à

partir de <Install dir>:\Program Files\Dell\Dell Data Protection\Authentication \Help.

Client Encryption

● L’exemple suivant correspond à l’installation de la gestion SED et d’Encryption Management Agent (installation silencieuse, pas de redémarrage, aucune entrée dans la liste Programmes du Panneau de configuration, installation à l’emplacement par défaut

C:\Program Files\Dell\Dell Data Protection\Encryption).

EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn"

Puis :

● L’exemple suivant correspond à l’installation d’Encryption avec les paramètres par défaut (Encryption et Encrypt for Sharing, pas de boîte de dialogue, pas de barre de progression, pas de redémarrage, installation à l’emplacement par défaut C:\Program

Files\Dell\Dell Data Protection\Encryption).

RemplacezDEVICESERVERURL=https://server.organization.com:8081/xapi (sans barre oblique à la fin) si la version de votre Security Management Server est antérieure à 7.7.

SED Manager (Advanced Authentication inclus) et client Encryption

● L'exemple suivant correspond à l'installation des pilotes pour Trusted Software Stack (TSS) pour le TPM et des correctifs Microsoft à l'emplacement spécifié, et ne crée pas d'entrée dans la liste des Programmes du Panneau de configuration et supprime le redémarrage.

Ces pilotes doivent être installés lors de l'installation du client Encryption.

setup.exe /S /z"\"InstallPath=<c:\location>, ARPSYSTEMCOMPONENT=1, SUPPRESSREBOOT=1\""

Puis :

● L’exemple suivant installe SED Manager géré à distance (installation silencieuse, pas de redémarrage, aucune entrée dans la liste Programmes du Panneau de configuration, installation à l’emplacement par défaut de C:\Program Files\Dell\Dell Data

Protection).

EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn"

Puis :

● L'exemple suivant correspond à l'installation de Advanced Authentication (installation silencieuse, pas de redémarrage, installation à l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection\Authentication).

setup.exe /s /v"/norestart /qn ARPSYSTEMCOMPONENT=1"

Puis :

● L'exemple suivant permet d'installer le client avec les paramètres par défaut (client Encryption et option Crypter pour le partage, pas de boîte de dialogue, pas de barre de progression, pas de redémarrage, installation à l'emplacement par défaut C:\Program

Files\Dell\Dell Data Protection).

Scénarios couramment utilisés

RemplacezDEVICESERVERURL=https://server.organization.com:8081/xapi (sans barre oblique à la fin) si la version de votre Security Management Server est antérieure à 7.7.

SED Manager et Encryption External Media

● L’exemple suivant correspond à l’installation de SED Manager, d’Encryption Management Agent et de la console de sécurité locale (installation silencieuse, pas de redémarrage, aucune entrée dans la liste Programmes du Panneau de configuration, installation à l’emplacement par défaut de C:\Program Files\Dell\Dell Data Protection\Encryption).

EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn"

Puis :

● L'exemple suivant correspond à l'installation d'Encryption External Media uniquement (installation silencieuse, pas de redémarrage, installé à l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection).

RemplacezDEVICESERVERURL=https://server.organization.com:8081/xapi (sans barre oblique à la fin) si la version de votre Security Management Server est antérieure à 7.7.

BitLocker Manager et Encryption External Media

● BitLocker Manager et Encryption External Media interagissent en fonction d'une séquence de chiffrement. Si un disque BitLocker Manager est inséré dans un ordinateur avec Encryption External Media, le mot de passe BitLocker Manager doit être saisi pour que Encryption External Media puisse lire et crypter le lecteur.

● Si Encryption External Media est actif sur un lecteur, BitLocker Manager peut être appliqué au même lecteur.

● L'exemple suivant correspond à l'installation de BitLocker Manager (installation silencieuse, pas de redémarrage, pas d'entrée dans

la liste des Programmes du panneau de configuration, installation à l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection).

EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM / norestart /qn"

Ensuite :

RemplacezDEVICESERVERURL=https://server.organization.com:8081/xapi (sans barre oblique à la fin) si la version de votre Security Management Server est antérieure à 7.7.

Scénarios couramment utilisés

Téléchargement du logiciel

Cette section détaille l'obtention du logiciel depuis dell.com/support. Si vous possédez déjà le logiciel, veuillez ignorer cette section.

Rendez-vous sur dell.com/support pour commencer.

1. Sur la page Web de support Dell, sélectionnez Parcourir tous les produits.

2. Sélectionnez Sécurité dans la liste des produits.

3. Sélectionnez Dell Data Security.

Le site Web se rappelle la sélection initiale.

Téléchargement du logiciel 69

4. Sélectionnez le produit Dell.

Exemples :

Dell Encryption Enterprise

Dell Endpoint Security Suite Enterprise

5. Sélectionnez Pilotes et téléchargements.

6. Sélectionnez le type de système d'exploitation client souhaité.

7. Sélectionnez Dell Encryption dans les correspondances. Ceci n'étant qu'un exemple, elles pourront être légèrement différentes. Par exemple, il pourra ne pas exister quatre fichiers parmi lesquels choisir.

8. Sélectionnez Téléchargement.

Téléchargement du logiciel

Configuration préalable à l'installation pour

SED UEFI, et BitLocker Manager

Initialiser le module TPM

● Vous devez être membre du groupe des administrateurs locaux, ou équivalent.

● L'ordinateur doit être pourvu d'un BIOS compatible et d'un TPM.

● Suivez les instructions sous http://technet.microsoft.com/en-us/library/cc753140.aspx.

Configuration de la pré-Installation avant démarrage sur les ordinateurs UEFI

Activer la connectivité réseau au cours de l’authentification avant démarrage UEFI

Pour que l’authentification avant démarrage réussisse sur un ordinateur équipé du micrologiciel UEFI, l’authentification avant démarrage (PBA) doit disposer de la connectivité réseau. Par défaut, les ordinateurs équipés d'un micrologiciel UEFI ne disposent pas de connectivité réseau tant que le système d'exploitation n'est pas chargé, ce qui intervient après le mode d'authentification avant démarrage.

La procédure suivante active la connectivité réseau au cours de la PBA pour les ordinateurs activés UEFI. Comme les étapes de configuration varient d'un modèle d'ordinateur à l'autre, la procédure suivante n'est donnée qu'à titre d'exemple.

1. Démarrez en mode de configuration du micrologiciel UEFI :

2. Appuyez continuellement sur la touche F2 pendant le démarrage, jusqu'à ce qu'un message de type « préparation du menu de démarrage ponctuel » apparaisse dans l'angle supérieur droit de l'écran.

3. Entrez le mot de passe d'administrateur du BIOS si on vous le demande.

REMARQUE :

Généralement, vous ne verrez pas cette invite s'il s'agit d'un nouvel ordinateur, car le mot de passe du BIOS n'aura pas encore été configuré.

4. Sélectionnez Configuration système

5. Sélectionnez NIC intégrée.

6. Cochez la case Activer la pile réseau UEFI.

7. Sélectionnez Activé ou Activé avec PXE.

8. Sélectionnez Appliquer

REMARQUE :

Configuration préalable à l'installation pour SED UEFI, et BitLocker Manager 71

Les ordinateurs ne disposant pas du micrologiciel UEFI n'ont pas besoin de configuration.

Désactiver les ROM de l'option Héritée :

Assurez-vous que le paramètre Activer les ROM de l'option Héritée est désactivé dans le BIOS.

1. Redémarrez l'ordinateur.

2. Au cours du redémarrage, appuyez sur F12 à plusieurs reprises jusqu'à appeler les paramètres d'amorçage de l'ordinateur UEFI.

3. Appuyez sur la flèche vers le bas, mettez en surbrillance l'option Paramètres du BIOS, puis appuyez sur Entrée.

4. Sélectionnez Paramètres > généraux > Options de démarrage avancées.

5. Décochez la case Activer les ROM de l'option Héritée et cliquez sur Appliquer.

Configuration préalable à l'installation d'une partition d'authentification avant démarrage BitLocker

● Vous devez créer la partition d'authentification avant démarrage (PBA) avant d'installer BitLocker Manager.

● Mettez sous tension et activez le TPM avant d'installer BitLocker Manager. BitLocker Manager s'approprie le TPM sans nécessiter de

redémarrage. Toutefois, si le TPM a déjà un propriétaire, BitLocker Manager lance le processus de configuration du cryptage. Ce qui compte, c'est que le TPM soit propriétaire et activé.

● Vous devrez peut-être partitionner le disque manuellement. Pour obtenir des informations supplémentaires, reportez-vous à la description de l'outil de préparation de lecteur BitLocker de Microsoft.

