Page 1
Manuel HP ProtectTools Security Manager
Ordinateurs d'entreprise HP Compaq
Page 2
© Copyright 2006 Hewlett-Packard
Development Company, L.P. Les
informations de ce document sont
susceptibles d'être modifiées sans préavis.
Microsoft et Windows sont des marques
déposées de la société Microsoft aux ÉtatsUnis et dans d'autres pays.
Intel et SpeedStep sont des marques d'Intel
Corporation aux États-Unis et dans d'autres
pays.
Les garanties applicables aux produits et
services HP sont énoncées dans les textes
de garantie accompagnant ces produits et
services. Aucune partie du présent
document ne saurait être interprétée comme
constituant un quelconque supplément de
garantie. HP ne peut être tenu responsable
des erreurs ou omissions techniques ou de
rédaction de ce document.
Ce document contient des informations
protégées par des droits d'auteur. Aucune
partie de ce document ne peut être
photocopiée, reproduite ou traduite dans une
autre langue sans l'accord écrit préalable de
Hewlett-Packard.
Manuel HP ProtectTools Security Manager
Ordinateurs d'entreprise HP Compaq
Première édition (août 2006)
Référence : 431330-051
Page 3
À propos de ce livre
Ce manuel fournit des instructions concernant la configuration et l'utilisation de HP ProtectTools Security
Manager.
AVERTISSEMENT Le non-respect de ces instructions expose l'utilisateur à des risques
potentiellement très graves.
ATTENTION Le non-respect de ces instructions présente des risques, tant pour le matériel que
pour les informations qu'il contient.
Remarque Le texte ainsi défini fournit des informations importantes supplémentaires.
FRWW iii
Page 4
iv À propos de ce livre FRWW
Page 5
Sommaire
1 Introduction
HP ProtectTools Security Manager ...................................................................................................... 1
Accès à ProtectTools Security Manager .............................................................................. 1
Compréhension des rôles de sécurité .................................................................................................. 2
Gestion de mots de passe ProtectTools .............................................................................................. 2
Session Credential Manager avec authentification multifacteur .......................................... 5
Création d'un mot de passe sécurisé ................................................................................... 6
Tâches avancées ................................................................................................................................. 7
Gestion de paramètres ProtectTools ................................................................................... 7
Gestion de mots de passe Computer Setup ........................................................................ 8
Activation/Désactivation de la prise en charge d'authentification à la mise
sous tension de carte Java ................................................................................. 7
Activation/Désactivation de la prise en charge d'authentification à la mise
sous tension pour la sécurité intégrée ................................................................ 7
Définition du mot de passe de mise sous tension (si disponible) ........................ 8
Modification du mot de passe de mise sous tension (si disponible) ................... 9
Configuration système ........................................................................................ 9
Modification de la prise en charge d'authentification à la mise sous
tension ................................................................................................................. 9
Modification de comptes utilisateur ................................................................... 10
Définition du mot de passe administrateur Computer Setup ............................. 10
Modification du mot de passe administrateur Computer Setup ........................ 11
Comportement d'attaque de type Dictionnaire avec authentification à la mise
sous tension ...................................................................................................... 12
Défense contre une attaque Dictionnaire ......................................... 12
2 HP BIOS Configuration for ProtectTools
Concepts élémentaires ....................................................................................................................... 13
Modification des paramètres du BIOS ................................................................................................ 13
3 HP Embedded Security for ProtectTools
Concepts élémentaires ....................................................................................................................... 15
Procédures de configuration .............................................................................................................. 16
4 HP Credential Manager for ProtectTools
Concepts élémentaires ....................................................................................................................... 17
Procédure de lancement .................................................................................................................... 17
Première connexion ........................................................................................................... 18
FRWW v
Page 6
5 HP Java Card Security for ProtectTools
Concepts élémentaires ....................................................................................................................... 19
6 Solutions de partie tierce
7 HP Client Manager pour déploiement distant
Vue d'ensemble .................................................................................................................................. 23
Initialisation ......................................................................................................................................... 23
Maintenance ....................................................................................................................................... 23
8 Résolution des problèmes
Credential Manager for ProtectTools ................................................................................................. 25
Embedded Security for ProtectTools .................................................................................................. 30
Divers ................................................................................................................................................. 38
Glossaire ............................................................................................................................................................ 41
Index ................................................................................................................................................................... 45
vi FRWW
Page 7
1 Introduction
HP ProtectTools Security Manager
Le logiciel ProtectTools Security Manager fournit des fonctions de sécurité destinées à aider à protéger
l'ordinateur, les réseaux et les données critiques contre les accès non autorisés. La fonctionnalité de
sécurité améliorée est fournie par les modules suivants :
HP BIOS Configuration for ProtectTools
●
HP Embedded Security for ProtectTools
●
HP Credential Manager for ProtectTools
●
HP Java Card Security for ProtectTools
●
Les modules disponibles pour l'ordinateur peuvent varier en fonction du modèle. Les modules
ProtectTools peuvent être préinstallés, fournis sur le CD livré avec l'ordinateur ou disponibles à partir
du site Web HP. Pour plus d'informations, consultez le site
http://www.hp.com.
Remarque Pour obtenir des instructions spécifiques concernant les modules ProtectTools,
reportez-vous aux écrans d'aide ProtectTools.
Pour utiliser le module TPM (Trusted Platform Module), les plates-formes contenant un module TPM
requièrent une pile TSS (TCG Software Stack) et un logiciel de sécurité intégrée. Certains modèles
proposent la pile TSS. Si celle-ci n'est pas fournie, elle peut être achetée auprès de HP. En outre, le
logiciel d'activation du module TPM peut être acheté séparément pour certains modèles. Pour plus de
détails, reportez-vous à la section
Solutions de partie tierce.
Accès à ProtectTools Security Manager
Pour accéder à ProtectTools Security Manager à partir du Panneau de configuration Microsoft
Windows :
Windows XP : Cliquez sur Démarrer > Panneau de configuration > Security Center >
▲
ProtectTools Security Manager.
Windows 2000 : Cliquez sur Démarrer > Tous les programmes > HP ProtectTools Security
▲
Manager.
Remarque Une fois le module Credential Manager configuré, vous pouvez également vous
connecter au module Credential Manager directement à partir de l'écran de session Windows.
Pour plus d'informations, reportez-vous à la section
HP Credential Manager for ProtectTools.
FRWW HP ProtectTools Security Manager 1
Page 8
Compréhension des rôles de sécurité
Dans la gestion de la sécurité d'ordinateurs (particulièrement dans des organisations de grande taille),
une pratique importante est de répartir les responsabilités et les droits parmi divers types
d'administrateurs et d'utilisateurs.
Remarque Dans une petite organisation ou dans le cas d'utilisateurs individuels, ces rôles
peuvent tous être détenus par la même personne.
Pour ProtectTools, les responsabilités et privilèges de sécurité peuvent être divisés entre les rôles
suivants :
Responsable de la sécurité — Définit le niveau de sécurité pour l'entreprise ou le réseau et
●
détermine les fonctions de sécurité à déployer, telles que cartes Java, lecteurs biométriques ou
jetons USB.