● Utilisez la commande BdeHdCfg.exe pour créer la partition d'authentification avant démarrage. Avec le paramètre par défaut, l'outil de ligne de commande suit le même processus que l'Assistant Configuration BitLocker.

BdeHdCfg -target default

REMARQUE :

Pour plus d'options disponibles pour la commande BdeHdCfg, voir Référence des paramètres de BdeHdCfg.exe de Microsoft.

72 Configuration préalable à l'installation pour SED UEFI, et BitLocker Manager

Définir le Dell Server par le biais du registre

● Si les droits sont accordés à vos clients par le biais de Dell Digital Delivery, suivez les instructions ci-dessous pour définir un registre à l’aide d’objets de la stratégie de groupe afin de prédéfinir le serveur Dell à utiliser après l’installation.

● La station de travail doit être membre de l’unité organisationnelle dans laquelle les objets de stratégie de groupe sont appliqués. Sinon, les paramètres du registre doivent être définis manuellement sur le point de terminaison.

● Assurez-vous que le port sortant 443 est disponible pour communiquer avec le Dell Server sur cloud.dell.com. Si le port 443 est bloqué (quelle que soit la raison), l’obtention de l’autorisation échoue et une autorisation est consommée à partir du pool disponible.

REMARQUE : Si vous ne définissez pas cette valeur de registre lorsque vous tentez l’installation par le biais de Dell Digital

Delivery ou si vous ne spécifiez pas un SERVEUR dans le programme d’installation principal, l’URL d’activation est définie par défaut sur 199.199.199.199.

Définir manuellement la clé de registre

Pour les points de terminaison qui ne sont pas joints au domaine ou pour lesquels la configuration d’un objet de stratégie de groupe est impossible, prédéfinissez une clé de registre pour les activer sur un Dell Server spécifique lors de l’installation.

1. Dans la zone de recherche de la barre des tâches, saisissez regedit, puis cliquez avec le bouton droit de la souris et sélectionnez Exécuter en tant qu’administrateur.

2. Accédez aux clés de registre et créez la clé de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Dell\Dell Data Protection

REG_SZ: Server

Value: <FQDN or IP address of the Dell Server>

3. Installez le chiffrement par le biais de Dell Digital Delivery ou du programme d’installation principal.

Créer l’objet de stratégie de groupe

1. Sur le contrôleur de domaine permettant de gérer les clients, cliquez sur Démarrer > Outils d'administration > Gestion des règles de groupe.

2. Cliquez avec le bouton droit sur l'unité organisationnelle à laquelle la règle doit être appliquée, puis sélectionnez Créer un objet GPO dans ce domaine et Le lier ici.

3. Saisissez le nom du nouvel objet GPO, sélectionnez (aucun) dans le champ Objet GPO Starter source, puis cliquez sur OK.

Définir le Dell Server par le biais du registre 73

4. Cliquez-droit sur l'objet GPO créé et sélectionnez Modifier.

5. L'Éditeur de gestion des règles de groupe se charge. Accédez à Configuration ordinateur > Préférences > Paramètres Windows > Registre.

6. Cliquez avec le bouton droit sur le registre, puis sélectionnez Nouveau > Élément du Registre. Renseignez les éléments suivants :

Action : Create

Ruche : HKEY_LOCAL_MACHINE

Chemin d'accès à la clé : SOFTWARE\Dell\Dell Data Protection

Nom de la valeur : Server

Type de valeur : REG_SZ

Définir le Dell Server par le biais du registre

Value data: <FQDN or IP address of the Dell Server>

7. Cliquez sur OK.

8. Déconnectez-vous, puis reconnectez-vous au poste de travail, ou exécutez gpupdate /force pour appliquer la règle de groupe.

Définir le Dell Server par le biais du registre

Extraire les programmes d'installation enfant

● Pour installer chaque client individuellement, vous devez d'abord extraire les fichiers exécutables du programme d'installation.

● Le programme d'installation principal n'est pas un programme de désinstallation principal. Chaque client doit être désinstallé

séparément avant la désinstallation du programme d'installation principal. Utilisez ce processus pour extraire les clients du programme d'installation principal afin de pouvoir les utiliser pour la désinstallation.

1. À partir du support d'installation Dell, copiez le fichier DDSSetup.exe sur l'ordinateur local.

2. Ouvrez une invite de commande dans le même emplacement que le fichier DDSSetup.exe et saisissez :

DDSSetup.exe /s /z"\"EXTRACT_INSTALLERS=C:\Extracted""

Le chemin d'extraction ne peut pas comporter plus de 63 caractères.

Avant de commencer, vérifiez que toutes les conditions préalables ont été remplies et que tous les logiciels requis ont été installés pour chaque programme d'installation enfant que vous envisagez d'installer. Reportez-vous à Exigences pour plus de détails.

Les programmes d'installation enfants extraits se trouvent à l'emplacement C:\extracted\.

76 Extraire les programmes d'installation enfant

Configurer Key Server

● Cette section explique comment configurer les composants requis pour utiliser l'authentification/autorisation Kerberos avec un Security Management Server. Security Management Server Virtual n'utilise pas Key Server.

Key Server est un service qui écoute pour savoir quels clients se connectent à un socket. Dès qu'un client est connecté, une connexion sécurisée est négociée, authentifiée et cryptée à l'aide des API Kerberos (en cas d'échec de la négociation de la connexion sécurisée, le client est déconnecté).

Dell Key Server vérifie ensuite auprès du Security Server (anciennement dénommé Device Server) si l'utilisateur exécutant le client est autorisé à accéder aux clés. Cet accès est accordé via des domaines individuels dans la console de gestion.

● Pour utiliser l'authentification/autorisation Kerberos, il est nécessaire d'intégrer le serveur qui contient le composant Key Server dans le domaine concerné.

● La désinstallation classique est affectée car le Security Management Server Virtual n'utilise pas le Key Server. Lors de la désinstallation d'un client Encryption activé par rapport à un Security Management Server Virtual, la récupération de la clé d'analyse approfondie standard s'effectue par le biais de Security Server plutôt que par la méthode Kerberos de Key Server. Reportez-vous à Désinstallation

par la ligne de commande pour plus d'informations.

Écran des services - Ajouter un utilisateur du compte de domaine

1. Dans Security Management Server, accédez au volet de services (Démarrer > Exécuter > services.msc > OK).

2. Effectuez un clic droit sur Key Server, puis sélectionnez Propriétés.

3. Sélectionnez l'onglet Connexion puis l'option Ce compte :.

Dans le champ Ce compte :, ajoutez l'utilisateur de compte de domaine. Cet utilisateur de domaine doit au minimum disposer des droits d'administrateur local sur le dossier Key Server (il doit disposer de droits d'écriture sur le fichier de configuration Key Server ainsi que sur le fichier log.txt).

Saisissez et confirmez un nouveau mot de passe pour l'utilisateur.

Cliquez sur OK.

Configurer Key Server 77

4. Redémarrez le service Key Server (laissez ouvert le panneau de services pour pouvoir y revenir ultérieurement).

5. Accédez au fichier log.txt qui se trouve dans <Key Server install dir> pour vérifier que le service a correctement démarré.

Fichier de configuration de Key Server - Ajouter un utilisateur pour la communication avec le Security Management Server

1. Naviguez jusqu'au <Key Server install dir>.

2. Ouvrez Credant.KeyServer.exe.config dans un éditeur de texte.

3. Naviguez jusqu'à <add key="user" value="superadmin" /> et remplacez la valeur « superadmin » par le nom de l'utilisateur concerné (vous pouvez également laisser la valeur « superadmin »).

Le format « superadmin » peut correspondre à n'importe quelle méthode permettant l'authentification sur le Security Management Server. Vous pouvez utiliser le nom de compte SAM, l'UPN ou le format DOMAINE\Nom d'utilisateur. Toutes les méthodes permettant l'authentification sur le Security Management Server sont acceptées, car la validation est requise pour ce compte utilisateur pour l'autorisation sur Active Directory.

Par exemple, dans un environnement à domaines multiples, si vous saisissez uniquement un nom de compte SAM tel que « jdupont », l'authentification risque d'échouer, car le Security Management Server ne peut pas authentifier « jdupont », puisque « jdupont » est introuvable. Bien que le format DOMAINE\Nom d'utilisateur soit accepté, nous vous recommandons d'utiliser l'UPN dans un environnement à domaines multiples. Dans un environnement à domaine unique, vous pouvez utiliser le nom de compte SAM.