Remarque Un grand nombre des fonctions ProtectTools peuvent être personnalisées par
le responsable de la sécurité en coopération avec HP. Pour plus d'informations, consultez
http://www.hp.com.
le site
Administrateur informatique — Applique et supervise les fonctions de sécurité définies par le
●
responsable de la sécurité. Peut également activer et désactiver certaines fonctions. Par exemple,
si le responsable de la sécurité a décidé de déployer des cartes Java, l'administrateur informatique
peut activer le mode de sécurité BIOS des cartes Java.
Utilisateur — Utilise les fonctions de sécurité. Par exemple, si le responsable de la sécurité et
●
l'administrateur informatique ont activé des cartes Java pour le système, l'utilisateur peut définir le
numéro PIN de carte Java et utiliser la carte pour l'authentification.
Il est conseillé aux administrateurs d'appliquer des règles de bonne pratique pour limiter les privilèges
et l'accès des utilisateurs.
Gestion de mots de passe ProtectTools
La plupart des fonctions ProtectTools Security Manager sont protégées par des mots de passe. Le
tableau ci-dessous répertorie les mots de passe les plus couramment utilisés, le module logiciel dans
lequel le mot de passe est défini, ainsi que la fonction du mot de passe.
Les mots de passe définis et utilisés uniquement par les administrateurs informatiques sont également
indiqués dans ce tableau. Tous les autres mots de passe peuvent être définis par des administrateurs
ou utilisateurs normaux.
Tableau 1-1 Gestion de mots de passe
Mot de passe ProtectTools Défini dans ce module ProtectTools Fonction
Mot de passe administrateur Computer
Setup
Remarque Également connu
en tant que mot de passe
administrateur BIOS,
configuration F10 ou
configuration de sécurité
BIOS Configuration, par administrateur
informatique
Protège l'accès à l'utilitaire Computer
Setup et aux paramètres de sécurité.
2 Chapitre 1 Introduction FRWW
Page 9
Tableau 1-1 Gestion de mots de passe (suite)
Mot de passe de mise sous tension BIOS Configuration La prise en charge de l'authentification à
la mise sous tension HP ProtectTools est
un outil de sécurité TPM conçu pour
empêcher tout accès non autorisé à
l'ordinateur à sa mise sous tension. Cette
fonction utilise le mot de passe utilisateur
de base de sécurité intégrée HP
ProtectTools. Une fois l'authentification à
la mise sous tension activée dans
Computer Setup, le mot de passe est
défini à la première ou prochaine fois que
la clé d'utilisateur de base de sécurité
intégrée est initialisée. La puce TPM de
sécurité intégrée protège le mot de
passe d'authentification à la mise sous
tension.
Mot de passe administrateur de carte
Java
Remarque Également connu
en tant que mot de passe de
carte d'administrateur du BIOS
PIN de carte Java Java Card Security Protège l'accès au contenu d'une carte
Mot de passe de fichier de récupération
de carte Java (si disponible)
Mot de passe utilisateur de carte Java (si
disponible)
Remarque Également connu
en tant que mot de passe de
carte d'utilisateur du BIOS
Java Card Security, par administrateur
informatique
Java Card Security Protège l'accès au fichier de
Java Card Security Lie la carte Java à l'ordinateur pour des
Lie la carte Java à l'ordinateur pour des
besoins d'identification.
Permet à un administrateur d'ordinateur
d'activer ou de désactiver des mots de
passe Computer Setup, de générer une
nouvelle carte d'administrateur, ainsi
que de créer des fichiers de récupération
pour restaurer des cartes
d'administrateur ou d'utilisateur.
Java et l'accès à un ordinateur lorsqu'un
lecteur et une carte Java en option sont
utilisés. Vérifie si le mot de passe
utilisateur de carte Java est dupliqué
vers le numéro PIN. Il est utilisé pour
enregistrer l'authentification de carte
Java.
récupération qui contient les mots de
passe BIOS.
besoins d'identification.
Permet à un utilisateur de créer un fichier
de récupération pour restaurer une carte
d'utilisateur.
Mot de passe utilisateur de base
Remarque Également connu
en tant que : mot de passe de
sécurité intégrée, mot de passe
de préamorçage TPM
Mot de passe de jeton de récupération
d'urgence
Embedded Security Utilisé pour accéder aux fonctions de
Embedded Security, par administrateur
informatique
sécurité intégrée, telles que cryptage de
messagerie sécurisée, de fichiers et de
dossiers. Lorsque ce mot de passe est
activé en tant que mot de passe de prise
en charge de l'authentification à la mise
sous tension du BIOS, protège l'accès au
contenu de l'ordinateur lorsque ce
dernier est mis sous tension, redémarré
ou restauré à partir du mode hibernation.
Également utilisé pour authentifier le
PSD (Personal Secure Drive) et pour
enregistrer l'authentification TPM.
Protège l'accès au jeton de récupération
d'urgence, qui est un fichier de
FRWW Gestion de mots de passe ProtectTools 3
Page 10
Tableau 1-1 Gestion de mots de passe (suite)
Remarque Également connu
en tant que : clé de jeton de
récupération d'urgence
sauvegarde de la puce de sécurité
intégrée TPM.
Mot de passe propriétaire Embedded Security, par administrateur
Mot de passe de session Credential
Manager
Mot de passe de fichier de récupération
Credential Manager
Mot de passe de session Windows Panneau de configuration Windows Peut être utilisé dans une connexion
Mot de passe de planificateur de
sauvegarde
Remarque Un mot de passe
utilisateur Windows est employé
pour configurer le planificateur
de sauvegarde pour la sécurité
intégrée.
informatique
Credential Manager Ce mot de passe propose 2 options :
Credential Manager, par administrateur
informatique
Embedded Security, par administrateur
informatique
Protège le système et la puce TPM d'un
accès non autorisé à toutes les fonctions
propriétaire de la sécurité intégrée.
Il peut être utilisé à la place du
●
processus de connexion Windows,
en permettant d'accéder
simultanément à Windows et à
Credential Manager.
Il peut être utilisé en tant que
●
connexion distincte pour accéder à
Credential Manager après une
connexion à Microsoft Windows.
Protège l'accès au fichier de
récupération Credential Manager.
manuelle ou enregistré sur la carte Java.
Configure le planificateur de sauvegarde
pour la sécurité intégrée.
Mot de passe PKCS #12
Remarque Chaque certificat
importé est doté d'un mot de
passe spécifique à ce certificat.
Jeton de réinitialisation de mot de
passe
Mot de passe administrateur d'agent de
récupération Microsoft
Embedded Security, par administrateur
informatique
Embedded Security, par administrateur
informatique
Microsoft, par administrateur de sécurité
informatique
Mot de passe utilisé pour la clé de
cryptage à partir d'autres certificats, si
importés.
Remarque Non requis pour
un fonctionnement logiciel
normal. L'utilisateur peut opter
de définir ce mot de passe lors
de l'utilisation de la sécurité
intégrée pour envoyer des
certificats importants.
Outil fourni par le client qui permet au
propriétaire de réinitialiser le mot de
passe utilisateur de base en cas de
perte. Un mot de passe est utilisé pour
réaliser cette opération de
réinitialisation.