4. Accédez à <add key="epw" value="<encrypted value of the password>" /> et remplacez « epw » par « password ». Remplacez ensuite « <encrypted value of the password> » par le mot de passe de l'utilisateur que vous avez configuré à l'étape 3. Ce mot de passe est à nouveau crypté au redémarrage du Security Management Server.

Configurer Key Server

Si vous avez utilisé « superadmin » à l'étape 3, et si le mot de passe superadmin n'est pas « changeit », vous devez le modifier ici. Enregistrez le fichier, puis fermez-le.

Exemple de fichier de configuration

<?xml version="1.0" encoding="utf-8" ?>

<add key="port" value="8050" /> [port TCP sur lequel Dell Key Server écoutera. La valeur par défaut est 8050.]

<add key="maxConnections" value="2000" /> [nombre de connexions de socket actives que le Key Server autorisera]

<add key="url" value="https://keyserver.domain.com:8443/xapi/" /> [URL du Security Server (anciennement dénommé Device Server) (le format est 8081/xapi si votre version de Security Management Server est antérieure à 7.7)]

<add key="verifyCertificate" value="false" /> [la valeur « vrai » vérifie les certificats ; définissez-la sur « faux » si vous ne souhaitez pas vérifier les certificats ou si vous utilisez des certificats auto-signés]

<add key="user" value="superadmin" /> [Nom d'utilisateur utilisé pour communiquer avec le Security Server. Le rôle Administrateur doit être sélectionné pour cet utilisateur dans la Console de gestion. Le format « superadmin » peut correspondre à n'importe quelle méthode permettant l'authentification sur le Security Management Server. Vous pouvez utiliser le nom de compte SAM, l'UPN ou le format DOMAINE\Nom d'utilisateur. Toutes les méthodes permettant l'authentification sur le Security Management Server sont acceptées, car la validation est requise pour ce compte utilisateur pour l'autorisation sur Active Directory. Par exemple, dans un environnement à domaines multiples, si vous saisissez uniquement un nom de compte SAM tel que « jdupont », l'authentification risque d'échouer, car le Security Management Server ne peut pas authentifier « jdupont », puisque « jdupont » est introuvable. Bien que le format DOMAINE\Nom d'utilisateur soit accepté, nous vous recommandons d'utiliser l'UPN dans un environnement à domaines multiples. Dans un environnement à domaine unique, vous pouvez utiliser le nom de compte SAM.]

<add key="cacheExpiration" value="30" /> [Fréquence (en secondes) à laquelle le service doit vérifier les personnes autorisées à demander des clés. Le service conserve un cache et assure le suivi de son ancienneté. Lorsque l'ancienneté du cache dépasse la valeur définie, le service établit une nouvelle liste. Lorsqu'un utilisateur se connecte, le Key Server doit télécharger les utilisateurs autorisés à partir du Security Server. S’il n’existe aucun cache pour ces utilisateurs, ou si la liste n’a pas été téléchargée au cours des « x » dernières secondes, elle est de nouveau téléchargée. Aucune interrogation n'est exécutée, mais cette valeur permet de configurer le délai d'expiration de la liste après lequel une actualisation est nécessaire.]

<add key="epw" value="encrypted value of the password" /> [Mot de passe utilisé pour communiquer avec Security Management Server. Si vous avez modifié le mot de passe superadmin, vous devez également le modifier ici.]

</appSettings>

</configuration>

Écran des services - Redémarrage du service Key Server

1. Retournez au panneau de services (Démarrer > Exécuter > services.msc > OK).

2. Redémarrez le service Key Server.

3. Accédez au fichier log.txt qui se trouve dans <Key Server install dir> pour vérifier que le service a correctement démarré.

4. Fermez le volet de services.

Console de gestion - Ajouter un administrateur d'analyse approfondie

1. Connectez-vous à la console de gestion en tant qu'administrateur Dell.

2. Cliquez sur Populations > Domaines.

3. Sélectionnez le Domaine pertinent.

4. Cliquez sur l'onglet Key Server.

Configurer Key Server

5. Dans Compte, ajoutez l'utilisateur pour effectuer les activités d'administrateur. Le format est DOMAINE\Nom d'utilisateur. Cliquez sur Ajouter un compte.

6. Cliquez sur Utilisateurs dans le menu de gauche. Dans la zone de recherche, recherchez le nom d'utilisateur que vous avez ajouté à l'étape 5. Cliquez sur Rechercher.

7. Une fois que vous avez localisé l'utilisateur approprié, cliquez sur l'onglet Admin.

8. Sélectionnez Administrateur d'analyse approfondie, puis cliquez sur Mettre à jour.

La configuration des composants pour l'authentification/autorisation Kerberos est maintenant terminée.

Configurer Key Server

Utiliser l'utilitaire Administrative Download

(CMGAd)

● Cet utilitaire permet de télécharger un bundle de matériel clé à utiliser sur un ordinateur non connecté à un Dell Server.

● Cet utilitaire utilise l’une des méthodes suivantes pour télécharger un bundle de ressources de clé, selon le paramètre de ligne de

commande passé à l’application :

○ Mode d'analyse approfondie : utilisé si -f est passé sur la ligne de commande ou si aucun paramètre de ligne de commande n'est

utilisé.

○ Mode Admin : utilisé si -f est passé sur la ligne de commande.

Les fichiers journaux se trouvent à C:\ProgramData\CmgAdmin.log

Utilisation du mode Analyse approfondie

1. Double-cliquez sur cmgad.exe pour lancer l'utilitaire ou ouvrez une invite de commande où se trouve CMGAd et tapez cmgad.exe

-fcmgad.exe -f (oucmgad.exe cmgad.exe).

2. Entrez les informations suivantes (certains champs peuvent être déjà renseignés).

URL du Device Server : URL complète du Security Server (Device Server). Le format est le suivant https:// securityserver.domain.com:8443/xapi/. Si la version de votre Dell Server est antérieure à v7.7, le format est https:// deviceserver.domain.com:8081/xapi (numéro de port différent, sans barre oblique).

Dell Admin : nom de l’administrateur avec les informations d’identification de l’administrateur d’analyse approfondie comme jdupont (activé dans la console de gestion)

Mot de passe : mot de passe d'administrateur d'analyse approfondie

MCID : ID de la machine, tel que IDmachine.domaine.com

DCID : huit premiers caractères de l'ID de Bouclier comportant 16 caractères.

REMARQUE :

Généralement, il suffit de spécifier MCID ou DCID. Cependant, si les deux sont connus, il peut être utile de les entrer tous les deux. Chaque paramètre contient différentes informations utilisées par cet utilitaire.

Cliquez sur Suivant.

Utiliser l'utilitaire Administrative Download (CMGAd) 81

3. Dans le champ Phrase de passe :, entrez la phrase de passe pour protéger le fichier de téléchargement. La phrase de passe doit contenir au moins huit caractères, au moins un caractère alphabétique et un caractère numérique. Confirmer la phrase de passe.

Acceptez le nom et l’emplacement par défaut auquel le fichier sera enregistré, ou cliquez sur ... pour sélectionner un emplacement différent.

Cliquez sur Suivant.

Le message qui s'affiche indique que le matériel clé a été déverrouillé avec succès. Les fichiers sont désormais accessibles.

4. Cliquez sur Terminer lorsque vous avez terminé.

Utiliser l'utilitaire Administrative Download (CMGAd)

Utilisation du mode Admin

Le mode Admin ne peut pas être utilisé pour l'obtention d'un ensemble de clés depuis un Security Management Server Virtual, car le Security Management Server Virtual n'utilise pas le Key Server. Utilisez le mode Analyse approfondie pour obtenir l'ensemble de clés si le client est activé par rapport à un Security Management Server Virtual.

1. Ouvrez une invite de commande à l'emplacement de CMGAd et saisissez la commande cmgad.exe -a.

2. Entrez les informations suivantes (certains champs peuvent être déjà renseignés).

Serveur : nom d'hôte complet du Key Server, tel que keyserver.domaine.com

Numéro de port : le port par défaut est 8050.

Compte de serveur : l'utilisateur de domaine sous le nom duquel le Key Server s'exécute. Le format est DOMAINE\Nom d'utilisateur. L'utilisateur de domaine qui exécute l'utilitaire doit être autorisé à effectuer le téléchargement depuis le Key Server

MCID : ID de la machine, tel que IDmachine.domaine.com

DCID : huit premiers caractères de l'ID de Bouclier comportant 16 caractères.

REMARQUE :

Cliquez sur Suivant.

Confirmer la phrase de passe.