Assure que les données cryptées PSD
(Personal Secure Drive) peuvent être
récupérées. Pour plus d'informations,
consulter l'adresse
http://www.microsoft.com/technet/
prodtechnol/winxppro/support/
dataprot.mspx.
4 Chapitre 1 Introduction FRWW
Page 11
Tableau 1-1 Gestion de mots de passe (suite)
Remarque L'agent de
récupération de sécurité peut
être tout administrateur de
machine locale. Si l'agent de
récupération est créé, toute
personne souhaitant se
connecter en tant que cet
administrateur requiert un mot
de passe. L'agent de
récupération peut décrypter les
données chiffrées de tous les
utilisateurs juste en les ouvrant
(aucun assistant requis).
PIN principal de jeton virtuel Credential Manager Option du client qui permet de stocker
PIN utilisateur de jeton virtuel Credential Manager Option du client qui permet de stocker
Mot de passe d'assistant de sauvegarde
d'identité
Mot de passe d'authentification de jeton
virtuel
Alias d'authentification TPM Credential Manager Utilisé à la place du mot de passe
Credential Manager, par administrateur
informatique
Credential Manager Utilisé pour enregistrer une
Remarque Non requis pour
un fonctionnement logiciel
normal. L'utilisateur peut opter
de définir ce mot de passe lors
de l'utilisation de la sécurité
intégrée pour envoyer des
certificats importants.
des identités avec Credential Manager.
des identités avec Credential Manager.
Utilisé pour protéger l'accès à une
sauvegarde d'identité lors de l'utilisation
de Credential Manager.
authentification de jeton virtuel avec
Credential Manager.
utilisateur de base par le gestionnaire
d'identités, suivant le choix de
l'administrateur ou de l'utilisateur.
Connexion via empreinte digitale Credential Manager Credential Manager permet à l'utilisateur
de remplacer la connexion par mot de
passe Windows par une session de
connexion conviviale et sécurisée par
empreinte digitale. À la différence du mot
de passe, les identités par empreinte
digitale ne peuvent pas être partagées,
communiquée, perdues ou violées.
Utilisé par Credential Manager.
Authentification de jeton USB Credential Manager Utilisé par Credential Manager en tant
qu'authentification de jeton au lieu d'un
mot de passe.
Session Credential Manager avec authentification multifacteur
L'ouverture de session Credential Manager permet à la technologie d'authentification multifacteur de
se connecter au système d'exploitation Windows. Ceci élève la sécurité de connexion par mot de passe
Windows standard en requérant une puissante authentification multifacteur. Cette fonction améliore
également la convivialité d'une connexion quotidienne en éliminant le besoin de mémoriser des mots
de passe utilisateur. Une fonction unique de cette connexion Credential Manager consiste en sa
possibilité de cumuler plusieurs identités en une identité utilisateur unique, ce qui permet d'employer
l'authentification multifacteur une seule fois et de fournir de multiples accès à différents comptes
Windows avec le même ensemble d'identités.
L'authentification utilisateur multifacteur prend en charge toute combinaison de mots de passe
utilisateur, de mots de passe dynamiques ou à utilisation unique, de données TPM, de cartes Java, de
jetons USB, de jetons virtuels et de données biométriques. Credential Manager prend également en
FRWW Gestion de mots de passe ProtectTools 5
Page 12
charge des méthodes d'authentification alternatives, en offrant la possibilité de plusieurs privilèges
d'accès utilisateur pour la même application ou le même service. Un utilisateur peut consolider toutes
ses identités, mots de passe d'application et comptes réseau en une unité de données unique appelée
Identité d'utilisateur. L'identité d'utilisateur est toujours cryptée et protégée par l'authentification
multifacteur.
Création d'un mot de passe sécurisé
Lors de la création de mots de passe, vous devez d'abord respecter toutes les spécifications définies
par le programme. En règle générale, cependant, tenez compte des instructions suivantes pour vous
aider à créer des mots de passe robustes et réduire les risques encourus par vos mots de passe.
Utilisez des mots de passe contenant plus de 6 caractères, et de préférence plus de 8.
●
Mélangez la casse des lettres dans votre mot de passe.
●
Lorsque possible, mélangez les caractères alphanumériques et incluez des caractères spéciaux
●
et des signes de ponctuation.
Remplacez des lettres par des caractères spéciaux ou des nombres dans un mot clé. Par exemple,
●
vous pouvez utiliser le nombre 1 pour la lettre I ou L.
Combinez des mots provenant de 2 langues ou plus.
●
Divisez un mot ou une phrase par des nombres ou des caractères spéciaux au milieu (par exemple,
●
« Mary22Cat45 »).
N'utilisez pas un mot figurant dans un dictionnaire.
●
N'utilisez pas votre nom comme mot de passe, ou toute autre information personnelle, telle qu'une
●
date de naissance, le nom de votre chien ou le nom de jeune fille de votre mère, même si vous
l'épelez à l'envers.
Modifiez régulièrements vos mots de passe. Vous pouvez changer uniquement quelques
●
caractères par incrémentation.
Si vous prenez note de votre mot de passe, ne le placez pas dans un lieu visible et proche de
●
l'ordinateur.
N'enregistrez pas le mot de passe dans un fichier, tel qu'un courrier électronique, sur l'ordinateur.
●
Ne partagez pas de comptes et ne communiquez votre mot de passe à personne.
●
6 Chapitre 1 Introduction FRWW
Page 13
Tâches avancées
Gestion de paramètres ProtectTools
Certaines des fonctions de ProtectTools Security Manager peuvent être gérées dans le module BIOS
Configuration.
Activation/Désactivation de la prise en charge d'authentification à la mise sous tension
de carte Java
Si cette option est disponible, son activation permet d'utiliser la carte Java pour l'authentification
d'utilisateur lorsque vous mettez l'ordinateur sous tension.
Remarque Pour activer intégralement la fonction d'authentification à la mise sous tension, vous
devez également configurer la carte Java en utilisant le module Java Card Security for
ProtectTools.
Pour activer la prise en charge d'authentification à la mise sous tension de carte Java :
1. Sélectionnez Démarrer > Tous les programmes > HP ProtectTools Security Manager.
2. Dans le volet gauche, sélectionnez BIOS Configuration.
3. Entrez votre mot de passe administrateur Computer Setup à l'invite de mot de passe administrateur
BIOS, puis cliquez sur OK.
4. Dans le volet gauche, sélectionnez Security.
5. Sous Java Card Security (Sécurité de carte Java), sélectionnez Enable (Activer).
Remarque Pour désactiver l'authentification à la mise sous tension de carte Java,
sélectionnez Disable (Désactiver).
6. Dans la fenêtre ProtectTools, cliquez sur Apply (Appliquer), puis sur OK pour enregistrer les
modifications.
Activation/Désactivation de la prise en charge d'authentification à la mise sous tension
pour la sécurité intégrée
Si cette option est disponible, son activation permet au système d'utiliser la puce de sécurité intégrée
TPM pour l'authentification d'utilisateur lorsque vous mettez l'ordinateur sous tension.
Remarque Pour activer intégralement la fonction d'authentification à la mise sous tension, vous
devez également configurer la puce de sécurité intégrée TPM en utilisant le module Embedded
Security for ProtectTools.
Pour activer la prise en charge d'authentification à la mise sous tension pour la sécurité intégrée :
1. Sélectionnez Démarrer > Tous les programmes > HP ProtectTools Security Manager.
2. Dans le volet gauche, sélectionnez BIOS Configuration.
3. Entrez votre mot de passe administrateur Computer Setup à l'invite de mot de passe administrateur
BIOS, puis cliquez sur OK.
4. Dans le volet gauche, sélectionnez Security.
FRWW Tâches avancées 7
Page 14
5. Sous Embedded Security, sélectionnez Enable Power-On Authentication Support (Activer la
prise en charge d'authentification à la mise sous tension).
Remarque Pour désactiver l'authentification à la mise sous tension pour la sécurité
intégrée, sélectionnez Disable (Désactiver).
6. Dans la fenêtre ProtectTools, cliquez sur Apply (Appliquer), puis sur OK pour enregistrer les
modifications.
Gestion de mots de passe Computer Setup
Vous pouvez utiliser BIOS Configuration pour définir et modifier les mots de passe de mise sous tension
et de configuration dans Computer Setup, ainsi que pour gérer divers paramètres de mot de passe.
ATTENTION Les mots de passe que vous définissez via la page Passwords de BIOS
Configuration sont immédiatement enregistrés lorsque vous cliquez sur le bouton Apply
(Appliquer) ou OK de la fenêtre ProtectTools. Assurez-vous de mémoriser le mot de passe que
vous avez défini car vous ne pouvez pas annuler une définition de mot de passe sans fournir le
mot de passe antérieur.
Le mot de passe de mise sous tension peut protéger l'ordinateur d'un accès non autorisé.
Remarque Une fois que vous avez défini un mot de passe de mise sous tension, le bouton
Set (Définir) de la page Passwords est remplacé par le bouton Change (Modifier).
Le mot de passe administrateur Computer Setup protège les paramètres de configuration et les
informations d'identification système dans Computer Setup. Une fois ce mot de passe défini, il doit être
saisi pour accéder à Computer Setup.
Si vous avez défini un mot de passe administrateur, vous serez invité à le fournir avant l'ouverture de
la partie BIOS Configuration de ProtectTools.
Remarque Une fois que vous avez défini un mot de passe administrateur, le bouton Set
(Définir) de la page Passwords est remplacé par le bouton Change (Modifier).
Définition du mot de passe de mise sous tension (si disponible)
Pour définir le mot de passe de mise sous tension :
1. Sélectionnez Démarrer > Tous les programmes > HP ProtectTools Security Manager.
2. Dans le volet gauche, sélectionnez BIOS Configuration, puis Security (Sécurité).
3. Dans le volet droit, en regard de Power-On Password (Mot de passe de mise sous tension),
cliquez sur Set (Définir).
4. Entrez et confirmez le mot de passe dans les zones Enter Password (Entrer le mot de passe)
et Verify Password (Vérifier le mot de passe).
5. Dans la boîte de dialogue Passwords (Mots de passe), cliquez sur OK.
6. Dans la fenêtre ProtectTools, cliquez sur Apply (Appliquer), puis sur OK pour enregistrer les
modifications.
8 Chapitre 1 Introduction FRWW
Page 15
Modification du mot de passe de mise sous tension (si disponible)
Pour modifier le mot de passe de mise sous tension :
1. Sélectionnez Démarrer > Tous les programmes > HP ProtectTools Security Manager.
2. Dans le volet gauche, sélectionnez BIOS Configuration, puis Security (Sécurité).
3. Dans le volet droit, en regard de Power-On Password (Mot de passe de mise sous tension),
cliquez sur Change (Modifier).
4. Entrez le mot de passe actuel dans la zone Old Password (Ancien mot de passe).
5. Définissez et confirmez le nouveau mot de passe dans les zones Enter New Password (Entrer le
nouveau mot de passe) et Verify New Password (Vérifier le nouveau mot de passe).
6. Dans la boîte de dialogue Passwords (Mots de passe), cliquez sur OK.
7. Dans la fenêtre ProtectTools, cliquez sur Apply (Appliquer), puis sur OK pour enregistrer les
modifications.
Configuration système
1. Initialisez HP ProtectTools Embedded Security.
2. Initialisez la clé d'utilisateur de base.
La prise en charge d'authentification à la mise sous tension HP démarre dès que la clé d'utilisateur de
base est définie et que le mot de passe utilisateur de base est configuré pour la mise sous tension. Au
prochain réamorçage, la prise en charge d'authentification à la mise sous tension HP est initialisée et
le mot de passe utilisateur de base doit être utilisé pour démarrer l'ordinateur. Une fois que la prise en
charge d'authentification à la mise sous tension fonctionne, l'option de saisie de la configuration du BIOS
n'est plus visible. Si l'utilisateur entre le mot de passe de configuration dans la fenêtre de prise en charge
d'authentification à la mise sous tension, il accède au BIOS.
Si le mot de passe utilisateur de base de sécurité intégrée est déjà défini, le mot de passe doit être
modifié pour établir une protection par mot de passe en utilisant l'authentification à la mise sous tension.
Modification de la prise en charge d'authentification à la mise sous tension
La prise en charge d'authentification à la mise sous tension par mot de passe utilise le mot de passe
utilisateur de base de sécurité intégrée. Pour modifier le mot de passe :
1. Accédez aux paramètres F10 BIOS (vous devez disposer du mot de passe de configuration comme
décrit dans la procédure Configuration ci-dessous), puis naviguez vers Security > Embedded
Security Device > Reset authentication credential (Sécurité > Périphérique de sécurité
intégrée > Réinitialiser les identités d'authentification).
2. Appuyez sur la touche fléchée pour modifier le paramètre de Do not reset (Ne pas réinitialiser)
en Reset (Réinitialiser).
3. Naviguez vers Security Manager > Embedded Security > User Settings > Basic User
Password > Change (Gestionnaire de sécurité > Sécurité intégrée > Paramètres utilisateur > Mot
de passe utilisateur de base > Modifier).
4. Entrez l'ancien mot de passe, puis entrez et confirmez le nouveau mot de passe.
5. Redémarrez via la prise en charge d'authentification à la mise sous tension.
FRWW Tâches avancées 9
Page 16
La fenêtre de mot de passe demande à l'utilisateur de saisir d'abord l'ancien mot de passe.
6. Entrez l'ancien mot de passe, puis entrez le nouveau mot de passe. (Une saisie incorrecte du
nouveau mot de passe trois fois de suite affiche une nouvelle fenêtre qui indique que le mot de
passe n'est pas valide et que l'authentification à la mise sous tension sera restaurée sur le mot de
passe de sécurité intégrée d'origine [F1 = Boot]).
À ce stade, les mots de passe ne seront pas synchronisés et l'utilisateur doit à nouveau modifier
le mot de passe de sécurité intégrée pour les resynchroniser.
Modification de comptes utilisateur
L'authentification à la mise sous tension ne prend en charge qu'un seul utilisateur à la fois. La procédure
suivante permet de modifier des comptes utilisateur qui contrôlent l'authentification à la mise sous
tension.