Acceptez le nom et l’emplacement par défaut auquel le fichier sera enregistré, ou cliquez sur ... pour sélectionner un emplacement différent.

Cliquez sur Suivant.

Utiliser l'utilitaire Administrative Download (CMGAd)

Le message qui s'affiche indique que le matériel clé a été déverrouillé avec succès. Les fichiers sont désormais accessibles.

4. Cliquez sur Terminer lorsque vous avez terminé.

Utiliser l'utilitaire Administrative Download (CMGAd)

Configuration d’Encryption sur un système

d’exploitation de serveur

Activer Encryption sur un système d’exploitation de serveur

REMARQUE :

Le chiffrement des systèmes d’exploitation de serveur convertit le chiffrement Utilisateur en chiffrement Courant.

1. Connectez-vous à la console de gestion en tant qu'administrateur Dell.

2. Sélectionnez Groupe de points de terminaison (ou Point de terminaison), recherchez le point de terminaison ou le groupe de points de terminaison à activer, sélectionnez Règles de sécurité, puis la catégorie de règles Server Encryption.

3. Définissez les règles suivantes :

● Server Encryption : sélectionnez cette option pour activer Encryption sur un système d’exploitation de serveur et les règles

connexes.

● SDE Encryption activé : sélectionnez cette option pour activer le cryptage SDE.

● Encryption activé - Sélectionnez cette option pour activer le cryptage courant.

● Sécuriser les informations d'identification Windows : cette stratégie est sélectionnée par défaut.

Lorsque la stratégie Sécuriser les informations d'identification Windows est sélectionnée (par défaut), tous les fichiers du dossier \Windows\system32\config sont cryptés, y compris les informations d'identification Windows. Pour éviter le cryptage des informations d'identification Windows, désélectionnez la stratégie Sécuriser les informations d'identification Windows. Le cryptage des informations d'identification Windows se produit indépendamment de la définition de la stratégie SDE Encryption activé.

4. Enregistrez et validez les règles.

Personnaliser la boîte de dialogue de connexion Activation

La boîte de dialogue de connexion Activation affiche :

● Lorsqu'un utilisateur non géré se connecte.

● Lorsque l'utilisateur sélectionne l'option Activer Dell Encryption dans le menu de l'icône Encryption, situé dans la zone de notification.

Configuration d’Encryption sur un système d’exploitation de serveur 85

Configuration de règles Encryption External Media

ordinateur de cryptage d'origine

serveur protégé

protégé détecte la présence d’un périphérique amovible, l’utilisateur est invité à le chiffrer.

● Les règles d'Encryption External Media contrôlent aussi l'accès du support amovible au serveur, l'authentification et le cryptage, entre autres.

● Les règles du système de contrôle de port affectent le support amovible des serveurs protégés, en contrôlant par exemple l'accès et l'utilisation des ports USB du serveur par des périphériques USB.

Les règles de cryptage des supports amovibles se trouvent dans la console de gestion, dans le groupe de technologie Server Encryption.

Encryption sur un système d’exploitation de serveur et supports externes

Lorsque la stratégie de cryptage EMS des supports externes est sélectionnée, les supports externes sont cryptés. Encryption lie le périphérique au serveur protégé avec la clé d’ordinateur et à l’utilisateur avec la clé Utilisateur itinérant de l’utilisateur/du propriétaire du périphérique amovible. Tous les fichiers ajoutés au périphérique amovible sont cryptés à l'aide de ces mêmes clés, quel que soit l'ordinateur auquel il est connecté.

REMARQUE :

Encryption sur un système d’exploitation de serveur convertit le chiffrement Utilisateur en chiffrement Courant, sauf sur les périphériques amovibles. Sur les périphériques amovibles, le cryptage est effectué à l'aide de la clé Utilisateur itinérant associée à l'ordinateur.

Lorsqu'un utilisateur ne souhaite pas crypter un périphérique amovible, l'accès de l'utilisateur au périphérique peut être défini sur Bloqué lorsqu'il est utilisé sur le serveur protégé, En lecture seule lors de son utilisation sur le serveur protégé ou bien sur Accès total. Les stratégies du serveur protégé déterminent le niveau d'accès à un périphérique amovible non protégé.

Les mises à jour des règles se produisent lorsque le périphérique amovible est réinséré dans le serveur protégé d'origine.

Authentification et Support externe

Les stratégies du serveur protégé déterminent la fonction d'authentification.

Après le cryptage d'un périphérique amovible, seul son propriétaire/utilisateur peut y accéder sur le serveur protégé. D'autres utilisateurs ne peuvent pas accéder aux fichiers cryptés sur le support amovible.

L'authentification automatique locale permet d'authentifier automatiquement le périphérique amovible protégé lorsqu'il est inséré dans l'ordinateur de cryptage d'origine et que le propriétaire de ce support est connecté. Lorsque l'authentification automatique est désactivée, le propriétaire/l'utilisateur doit s'authentifier pour accéder au périphérique amovible protégé.

Lorsque l'ordinateur de cryptage d'origine d'un périphérique amovible est un serveur protégé, le propriétaire/l'utilisateur doit toujours se connecter au périphérique amovible lorsqu'il l'utilise sur des ordinateurs qui ne sont pas d'origine, quels que soient les paramètres de la règle Encryption External Media définis sur les autres ordinateurs.

Reportez-vous à AdminHelp pour plus d'informations à propos des règles de contrôle des ports de Server Encryption et d'Encryption External Media.

(un serveur sur lequel Encryption sur un système d’exploitation de serveur est installé et activé) et dès que le serveur

est l'ordinateur qui crypte un périphérique amovible à l'origine. Lorsque l’ordinateur d’origine est un

Interruption d’Encryption sur un système d’exploitation de serveur

L'interruption d'un serveur crypté empêche l'accès à ses données cryptées après un redémarrage. L'utilisateur du serveur virtuel ne peut pas être interrompu. À la place, la clé d'ordinateur du serveur crypté est interrompue.

REMARQUE :

L'interruption d'un point final du serveur n'entraîne pas l'interruption immédiate du serveur. L'interruption se produit lors de la demande suivante de la clé, ce qui correspond en général au redémarrage suivant du serveur.

REMARQUE :

À utiliser avec soin. L'interruption d'un serveur crypté peut entraîner une instabilité, selon les paramètres de la règle et si le serveur protégé est interrompu lorsqu'il est déconnecté du réseau.

Pré-requis

Configuration d’Encryption sur un système d’exploitation de serveur

● Des droits d'administrateur du service d'assistance technique, attribués dans la console de gestion, sont requis pour interrompre un point de terminaison.

● L’administrateur doit être connecté à la console de gestion.

Dans le volet de gauche de la console de gestion, cliquez sur Populations > Points de terminaison.

Recherchez ou sélectionnez un nom d’hôte, puis cliquez sur l’onglet Détails et actions.

Sous Contrôle des périphériques du serveur, cliquez sur Suspendre, puis sur Oui.

REMARQUE :

Cliquez sur Rétablir pour permettre à Encryption sur systèmes d’exploitation de serveur d’accéder aux données chiffrées sur le serveur après son redémarrage.

Configuration d’Encryption sur un système d’exploitation de serveur 87

Configuration de l'activation différée

Le client Encryption avec activation différée est différent de l'activation du client Encryption sur deux aspects :

Règles de cryptage basées sur le périphérique

Les règles du client Encryption reposent sur l'utilisateur, tandis que les règles de cryptage du client Encryption avec activation différée sont basées sur le périphérique. Le cryptage Utilisateur est converti en cryptage Courant. Cette différence permet à l'utilisateur d'apporter un périphérique personnel pour l'utiliser au sein du domaine de l'organisation, tout en permettant à l'organisation de conserver son niveau de sécurité grâce à une gestion centralisée des règles de cryptage.

Activation

Avec le client Encryption, l'activation est automatique. Lorsque est installé avec l'activation différée, l'activation automatique est désactivée. Cette option permet à l'utilisateur de choisir s'il active ou non le cryptage, et à quel moment.

REMARQUE :

Avant de quitter définitivement l'organisation et pendant que son adresse e-mail est toujours active, l'utilisateur doit exécuter l'agent Encryption Removal et désinstaller le client Encryption de son ordinateur personnel.

Personnalisation de l'activation différée

Ces tâches côté client permettent de personnaliser l'activation différée.

● Ajoutez une exclusion dans la boîte de dialogue de connexion Activation

● Désactivez la réactivation automatique (facultatif)

Ajoutez une exclusion dans la boîte de dialogue de connexion Activation

La boîte de dialogue de connexion Activation s'affiche dans ces situations :

● Lorsqu'un utilisateur non géré se connecte.