1. Naviguez vers F10 BIOS > Security > Embedded Security Device > Reset authentication
credential (F10 BIOS > Sécurité > Périphérique de sécurité intégrée > Réinitialiser les informations
d'authentification).
2. Appuyez sur la touche fléchée pour déplacer le curseur latéralement, puis appuyez sur une touche
quelconque pour continuer.
3. Appuyez deux fois sur F10, puis sur Entrée pour enregistrer les modifications et quitter (Save
Changes and Exit).
4. Créez un utilisateur Microsoft Windows modifié ciblé ou connectez-vous en tant qu'un tel utilisateur
existant.
5. Ouvrez le module Embedded Security et initialisez une clé d'utilisateur de base pour le nouveau
compte utilisateur Windows. Si une clé d'utilisateur de base existe déjà, modifiez le mot de passe
utilisateur de base pour prendre le contrôle de l'authentification à la mise sous tension.
L'authentification à la mise sous tension accepte désormais uniquement le mot de passe utilisateur de
base du nouvel utilisateur.
ATTENTION Plusieurs produits sont disponibles au client pour protéger les données via un
cryptage logiciel, un cryptage matériel et un matériel. La plupart d'entre eux sont gérés à l'aide
de mots de passe. Un échec de gestion de ces outils et mots de passe peut entraîner une perte
de données et un verrouillage du matériel, ce qui peut même amener à un remplacement. Passez
en revue tous les fichiers d'aide appropriés avant de tenter d'utiliser ces outils.
Définition du mot de passe administrateur Computer Setup
Pour définir le mot de passe administrateur Computer Setup :
1. Sélectionnez Démarrer > Tous les programmes > HP ProtectTools Security Manager.
2. Dans le volet gauche, sélectionnez BIOS Configuration, puis Security (Sécurité).
3. Dans le volet droit, en regard de Setup Password (Mot de passe de configuration), cliquez sur
Set (Définir).
4. Entrez et confirmez le mot de passe dans les zones Enter Password (Entrer le mot de passe)
et Confirm Password (Confirmer le mot de passe).
10 Chapitre 1 Introduction FRWW
Page 17
5. Dans la boîte de dialogue Passwords (Mots de passe), cliquez sur OK.
6. Dans la fenêtre ProtectTools, cliquez sur Apply (Appliquer), puis sur OK pour enregistrer les
modifications.
Modification du mot de passe administrateur Computer Setup
Pour modifier le mot de passe administrateur Computer Setup :
1. Sélectionnez Démarrer > Tous les programmes > HP ProtectTools Security Manager.
2. Dans le volet gauche, sélectionnez BIOS Configuration, puis Security (Sécurité).
3. Dans le volet droit, en regard de Setup Password (Mot de passe de configuration), cliquez sur
Change (Modifier).
4. Entrez le mot de passe actuel dans la zone Old Password (Ancien mot de passe).
5. Définissez et confirmez le nouveau mot de passe dans les zones Enter New Password (Entrer le
nouveau mot de passe) et Verify New Password (Vérifier le nouveau mot de passe).
6. Dans la boîte de dialogue Passwords (Mots de passe), cliquez sur OK.
7. Dans la fenêtre ProtectTools, cliquez sur Apply (Appliquer), puis sur OK pour enregistrer les
modifications.
FRWW Tâches avancées 11
Page 18
Comportement d'attaque de type Dictionnaire avec authentification à la mise sous tension
Une attaque Dictionnaire est une méthode utilisée pour pénétrer les systèmes de sécurité en testant
de manière systématique tous les mots de passe possibles afin de passer outre un système de sécurité.
Une attaque Dictionnaire contre le module Embedded Security peut essayer de détecter le mot de passe
propriétaire, le mot de passe utilisateur de base ou les clés protégées par mot passe. Le module
Embedded Security propose une défense améliorée contre une telle attaque.
Défense contre une attaque Dictionnaire
La défense du module Embedded Security contre une attaque Dictionnaire contre le mot de passe
consiste à détecter les tentatives d'authentification ayant échoué et de désactiver temporairement le
module TPM lorsqu'un niveau d'échec donné est atteint. Une fois le niveau d'échec atteint, non
seulement le module TPM est désactivé et un redémarrage est requis, mais des délais de verrouillage
croissants sont mis en œuvre. Durant la temporisation, la saisie du mot de passe correct sera ignorée.
La saisie d'un mot de passe incorrect double la dernière temporisation.
Une documentation supplémentaire sur ce processus est disponible dans l'aide du module Embedded
Security. Cliquez sur Welcome to the HP Embedded Security for ProtectTools Solution >
Advanced Embedded Security Operation > Dictionary Attack Defense (Bienvenue dans la solution
HP Embedded Security for ProtectTools > Fonctionnement avancé de sécurité intégrée > Défense
contre une attaque Dictionnaire).
Remarque Normalement, un utilisateur reçoit des avertissements indiquant que son mot de
passe est incorrect. Les avertissements signalent le nombre de tentatives restantes à l'utilisateur
avant que le module TPM ne se désactive lui-même.
Le processus d'authentification à la mise sous tension a lieu dans la ROM avant le chargement
du système d'exploitation. La défense contre une attaque Dictionnaire est fonctionnelle, mais le
seul avertissement reçu par l'utilisateur est le symbole de clé X.
12 Chapitre 1 Introduction FRWW
Page 19
2 HP BIOS Configuration for
ProtectTools
Concepts élémentaires
Le module BIOS Configuration for ProtectTools permet d'accéder aux paramètres de sécurité et de
configuration de l'utilitaire Computer Setup. Il permet d'accéder via Windows aux fonctions de sécurité
gérées par Computer Setup.
BIOS Configuration permet de réaliser les opérations suivantes :
Gérer des mots de passe de mise sous tension et des mots de passe administrateur.
●
Configurer d'autres fonctions d'authentification à la mise sous tension, telles que l'activation de
●
mots de passe de carte Java et la prise en charge d'authentification de sécurité intégrée.
Activer et désactiver des fonctions matérielles, telles que l'amorçage via un CD-ROM ou différents
●
ports matériels.
Configurer des options d'amorçage, notamment le multiamorçage (MultiBoot) et la modification de
●
l'ordre d'amorçage.
Remarque Plusieurs des fonctions de BIOS Configuration for ProtectTools sont également
disponibles dans Computer Setup.
Modification des paramètres du BIOS
BIOS Configuration permet de gérer divers paramètres de l'ordinateur qui, sinon, seraient uniquement
accessibles par une pression sur la touche F10 au démarrage et via l'accès à l'utilitaire Computer Setup.
Pour plus d'informations sur les paramètres et les fonctions, reportez-vous au Manuel de l'utilitaire
Computer Setup (F10) disponible sur le CD Documentation et diagnostics livré avec l'ordinateur. Pour
accéder aux fichiers d'aide du module BIOS Configuration, cliquez sur Security Manager > BIOS
Configuration > Help.
Remarque Pour obtenir des instructions spécifiques concernant le module BIOS Configuration,
reportez-vous aux écrans d'aide ProtectTools.