● Lorsque l'utilisateur sélectionne l'option Activer Dell Encryption dans le menu de l'icône Encryption, situé dans la zone de notification.

Préparation de l'ordinateur pour l'installation

Si les données sont cryptées à l'aide d'un produit de cryptage autre que Dell, avant d'installer le client Encryption, décryptez les données à l'aide du logiciel de cryptage existant, puis désinstallez-le. Si l'ordinateur ne redémarre pas automatiquement, redémarrez-le manuellement.

Créer un mot de passe Windows

88 Configuration de l'activation différée

Dell vous recommande vivement de créer un mot de passe Windows (s'il n'en existe pas déjà un) pour protéger l'accès aux données cryptées. La création d'un mot de passe sur l'ordinateur permet de bloquer l'accès à votre compte utilisateur à toute personne qui ne dispose pas du mot de passe.

Désinstaller les versions précédentes du client Encryption

Avant de désinstaller une version précédente du client Encryption, arrêtez ou suspendez le balayage de cryptage, si nécessaire.

Si la version de Dell Encryption de l'ordinateur est antérieure à la version 8.6, désinstallez le client Encryption à partir de la ligne de commande. Pour obtenir davantage d'instructions, voir la section Désinstaller Encryption et le client Server Encryption.

REMARQUE :

Si vous envisagez d'installer la dernière version du client Encryption immédiatement après la désinstallation, il n'est pas nécessaire d'exécuter l'agent Encryption Removal pour décrypter les fichiers.

Pour mettre à niveau une version précédente du client Encryption installée avec l'activation différée, désinstallez le Programme de

désinstallation de Data Security ou les Programmes d'installation enfant. Ces méthodes de désinstallation sont possibles même si le

paramètre OPTIN est désactivé.

REMARQUE :

Si aucun utilisateur n'a été activé précédemment, le client Encryption efface le paramètre OPTIN du coffre SDE (SDE Vault) étant donné que ce paramètre est hérité d'une installation précédente. Le client Encryption bloque les activations différées si les utilisateurs ont été précédemment activés mais que l'indicateur OPTIN n'est pas défini dans le coffre SDE.

Installer Encryption avec activation différée

Pour installer le client Encryption avec l'activation différée, installez le client Encryption avec le paramètre OPTIN=1. Pour plus d’informations sur l’installation du client avec le paramètre OPTIN=1, reportez-vous à Installer Encryption.

Activer Encryption avec activation différée

● Le processus d'activation associe un utilisateur de domaine à un compte d'utilisateur local et un ordinateur spécifique.

● Plusieurs utilisateurs peuvent procéder à l'activation depuis le même ordinateur, à condition qu'ils utilisent des comptes locaux uniques

et qu'ils disposent d'adresses e-mail de domaine uniques.

● Un utilisateur peut activer le client de cryptage une seule fois par compte de domaine.

Avant d'activer le client de cryptage, vous devez procéder comme suit :

● Connectez-vous au compte local que vous utilisez le plus souvent. Ce sont les données qui sont associées à ce compte qui seront cryptées.

● Connectez-vous au réseau de votre entreprise.

1. Connectez-vous au poste de travail ou au serveur.

2. Saisissez l'adresse e-mail du domaine et le mot de passe associé, puis cliquez sur Activer.

REMARQUE :

Configuration de l'activation différée 89

Les adresses e-mail personnelles ou extérieures au domaine ne peuvent pas être utilisées pour l'activation.

3. Cliquez sur Fermer.

Le serveur Dell regroupe le jeu de clés de cryptage et les identifiants de l'utilisateur ainsi que l'ID unique de l'ordinateur (ID d'ordinateur), créant ainsi une relation solide entre le jeu de clés, l'ordinateur concerné et l'utilisateur.

4. Redémarrez l'ordinateur afin de commencer l'analyse de cryptage.

REMARQUE :

La console de gestion locale, accessible depuis l’icône de la zone de notification, affiche les règles envoyées par le serveur, et non la règle appliquée.

Résolution des problèmes d'activation différée

Résolution des problèmes d'activation

Problème : accès impossible à certains fichiers et dossiers

L'impossibilité d'accéder à certains fichiers et dossiers est le signe que l'utilisateur a ouvert une session avec un compte différent de celui pour lequel il est activé.

La boîte de dialogue de connexion Activation s'affiche automatiquement, même si l'utilisateur a été activé au préalable.

Solution possible

Déconnectez-vous, puis reconnectez-vous avec les informations d'identification du compte activé et essayez d'accéder à nouveau aux fichiers.

Dans les rares cas où le client Encryption ne parvient pas à authentifier l'utilisateur, la boîte de dialogue de connexion Activation invite l'utilisateur à saisir ses informations d'identification pour authentifier les clés de cryptage et y accéder. Pour utiliser la fonction de réactivation automatique, les clés de registre AutoReactivation et AutoPromptForActivation doivent être activées toutes les DEUX. Bien que la fonction soit activée par défaut, il est possible de la désactiver manuellement. Pour plus d'informations, voir la section Désactiver la

réactivation automatique.

Message d'erreur : Échec du serveur d'authentification

Le serveur n'est pas parvenu à authentifier l'adresse e-mail et le mot de passe.

Solutions possibles

● Utilisez l'adresse e-mail associée à l'organisation. Les adresses e-mail personnelles ne peuvent pas être utilisées pour l'activation.

● Entrez de nouveau l'adresse e-mail et le mot de passe et assurez-vous qu'ils ne comportent aucune erreur typographique.

● Demandez à l'administrateur de vérifier que le compte de messagerie est activé et qu'il n'est pas verrouillé.

● Demandez à l'administrateur de réinitialiser le mot de passe du domaine de l'utilisateur.

Message d'erreur : Erreur de connexion réseau

Le client Encryption ne parvient pas à communiquer avec le serveur Dell.

Solutions possibles

● Connectez-vous directement au réseau de l'organisation, puis relancez l'activation.

Configuration de l'activation différée

● Si l'accès VPN est requis pour se connecter au réseau, vérifiez la connexion VPN et faites une nouvelle tentative.

● Vérifiez l'adresse URL de Dell Server pour vous assurer qu'elle correspond à l'URL fournie par l'administrateur.

L'adresse URL ainsi que d'autres données saisies par l'utilisateur dans le programme d'installation sont stockées dans le répertoire. Assurez-vous que les données sous [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] et [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\Servlet] sont correctes.

● Déconnexion et reconnexion :

Déconnectez l'ordinateur du réseau.

Reconnectez au réseau.

Redémarrez l'ordinateur.

Tentez de connecter au réseau à nouveau.

Message d'erreur : Serveur hérité non pris en charge

Impossible d'activer Encryption sur un serveur hérité ; la version de Dell Server doit être 9.1 ou ultérieure.

Solution possible

● Vérifiez l'adresse URL de Dell Server pour vous assurer qu'elle correspond à l'URL fournie par l'administrateur.

L'adresse URL ainsi que d'autres données saisies par l'utilisateur dans le programme d'installation sont stockées dans le répertoire.

● Assurez-vous que les données sous [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] et [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\Servlet] sont correctes.

Message d'erreur : Utilisateur de domaine déjà activé

Un deuxième utilisateur s'est connecté à l'ordinateur local et a tenté d'activer un compte de domaine qui a déjà été activé.

Un utilisateur peut activer le client de cryptage une seule fois par compte de domaine.

Solution possible

Décryptez et désinstallez le client Encryption quand vous êtes connecté en tant que second utilisateur activé.

Message d'erreur : Erreur générale sur le serveur

Une erreur est survenue sur le serveur.

Solution possible

Il est recommandé à l'administrateur de vérifier les journaux du serveur pour s'assurer que les services sont en cours d'exécution.

L'utilisateur doit tenter l'activation ultérieurement.

Outils

CMGAd

Ouvrez l'utilitaire CMGAd avant de lancer l'agent Encryption Removal pour obtenir le jeu de clés de cryptage. L'utilitaire CMGAd et ses instructions se trouvent sur le support d'installation Dell (Dell-Offline-Admin-XXbit)

Fichiers journaux

Dans C:\ProgramData\Dell\Dell Data Protection\Encryption, recherchez le fichier journal appelé CmgSysTray.

Recherchez la phrase « Résultat de l'activation manuelle ».

Le code d'erreur est sur la même ligne, suivi de « état = » ; l'état indique ce qui a échoué.