FRWW Concepts élémentaires 13
Page 20
14 Chapitre 2 HP BIOS Configuration for ProtectTools FRWW
Page 21
3 HP Embedded Security for
ProtectTools
Concepts élémentaires
S'il est disponible, le module Embedded Security for ProtectTools offre une protection contre tout accès
non autorisé aux données utilisateur ou identités. Ce module propose les fonctions de sécurité
suivantes :
Cryptage de fichiers et dossiers EFS (Enhanced Microsoft Encrypting File System)
●
Création d'une unité PSD (Personal Secure Drive) pour cryptage des données utilisateur
●
Fonctions de gestion des données, telles que sauvegarde et restauration de la hiérarchie des clés
●
Prise en charge d'applications tierces basées sur l'interface de programmation MSCAPI (telles que
●
Microsoft Outlook et Microsoft Internet Explorer) et d'applications basées sur les normes PKCS#11
(telle que Netscape) pour les opérations protégées par un certificat numérique, conjointement avec
l'utilisation du logiciel de sécurité intégrée.
La puce de sécurité intégrée TPM (Trusted Platform Module) améliore et active d'autres fonctions de
sécurité de ProtectTools Security Manager. Par exemple, Credential Manager for ProtectTools peut
utiliser la puce de sécurité intégrée TPM comme facteur d'authentification lorsque l'utilisateur se
connecte à Windows. Sur certains modèles, la puce de sécurité intégrée TPM active également des
fonctions de sécurité du BIOS, accessibles via BIOS Configuration for ProtectTools.
Le matériel consiste en un module TPM conforme aux exigences des normes TPM 1.2 publiées par le
Trusted Computing Group. La puce est intégrée sur la carte mère. Certaines mises en œuvre TPM
(selon le modèle acheté) intègrent le module TPM comme partie de la carte réseau (NIC). Dans ces
configurations NIC et TPM, la mémoire intégrée et non intégrée, les fonctions et le microprogramme
sont stockés dans une mémoire flash externe incorporée à la carte mère. Toutes les fonctions TPM
sont cryptées ou protégées pour sécuriser les données de la mémoire flash et les communications.
Ce logiciel comporte également une fonction appelée PSD (Personal Secure Drive). Il s'agit d'une
fonction complémentaire au cryptage EFS qui se base sur l'algorithme AES (Advanced Encryption
Standard). Il convient de noter que cette fonction PSD n'est active que si le module TPM est lui-même
activé avec le logiciel approprié, installé avec des droits de propriétaire, et si la configuration de
l'utilisateur est initialisée.
FRWW Concepts élémentaires 15
Page 22
Procédures de configuration
ATTENTION Pour réduire les risques de sécurité, il est fortement recommandé que
l'administrateur informatique initialise immédiatement la puce de sécurité TPM. Si la puce de
sécurité TPM n'est pas initialisée, un utilisateur non autorisé ou un ver informatique pourrait avoir
accès à l'ordinateur ou un virus pourrait initialiser la puce TPM et restreindre l'accès à l'ordinateur.
La puce de sécurité TPM peut être activée dans l'utilitaire BIOS Computer Setup, le module BIOS
Configuration for ProtectTools ou l'application HP Client Manager.
Pour activer la puce de sécurité intégrée TPM :
1. Ouvrez Computer Setup en démarrant ou redémarrant l'ordinateur, puis en appuyant sur la
touche F10 lorsque le message F10 = ROM Based Setup s'affiche dans l'angle inférieur gauche
de l'écran.
2. Utilisez les touches de direction pour sélectionner Security > Setup Password (Sécurité > Mot
de passe de configuration). Définissez un mot de passe.
3. Sélectionnez Embedded Security Device (Périphérique de sécurité intégrée).
4. Utilisez les touches de direction pour sélectionner Embedded Security Device—Disable
(Périphérique de sécurité intégrée—Désactiver). Utilisez les touches de direction pour modifier
l'entrée en Embedded Security Device—Enable (Périphérique de sécurité intégrée—Activer).
5. Sélectionnez Enable > Save changes and exit (Activer > Enregistrer les modifications et quitter).
Remarque Pour obtenir des instructions spécifiques concernant le module ProtectTools
Embedded Security, reportez-vous aux écrans d'aide ProtectTools.
16 Chapitre 3 HP Embedded Security for ProtectTools FRWW
Page 23
4 HP Credential Manager for
ProtectTools
Concepts élémentaires
Le module Credential Manager for ProtectTools est doté de fonctions de sécurité qui fournissent un
environnement informatique sécurisé et convivial. Ces fonctions incluent les suivantes :
Alternatives aux mots de passe lors de la connexion à Microsoft Windows, telles que l'utilisation
●
d'une carte Java Card ou d'un lecteur biométrique
Fonction de signature unique qui mémorise automatiquement les identités (ID utilisateur et mots
●
de passe) pour l'accès aux sites Web, aux applications et aux ressources réseau protégées
Prise en charge de périphériques de sécurité optionnels, tels que cartes Java et lecteurs
●
biométriques
Prise en charge de paramètres de sécurité supplémentaires, comme l'obligation d'une
●
authentification par un périphérique optionnel pour déverrouiller l'ordinateur et accéder aux
applications
Cryptage renforcé pour le stockage des mots de passe, en cas d'utilisation d'une puce de sécurité
●
intégrée TPM
Procédure de lancement
Pour lancer Credential Manager, si disponible :
1. Cliquez sur Démarrer > Panneau de configuration > Security Center > ProtectTools Security
Manager > Credential Manager.
2. Cliquez sur Log On (Connexion) dans l'angle supérieur droit du volet.
Vous pouvez vous connecter à Credential Manager de l'une des manières suivantes :
Assistant de connexion à Credential Manager (recommandé)
●
ProtectTools Security Manager
●
Remarque Si vous utilisez l'invite de connexion à Credential Manager dans l'écran d'ouverture
de session Windows pour accéder à Credential Manager, vous vous connectez simultanément
à Windows.
FRWW Concepts élémentaires 17
Page 24
Première connexion
La première fois que vous ouvrez Credential Manager, connectez-vous avec votre mot de passe de
connexion Windows normal. Un compte Credential Manager est ensuite automatiquement créé avec
votre identité de connexion Windows.
Une fois connecté à Credential Manager, vous pouvez enregistrer des informations de connexion
supplémentaires, telles qu'une empreinte digitale ou une carte Java.
À la connexion suivante, vous pouvez sélectionner la stratégie de connexion et utiliser toute
combinaison des informations de connexion enregistrées.
Remarque Pour obtenir des instructions spécifiques concernant ProtectTools Security
Manager, reportez-vous aux écrans d'aide ProtectTools.
18 Chapitre 4 HP Credential Manager for ProtectTools FRWW
Page 25
5 HP Java Card Security for
ProtectTools
Concepts élémentaires
Java Card Security for ProtectTools permet de gérer l'installation et la configuration de cartes Java pour
les ordinateurs équipés d'un lecteur de carte Java en option.