Configuration de l'activation différée

Dépannage

Tous les clients - Dépannage

● Les fichiers log du programme d’installation de la suite principale d’ se trouvent dans C:\ProgramData\Dell\Dell Data Protection\Installer.

● Windows crée des fichiers journaux d'installation du programme d'installation enfant uniques destinés à l'utilisateur connecté à %temp%, à l'adresse C:\Users\<NomUtilisateur>\AppData\Local\Temp.

● Windows crée des fichiers journaux pour les conditions préalables du client (par exemple, Visual C++), pour l'utilisateur connecté à %temp%, à l'adresse C:\Users\<NomUtilisateur>\AppData\Local\Temp. Par exemple,

C:\Users\<NomUtilisateur>\AppData\Local\Temp\dd_vcredist_amd64_20160109003943.log

● Suivez les instructions sur http://msdn.microsoft.com pour vérifier la version de Microsoft.Net qui est installée sur l'ordinateur ciblé pour l'installation.

Pour télécharger la version complète de Microsoft .Net Framework 4.5.2 ou version ultérieure, consultez https://

www.microsoft.com/en-us/download/details.aspx?id=30653.

● Reportez-vous à ce document si Dell Access est installé sur l'ordinateur ciblé pour l'installation (ou l'a été dans le passé). Dell Access n’est pas compatible avec cette suite de produits.

Tous les clients - État de la protection

Dell Server v9.8.2. intègre une nouvelle méthode d’extraction de l’état protégé d’un périphérique. Auparavant, la section État protégé du point de terminaison sur le tableau de bord de la console de gestion n’indiquait que l’état de chiffrement par périphérique.

Depuis Dell Server v9.8.2, l’état protégé est indiqué si l’un des critères suivants est satisfait :

● Advanced Threat Prevention est installé et activé.

● Le client Web Protection ou Client Firewall est installé et la stratégie correspondante est activée.

● Self-Encrypting Drive Manager est installé et activé, et l’authentification avant démarrage (PBA) est activée.

● Full Disk Encryption est installé et activé, et la PBA est activée.

● BitLocker Manager est installé et activé, et le cryptage est terminé.

● Dell Encryption (MAC) est installé et activé, et la règle Chiffrer en utilisant FileVault pour Mac a été appliquée.

● La solution Dell Encryption (Windows) est installée et activée, le cryptage basé sur des règles a été configuré pour le point de

terminaison et les balayages du périphérique ont été effectués.

Dépannage de Dell Encryption (client et serveur)

Activation sur un système d'exploitation de serveur

Lorsque Encryption est installé sur le système d'exploitation d'un serveur, son activation nécessite deux phases : l'activation initiale et l'activation du terminal.

Activation initiale du dépannage

L'activation initiale échoue lorsque :

● Un code nom d'utilisateur principal valide ne peut pas être obtenu à l'aide des références fournies.

● Les informations d'identification sont introuvable dans le coffre de l'entreprise.

● Les informations d'identification utilisées pour l'activation ne sont pas celles de l'administrateur de domaine.

Message d'erreur : nom d'utilisateur inconnu ou mot de passe erroné

92 Dépannage

Le nom d'utilisateur ou le mot de passe n'est pas valide.

Solution possible : connectez-vous à nouveau en vous assurant de saisir le nom d'utilisateur et le mot de passe correctement.

Message d'erreur : l'activation a échoué car le compte d'utilisateur ne dispose pas de droits d'administrateur du domaine.

Les informations d'identification utilisées pour l'activation ne sont pas dotées des droits d'administrateur de domaine ou bien le nom d'utilisateur de l'administrateur n'était pas au format UPN.

Solution possible : dans la boîte de dialogue Activation, saisissez les informations d'identification au format UPN pour un administrateur de domaine.

Messages d'erreur : Impossible d'établir une connexion avec le serveur.

The operation timed out.

Server Encryption ne peut pas communiquer sur HTTPS avec le port 8449 vers Dell Server.

Solutions possibles

● Connectez-vous directement à votre réseau, puis relancez l'activation.

● Si vous êtes connecté via VPN, essayez de vous connecter directement au réseau et de relancer l'activation.

● Vérifiez l'adresse URL de Dell Server pour vous assurer qu'elle correspond à l'URL fournie par l'administrateur. L'adresse

URL ainsi que d'autres données saisies par l'utilisateur dans le programme d'installation sont stockées dans le répertoire. Assurez-vous que les données sous [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] et [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\Servlet] sont correctes.

● Déconnectez le serveur du réseau. Redémarrez le serveur et reconnectez-le au réseau.

Message d'erreur : L'activation a échoué car le serveur ne peut pas prendre en charge cette demande.

Solutions possibles

● Impossible d'activer Server Encryption sur un serveur hérité ; la version de Dell Server doit être 9.1 ou ultérieure. Si nécessaire, mettez à niveau votre Dell Server à la version 9.1 ou ultérieure.

● Vérifiez l'adresse URL de Dell Server pour vous assurer qu'elle correspond à l'URL fournie par l'administrateur. L'adresse URL ainsi que d'autres données saisies par l'utilisateur dans le programme d'installation sont stockées dans le répertoire.

Processus d'activation initiale

Le schéma suivant illustre une activation initiale réussie.

Le processus d'activation initiale d'Encryption pour systèmes d’exploitation de serveur requiert qu'un utilisateur accède directement au serveur. L'utilisateur peut être de n'importe quel type : membre du domaine ou non, connecté en mode Bureau à distance ou utilisateur interactif. Cependant, l'utilisateur doit avoir accès aux informations d'identification de l'administrateur de domaine.

Le dialogue d'activation s'affiche lorsque l'un des deux flux de travail se produit :

● Un nouvel utilisateur (non géré) se connecte à l'ordinateur.

● Un nouvel utilisateur fait un clic droit sur l'icône d'Encryption dans la zone de notification et sélectionne Activer Dell Encryption.

La procédure d'activation initiale se déroule comme suit :

1. L'utilisateur se connecte.

2. Lors de la détection d'un nouvel utilisateur (non géré), la boîte de dialogue Activer s'affiche. L'utilisateur clique sur Annuler.

3. L'utilisateur ouvre la boîte À propos de Server Encryption pour confirmer que ce dernier est en cours d'exécution en mode Serveur.

4. L'utilisateur fait un clic droit sur l'icône d'Encryption dans la zone de notification et sélectionne Activer Dell Encryption.

Dépannage

5. L'utilisateur entre les références de l'administrateur de domaine dans la boîte de dialogue Activer.

REMARQUE :

La nécessité de fournir les informations d'identification de l'administrateur de domaine est une mesure de sécurité qui empêche Encryption pour systèmes d’exploitation de serveur d'être déployé dans d'autres environnements de serveur non pris en charge. Pour désactiver l'exigence des informations d'identification de l'administrateur de domaine, voir Avant de commencer.

6. Dell Server vérifie les informations d'identification dans le coffre de l'entreprise (Active Directory ou équivalent) afin de s'assurer que ces informations appartiennent bien à un administrateur de domaine.

7. Un UPN est construit à l'aide des références.

8. Avec l'UPN, Dell Server crée un nouveau compte utilisateur pour l'utilisateur du serveur virtuel et stocke ces informations d'identification dans le coffre de Dell Server.

Un compte d'utilisateur de serveur virtuel est réservé à l'utilisation du client Encryption. Il est utilisé pour s'authentifier auprès du serveur, gérer les clés de chiffrement commun et recevoir des mises à jour des règles.

REMARQUE :

L'authentification DPAPI et l'authentification par mot de passe sont désactivées pour ce compte, afin que seul l'utilisateur de serveur virtuel puisse accéder aux clés de cryptage sur l'ordinateur. Ce compte ne correspond à aucun autre compte utilisateur sur l'ordinateur ou dans le domaine.

9. Lorsque l'activation est réussie, l'utilisateur redémarre l'ordinateur, lequel lance la deuxième phase, l'authentification et l'activation du périphérique.

Dépannage de l'authentification et de l'activation du périphérique

L'activation du périphérique échoue lorsque :

● L'activation initiale a échoué.

● Aucune connexion n'a pu être établie avec le serveur.

● Le certificat de confiance n'a pas pu être validé.

Après l'activation, lorsque l'ordinateur a redémarré, Encryption pour systèmes d’exploitation de serveur se connecte automatiquement en tant qu'utilisateur du serveur virtuel, en demandant la clé d'ordinateur auprès de Dell Server. Cette opération intervient avant même que tout utilisateur puisse ouvrir une session.

● Ouvrez la boîte de dialogue À propos pour vérifier que Encryption pour systèmes d’exploitation de serveur est authentifié et en mode Serveur.