HP Java Card Security for ProtectTools permet d'effectuer les opérations suivantes :
Accéder aux fonctions de sécurité de carte Java
●
Initialiser une carte Java afin de pouvoir l'utiliser avec d'autres modules ProtectTools, tels que
●
Credential Manager for ProtectTools
Si disponible, travailler avec l'utilitaire Computer Setup pour activer l'authentification de cartes Java
●
dans un environnement de préamorçage, et pour configurer des cartes Java distinctes pour un
administrateur et un utilisateur. Ceci requiert qu'un utilisateur insère la carte Java et entre au besoin
un numéro PIN avant d'autoriser le chargement du système d'exploitation.
Si disponible, définir et modifier le mot de passe utilisé pour authentifier les utilisateurs de la carte
●
Java
Si disponible, sauvegarder et restaurer des mots de passe BIOS de carte Java stockés sur la carte
●
Java
Si disponible, enregistrer le mot de passe BIOS sur la carte Java
●
Remarque Pour obtenir des instructions spécifiques concernant ProtectTools Security
Manager, reportez-vous aux écrans d'aide ProtectTools.
FRWW Concepts élémentaires 19
Page 26
20 Chapitre 5 HP Java Card Security for ProtectTools FRWW
Page 27
6 Solutions de partie tierce
Les plates-formes contenant un module TPM requièrent une pile TSS (TCG Software Stack) et un
logiciel de sécurité intégrée. Tous les modèles sont dotés de la pile TSS, mais le logiciel de sécurité
intégrée doit être acheté séparément pour certains modèles. Pour ces modèles, une pile TSS NTRU
est fournie pour la prise en charge d'un logiciel de sécurité intégrée de partie tierce acheté par le client.
Nous recommandons des solutions de partie tierce telles que Wave Embassy Trust Suite.
FRWW 21
Page 28
22 Chapitre 6 Solutions de partie tierce FRWW
Page 29
7 HP Client Manager pour déploiement
distant
Vue d'ensemble
Les plates-formes HP Trustworthy équipées d'une puce TPM (Trusted Platform Module) sont livrées
avec le module TPM désactivé (état par défaut). L'activation du module TPM est une option
d'administration protégée par des stratégies mises en œuvre par le BIOS HP. L'administrateur doit être
présent pour accéder aux options de configuration du BIOS (options F10) pour activer le module TPM.
En outre, les spécifications TCG (Trusted Computing Group) requièrent qu'une présence humaine
(physique) explicite soit établie pour activer un module TPM. Cette exigence assure que les droits de
confidentialité d'un utilisateur sont respectés (en fournissant un modèle de participation à utiliser) et
qu'une application inadéquate, un virus ou un cheval de Troie ne puisse pas activer le module TPM à
des fins malicieuses. L'établissement d'une présence physique et l'exigence de la présence locale d'un
administrateur posent un défi intéressant pour les superviseurs informatiques qui tentent de déployer
cette technologie au niveau d'une entreprise de grande taille.
Initialisation
HP Client Manager (HPCM) fournit une méthode d'activation à distance du module TP et de la prise de
contrôle de ce module dans un environnement d'entreprise. Cette méthode ne requiert pas la présence
physique d'un administrateur informatique, mais satisfait tout de même les exigences TCG.
HPCM permet à l'administrateur informatique de définir certaines options du BIOS, puis de redémarrer
le système pour activer le module TPM sur le système distant. Durant ce réamorçage, le BIOS, par
défaut, affiche une invite. En réponse, l'utilisateur final doit appuyer sur une touche pour prouver une
présence physique, comme spécifié par les exigences TCG. Le système distant poursuit son amorçage
et le script se termine en prenant le contrôle du module TPM sur le système. Durant cette procédure,
une archive de récupération d'urgence et un jeton de récupération d'urgence sont créés à un
emplacement spécifié par l'administrateur informatique.
HPCM n'exécute pas l'initialisation de l'utilisateur du module TPM sur le système distant dans la mesure
où l'utilisateur doit être autorisé à choisir le mot de passe. L'initialisation de l'utilisateur du module TPM
doit être réalisée par l'utilisateur final de ce système.
Maintenance
HP Client Manager peut être utilisé pour réinitialiser à distance le mot de passe utilisateur sans que
l'administrateur informatique ne soit averti de ce mot de passe. HPCM peut également récupérer à
distance l'identité de l'utilisateur. Des mots de passe administrateur corrects doivent être fournis pour
ces deux fonctions.
FRWW Vue d'ensemble 23
Page 30
24 Chapitre 7 HP Client Manager pour déploiement distant FRWW
Page 31
8 Résolution des problèmes
Credential Manager for ProtectTools
Brève description Détails Solution
En utilisant l'option de
comptes réseau
Credential Manager, un
utilisateur peut
sélectionner un compte de
domaine pour ouvrir une
session. Lorsque
l'authentification TPM est
utilisée, cette option n'est
pas disponible. Toutes les
autres méthodes
d'authentification
fonctionnent
correctement.
L'identification par jeton
USB n'est pas disponible
lors d'une ouverture de
session Windows XP
Service Pack 1.
Avec une authentification TPM,
l'utilisateur ne peut ouvrir une session
que sur l'ordinateur local.
Après avoir installé le logiciel du jeton
USB, enregistré sa légitimation et
configuré Credential Manager comme
gestionnaire principal d'ouverture de
session, le jeton USB n'apparaît pas
dans la liste et n'est pas disponible dans
la boîte de dialogue d'ouverture de
session Credential Manager ou
d'authentification et d'identification
graphique.
En revenant à Windows pour fermer puis
rouvrir la session Credential Manager et
sélectionner de nouveau le jeton USB
comme légitimation principale,
l'ouverture de session par jeton USB
fonctionne normalement.
À l'aide des outils de signature unique Credential
Manager, l'utilisateur peut authentifier d'autres
comptes.
Cela se produit uniquement avec Windows Service
Pack 1 ; l'installation du Service Pack 2 via Windows
Update résout le problème.
Comme solution de rechange en gardant le Service
Pack 1, ouvrez une nouvelle session Windows avec
une autre légitimation (mot de passe Windows) afin de
fermer et rouvrir la session Credential Manager.
Des pages Web de
certaines applications
génèrent des erreurs qui
empêchent l'utilisateur
d'accomplir ou de terminer
des tâches.
Aucune option Browse
for Virtual Token
Certaines applications Web cessent de
fonctionner et signalent des erreurs en
raison du caractère d'invalidation de la
signature unique. Par exemple, un ! dans
un triangle jaune indiquant qu'une erreur
s'est produite, peut être observé dans
Internet Explorer.
L'utilisateur ne peut pas déplacer
l'emplacement des jetons virtuels
La signature unique du Credential Manager ne prend
pas en charge toutes les interfaces Web. Désactivez la
prise en charge de la signature unique pour les pages
Web en question. Pour obtenir une documentation plus
complète sur la fonction de signature unique, reportezvous aux fichiers d'aide de Credential Manager.
Si une signature unique ne peut pas être désactivée
pour une application donnée, appelez l'assistance HP
et demandez un support de 3ème niveau via votre
contact de service HP.
Cette option Parcourir a été supprimée des versions
actuelles du logiciel parce qu'elle permettait à des
FRWW Credential Manager for ProtectTools 25
Page 32
Brève description Détails Solution
(Parcourir les jetons
virtuels) lors de l'ouverture
de session.