● Si l'ID du Encryption client est rouge, le cryptage n'a pas encore été activé.

● Dans la Console de gestion, la version d'un serveur équipé de Server Encryption est répertoriée comme Bouclier de serveur.

● Si la récupération de la clé d'ordinateur échoue en raison d'une défaillance réseau, Server Encryption s'enregistre auprès du système

d'exploitation pour les notifications du réseau.

● Si la récupération de la clé d'ordinateur échoue :

○ La connexion de l'utilisateur du serveur virtuel fonctionne malgré tout. ○ Définissez la règle d'Intervalle entre les tentatives en cas d'échec du réseau pour procéder à de nouvelles tentatives de

récupération de la clé à intervalles définis.

Pour plus de détails sur la règle d'Intervalle entre les tentatives en cas d'échec du réseau, reportez-vous à AdminHelp, disponible dans la console de gestion.

Authentification et activation du périphérique

Dépannage

Le schéma suivant illustre une authentification et une activation réussies d'un périphérique.

1. Après un redémarrage suite à une activation initiale réussie, un ordinateur équipé de Server Encryption s'authentifie automatiquement à l'aide du compte d'utilisateur de serveur virtuel et exécute le client Encryption en mode Serveur.

2. L'ordinateur vérifie l'état d'activation du périphérique auprès de Dell Server :

● Si l'ordinateur n'a pas encore été activé par un périphérique, Dell Server attribue à l'ordinateur un MCID, un DCID et un certificat de

confiance, et stocke toutes ces informations dans le coffre de Dell Server.

● Si l'ordinateur avait été précédemment activé par un périphérique, Dell Server vérifie le certificat de confiance.

3. Une fois que Dell Server a attribué le certificat de confiance au serveur, ce dernier peut accéder à ses clés de cryptage.

4. L'activation du périphérique a réussi.

REMARQUE :

Lors de l'exécution en mode Serveur, le client Encryption doit avoir accès au même certificat qui a été utilisé pour l'activation du périphérique afin de pouvoir accéder aux clés de chiffrement.

Création d'un fichier journal Encryption Removal Agent (facultatif)

● Avant de lancer la désinstallation, vous pouvez, si vous le souhaitez, créer un fichier journal Encryption Removal Agent. Ce fichier journal permet de diagnostiquer les erreurs, si vous rencontrez un problème lors de la désinstallation / du décryptage. Si vous ne souhaitez pas décrypter les fichiers à la désinstallation, il n'est pas nécessaire de créer ce fichier journal.

● Le fichier log d'Encryption Removal Agent n'est créé qu'après l'exécution du service Encryption Removal Agent, après le redémarrage de l'ordinateur. Une fois la désinstallation du client et le décryptage de l'ordinateur terminés, le fichier est définitivement supprimé.

● Le chemin du fichier journal est C:\ProgramData\Dell\Dell Data Protection\Encryption.

● Créez l'entrée de registre suivante sur l'ordinateur cible pour le décryptage.

[HKLM\Software\Credant\DecryptionAgent].

"LogVerbosity"=DWORD:2

0: aucune consignation

1 : erreurs bloquant l'exécution du service

2 : consigne les erreurs qui bloquent le décryptage complet des données (niveau recommandé)

3 : consigne des informations sur tous les volumes et fichiers à décrypter

5 : consigne des informations de débogage

Trouver la version de TSS

● La TSS est un composant qui fait interface au TPM (Trusted Platform Module). Pour identifier la version de la TSS, rendez-vous à l'emplacement par défaut : C:\Program Files\Dell\Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe. Cliquez avec le bouton droit de la souris sur le fichier, puis sélectionnez Propriétés. Vérifiez la version du fichier sur l'onglet Détails .

Dépannage

Encryption External Media et interactions PCS

Pour veiller à ce que le support ne soit pas en lecture seule et que le port ne soit pas bloqué

La règle d'accès EMS aux supports non blindés interagit avec le système de contrôle des ports - Catégorie : stockage > Sous-catégorie de stockage : règle de contrôle des lecteurs externes. Si vous avez l'intention de définir la règle d'accès EMS aux supports non blindés sur Accès complet, assurez-vous que la règle de contrôle du stockage de sous-catégorie : lecteur externe est également définie sur Accès complet pour vous assurer que le support n'est pas en lecture seule et que le port n'est pas bloqué.

Pour chiffrer les données écrites sur CD/DVD, procédez comme suit :

● Configurez Windows Media Encryption = Activé.

● Définissez EMS Exclude CD/DVD Encryption (EMS ne prend pas en charge le cryptage de CD/DVD) = non sélectionné.

● Définissez la sous-classe Stockage : Optical Drive Control = UDF Only (Contrôle des lecteurs optiques = UDF uniquement).

Utiliser WSScan

● WSScan vous permet de vous assurer que toutes les données sont décryptées lorsque vous désinstallez Encryption, d'afficher l'état de cryptage et d'identifier les fichiers non cryptés qui devraient être décryptés.

● Des privilèges d'administrateur sont requis pour exécuter cet utilitaire.

REMARQUE : WSScan doit être exécuté en mode système avec l'outil PsExec si le compte système est propriétaire d'un fichier

cible.

Exécutez l'

1. À partir du support d'installation Dell, copiez le fichier WSScan.exe sur l'ordinateur à analyser.

2. Lancez une ligne de commande à l'emplacement spécifié ci-dessus et entrez wsscan.exe à l'invite de commande. WSScan démarre.

3. Cliquez sur Avancé.

4. Sélectionnez le type du lecteur à rechercher : Tous les lecteurs, Lecteurs fixes, Lecteurs amovibles, ou CD-ROM/DVD-ROM.

5. Sélectionnez le type de rapport de chiffrement : Fichiers cryptés, Fichiers non cryptés, Tous les fichiers, ou Fichiers non cryptés en violation :

● Fichiers cryptés : pour vérifier que toutes les données sont décryptées lors de la désinstallation d'Encryption. Suivez votre

processus actuel de décryptage des données, par exemple l'envoi d'une mise à jour de règle de décryptage. Une fois les données décryptées mais avant de redémarrer l'ordinateur en préparation de la désinstallation, exécutez WSScan afin de vous assurer que toutes les données sont décryptées.

● Fichiers non cryptés : pour identifier les fichiers qui ne sont pas cryptés, avec une mention indiquant si les fichiers doivent être

cryptés (Y/N).

● Tous les fichiers : pour répertorier tous les fichiers cryptés et non cryptés, avec une mention indiquant si les fichiers doivent être

cryptés (Y/N).

● Fichiers non cryptés en violation : pour identifier les fichiers qui ne sont pas cryptés, mais qui devraient l'être.

6. Cliquez sur Rechercher.

Dépannage

1. Cliquez sur Avancé pour basculer la vue vers Simple afin d'analyser un dossier particulier.

2. Accédez à Paramètres d'analyse, puis saisissez le chemin du dossier dans le champ Rechercher un chemin d'accès. Si vous utilisez ce champ, la sélection dans le menu est ignorée.

3. Si vous ne voulez pas écrire la sortie WSScan dans un fichier, décochez la case Sortie vers un fichier.

4. Si vous le souhaitez, changez le chemin et le nom de fichier par défaut à partir du champ Chemin.

5. Sélectionnez Ajouter au fichier existant si vous ne souhaitez remplacer aucun des fichiers WSScan de sortie existants.

6. Choisissez le format de sortie :

● Sélectionnez l'option Format du rapport, si vous souhaitez que les résultats de l'analyse apparaissent sous forme de liste de

rapport. Il s'agit du format par défaut.

● Sélectionnez Fichier à valeur délimitée pour que les résultats puissent être exportés dans un tableur. Le séparateur par défaut est

« | », mais il peut être remplacé par un maximum de 9 caractères alphanumériques, espaces ou symboles de ponctuation.

● Sélectionnez Valeurs désignées pour mettre chaque valeur entre doubles guillemets.

● Sélectionnez Fichier à largeur fixe si vous souhaitez un fichier cible non délimité contenant une ligne continue d'informations à

longueur fixe sur chaque fichier crypté.

7. Cliquez sur Rechercher.

Cliquez sur Arrêter la recherche pour arrêter votre recherche. Cliquez sur Effacer pour effacer les messages affichés.

Dépannage

Utilisation de la ligne de commande WSScan

WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o<filepath>] [-a] [-f<format specifier>] [-r] [u[a][-|v]] [-d<delimeter>] [-q] [-e] [-x<exclusion directory>] [-y<sleep time>]

Commutateur

Lecteur Disque à analyser. S'il n'est pas défini, tous les disques durs fixes locaux sont utilisés par défaut.

-ta Analyser tous les disques

-tf Analyser les disques fixes (valeur par défaut)

-tr Analyser les lecteurs amovibles

-tc Analyser les CDROM/DVDROM

98 Dépannage

Signification

Il peut s'agir d'un lecteur réseau mappé.

Commutateur Signification

-s Opération silencieuse

-o Chemin d'accès au fichier de sortie.

-a Ajouter au fichier de sortie . Par défaut, le fichier de sortie est tronqué.

-f Spécificateur de format de rapport (Rapport, Fixe, Délimité)

-r Exécutez WSScan dans les privilèges administrateur. Certains fichiers peuvent ne pas être

visibles si ce mode est utilisé.

-u Inclure les fichiers non cryptés dans le fichier de sortie.

Ce commutateur est sensible à l'ordre : “u” doit être en première position, “a” doit être en deuxième position (ou omis), “-” ou “v” doit être en dernière position.

-u- Inclure uniquement les fichiers décryptés dans le fichier de sortie

-ua Signale également les fichiers non cryptés, mais utilise toutes les règles utilisateur pour afficher le champ « should ».

-ua- Signale les fichiers non cryptés uniquement, mais utilise toutes les règles utilisateur pour afficher le champ « should ».

-uv Signale les fichiers non cryptés qui violent la règle uniquement (Is=No / Should=Y)

-uav Signale les fichiers non cryptés qui violent la règle uniquement (Is=No / Should=Y), en utilisant toutes les règles utilisateur.

-d Spécifie l'élément à utiliser comme séparateur de valeurs pour la sortie délimitée

q Spécifie les valeurs qui doivent être placées entre guillemets pour la sortie délimitée

-e Inclure les champs de cryptage étendu dans la sortie délimité

-x Exclure un répertoire de l'analyse. Plusieurs exclusions sont autorisées.

-y Inactivité (en millisecondes) entre les répertoires. Ce commutateur ralentit les analyses, mais rend le processeur plus réactif.

Fichier cible WSScan

Les données WSScan relatives aux fichiers cryptés contiennent les informations suivantes.

Exemple :

[2015-07-28 07:52:33] SysData.7vdlxrsb._SDENCR_: "c:\temp\Dell - test.log" is still AES256 encrypted

Sortie

Date/heure Date et heure d'analyse du fichier.

Type de cryptage Type de cryptage utilisé pour le fichier.

Signification

SysData : clé SDE.

Utilisateur : clé de chiffrement utilisateur.

Commun : clé de chiffrement commun.

Le rapport de cryptage ne prend pas en compte les fichiers cryptés avec l'option Encrypt for Sharing.

Dépannage 99

Sortie Signification

KCID Identification de l'ordinateur principal.

Dans l'exemple ci-dessus : « 7vdlxrsb »

Si vous analysez un disque réseau mappé, le rapport d'analyse ne comporte pas de KCID.

UCID ID d'utilisateur.

Comme dans l'exemple ci-dessus , « _SDENCR_ »

Tous les utilisateurs de l'ordinateur partagent le même UCID.

Fichier Chemin d'accès du fichier crypté.

Comme dans l'exemple ci-dessus, « c:\temp\Dell - test.log »

Algorithme Algorithme utilisé pour crypter le fichier.

Dans l'exemple ci-dessus, « cryptage AES 256 toujours en place »

RIJNDAEL 128

RIJNDAEL 256

AES-128

AES-256

3DES

Utiliser WSProbe

L'utilitaire Probing est destiné à être utilisé avec toutes les versions d'Encryption, à l'exception des règles Encryption External Media. Utilisez cet utilitaire pour :

● Analyser ou planifier l'analyse d'un ordinateur crypté. Il respecte la règle de priorité d'analyse de poste de travail.

● Désactiver ou réactiver temporairement la liste de cryptage des données d'application de l'utilisateur.

● Ajouter ou supprimer des noms de processus dans la liste privilégiée.

● Exécuter les opérations de dépannage indiquées par Dell ProSupport.

Approches du cryptage des données

Si vous définissez des règles pour crypter les données sur des appareils Windows, vous pouvez utiliser n'importe laquelle des approches suivantes :

● La première approche consiste à accepter le comportement par défaut du client. Si vous définissez des dossiers dans Dossiers cryptés communs ou Dossiers cryptés utilisateur, ou spécifiez Sélectionné pour Crypter « Mes documents », Crypter les dossiers personnels Outlook, Crypter les fichiers temporaires, Crypter les fichiers Internet temporaires ou Crypter le fichier de pagination Windows, les fichiers affectés sont cryptés lors de leur création ou (après leur création par un utilisateur non géré) lorsque l'utilisateur se connecte. Le client analyse également les dossiers d'analyses définis dans ou associés à ces règles pour le cryptage/Décryptage possible lorsqu'un dossier est renommé ou que le client reçoit des modifications de ces règles.

● Vous pouvez aussi sélectionner Analyser la station de travail à la connexion. Dans ce cas, lorsqu'un utilisateur se connecte, le client compare la manière dont les fichiers dans les dossiers actuellement et précédemment cryptés sont cryptés par rapport aux règles utilisateur, et il effectue les modifications appropriées.

● Pour crypter les fichiers qui répondent aux critères de cryptage, mais qui ont été créés avant l'entrée en vigueur des règles de cryptage, vous pouvez utiliser cette règle pour analyser et planifier l'analyse de l'ordinateur si vous ne voulez pas subir l'impact des analyses fréquentes.

Pré-requis

● Le périphérique Windows que vous voulez utiliser doit être chiffré.

● L'utilisateur que vous voulez utiliser doit être connecté.

Utilisation de l'utilitaire de détection

WSProbe.exe se trouve dans le support d'installation.

100

Dépannage

Dell Encryption User Manual [fr]

Specifications and Main Features

Frequently Asked Questions

User Manual

Introduction

Avant de commencer

Utilisation de ce Guide

Contacter Dell ProSupport

Configuration requise

Tous les clients

Chiffrement

Chiffrement complet du disque

Encryption sur système d'exploitation serveur

SED Manager

BitLocker Manager

Paramètres de registre

Chiffrement

SED Manager

Chiffrement complet du disque

BitLocker Manager

Installation interactive à l'aide du programme d'installation principal

Installation à l'aide du programme d'installation principal 31

Installation par la ligne de commande à l'aide du programme d'installation principal

Désinstallation du programme d’installation principal d’

36 Désinstaller le programme d'installation principal

Installation à l'aide des programmes d'installation enfants 37

Installer les pilotes

Installation d'Encryption

Installer le chiffrement complet du disque

Installer Encryption sur un système d’exploitation de serveur

Installation interactive

Installation à l’aide de la ligne de commande

Activer

Installation de SED Manager et PBA Advanced Authentication

Installer BitLocker Manager

Désinstaller à l'aide des programme d'installation enfants 55

Désinstaller Encryption et Encryption sur système d’exploitation de serveur

Installez le chiffrement complet du disque

Désinstallation de SED Manager

Désinstaller BitLocker Manager

Programme de désinstallation de Data Security 61

Scénarios couramment utilisés

Client Encryption

SED Manager (Advanced Authentication inclus) et client Encryption

SED Manager et Encryption External Media

BitLocker Manager et Encryption External Media

Téléchargement du logiciel

Initialiser le module TPM

Configuration de la pré-Installation avant démarrage sur les ordinateurs UEFI

Configuration préalable à l'installation pour SED UEFI, et BitLocker Manager 71

Configuration préalable à l'installation d'une partition d'authentification avant démarrage BitLocker

Définir le Dell Server par le biais du registre

Extraire les programmes d'installation enfant

Configurer Key Server

Écran des services - Ajouter un utilisateur du compte de domaine

Fichier de configuration de Key Server - Ajouter un utilisateur pour la communication avec le Security Management Server

Écran des services - Redémarrage du service Key Server

Console de gestion - Ajouter un administrateur d'analyse approfondie

Utilisation du mode Analyse approfondie

Utiliser l'utilitaire Administrative Download (CMGAd) 81

Utilisation du mode Admin

Configuration d’Encryption sur un système d’exploitation de serveur 85

Configuration de l'activation différée

Personnalisation de l'activation différée

Préparation de l'ordinateur pour l'installation

Installer Encryption avec activation différée

Activer Encryption avec activation différée

Résolution des problèmes d'activation différée

Dépannage

Tous les clients - Dépannage

Tous les clients - État de la protection

Dépannage de Dell Encryption (client et serveur)