L'ouverture de session
avec authentification TPM
ne présente pas l'option
Network Accounts
(Comptes réseau).
Les administrateurs de
domaines ne peuvent pas
changer le mot de passe
Windows, même avec
autorisation.
Le paramétrage par
défaut de la signature
unique dans Credential
Manager devrait afficher
une invite afin d'éviter une
boucle.
enregistrés dans Credential Manager,
car l'option Parcourir à été supprimée
pour des raisons de sécurité.
Avec l'option Network Accounts
(Comptes réseau), un utilisateur peut
sélectionner un compte de domaine pour
ouvrir une session. Lorsque
l'authentification TPM est utilisée, cette
option n'est pas disponible.
Cela se produit lorsqu'un administrateur
de domaines se connecte à un domaine
et enregistre l'identité de ce domaine
dans Credential manager sous un
compte avec droits d'administrateur sur
le domaine et sur l'ordinateur local.
Lorsque l'administrateur de domaines
tente de modifier le mot de passe
Windows dans Credential Manager, il
obtient un message d'échec d'ouverture
de session : User account restriction
(Restriction du compte utilisateur).
Par défaut, la signature unique est
définie de manière à ouvrir automatique
la session de l'utilisateur. Cependant,
lors de la création d'un second document
protégé par un mot de passe différent,
Credential Manager utilise le dernier mot
de passe enregistré (celui du premier
document).
utilisateurs non enregistrés de supprimer et de
renommer des fichiers et de prendre le contrôle de
Windows.
HP recherche actuellement un palliatif pour les
prochaines versions du logiciel.
Credential Manager ne peut pas modifier le mot de
passe d'un compte utilisateur de domaine par le biais
de l'option Change Windows password (Changer le
mot de passe Windows). Credential Manager ne peut
changer que les mots de passe des comptes de
l'ordinateur local. L'utilisateur d'un domaine peut
modifier son mot de passe à l'aide de l'option Windows
security > Change password (Sécurité Windows >
Modifier le mot de passe) mais, comme l'utilisateur du
domaine ne possède pas de compte physique sur
l'ordinateur local, Credential Manager peut uniquement
changer le mot de passe utilisé pour l'ouverture de
session.
HP recherche actuellement un palliatif pour les
prochaines versions du logiciel.
Problèmes
d'incompatibilité avec
l'authentification et
l'identification graphique
du mot de passe Corel
WordPerfect 12.
Credential Manager ne
reconnaît pas le bouton
Connect (Connecter) à
l'écran.
L'assistant de
configuration ATI Catalyst
ne peut pas être utilisé
avec Credential Manager.
Lors d'une ouverture de
session avec
authentification TPM, le
bouton Back (Précédent)
saute l'option et passe à
une autre méthode
d'authentification.
Si l'utilisateur ouvre une session
Credential Manager, crée un document
dans WordPerfect et l'enregistre avec
une protection par mot de passe,
Credential Manager ne peut pas détecter
ou reconnaître le mot de passe
d'authentification et d'identification
graphique, que ce soit manuellement ou
automatiquement.
Si les légitimations de signature unique
pour la connexion RDP (Remote
Desktop Connection) sont définies sur
Connect, la signature unique, au
redémarrage, entre toujours Save As
(Enregistrer sous) au lieu de Connect
(Connecter).
La signature unique de Credential
Manager entre en conflit avec l'assistant
de configuration ATI Catalyst.
Si l'utilisateur se servant de
l'authentification TPM pour Credential
Manager saisit son mot de passe, le
bouton Back (Précédent) ne fonctionne
pas correctement et affiche
immédiatement l'écran d'ouverture de
session Windows.
HP recherche actuellement un palliatif pour les
prochaines versions du logiciel.
HP recherche actuellement un palliatif pour les
prochaines versions du logiciel.
Désactivez la signature unique de Credential Manager.
HP recherche actuellement un palliatif pour les
prochaines versions du logiciel.
26 Chapitre 8 Résolution des problèmes FRWW
Page 33
Brève description Détails Solution
Credential Manager
apparaît à la sortie de
l'état de veille, alors qu'il
est configuré pour ne pas
le faire.
Si le module TPM est
retiré ou endommagé, les
utilisateurs perdent toutes
les légitimations de
Credential Manager
protégées par le module
TPM.
Lorsque l'option use Credential
Manager log on to Windows (Utiliser
Credential Manager pour ouvrir une
session Windows) n'est pas
sélectionnée, le fait de permettre au
système de passer dans l'état S3, puis
de le réactiver provoque l'apparition du
dialogue d'ouverture de session
Credential Manager.
Les utilisateurs perdent toutes les
légitimations protégées par le module
TPM si celui-ci est retiré ou endommagé.
Sans mot de passe administrateur, l'utilisateur ne peut
pas ouvrir une session Windows via Credential
Manager en raison des restrictions de compte
invoquées par Credential Manager.
Sans carte Java/jeton, l'utilisateur peut annuler la
●
boîte de dialogue Credential Manager, ce qui fait
apparaître la fenêtre d'ouverture de session
Windows. L'utilisateur peut alors ouvrir une
session.
Sans carte Java/jeton, le palliatif suivant permet à
●
l'utilisateur d'activer/désactiver l'ouverture de
Credential Manager à l'insertion de la carte Java.
1. Cliquez sur Advanced Settings (Paramètres
avancés).
2. Cliquez sur Service & Applications.
3. Cliquez Java Cards and Tokens (Cartes Java et
jetons).
4. Cliquez lorsque la carte Java ou le jeton est inséré.
5. Cochez la case Advise to log-on (Conseiller
l'ouverture de session).
Le système est ainsi conçu.
Le module TPM est conçu pour protéger les
légitimations de Credential Manager. Il est donc
conseillé à l'utilisateur de sauvegarder les identités
gérées par Credential Manager avant de retirer le
module TPM.
Credential Manager n'est
pas configuré pour
l'ouverture de session
principale sous Windows
2000.
Le message d'ouverture
de session par empreinte
digitale apparaît, qu'un
lecteur d'empreinte soit ou
non installé ou enregistré.
Lors de l'installation de Windows 2000,
la règle d'ouverture de session est réglée
sur « ouverture manuelle » ou
« ouverture admin. automatique ». Si le
mode automatique est sélectionné, la
valeur 1 est enregistrée dans le registre
Windows comme valeur par défaut et
Credential Manager ne la remplace pas.
Si l'utilisateur sélectionne l'écran
d'ouverture de session Windows, l'alerte
suivante apparaît dans la barre des
tâches de Credential Manager : You can
place your finger on the fingerprint
reader to log on to Credential
Manager (Vous pouvez placer votre
doigt sur le lecteur d'empreinte pour vous
connecter à Credential Manager).
Le système est ainsi conçu.
Si l'utilisateur souhaite modifier le paramétrage du
système d'exploitation pour l'ouverture admin.
automatique, la clé du registre est
HKEY_LOCAL_MACHINE/Software/Microsoft/
WindowsNT/CurrentVersion/WinLogon.
ATTENTION Vous utilisez l'éditeur de
registre à vos propres risques ! Une utilisation
incorrecte de l'éditeur de registre (regedit) peut
causer de sérieux problèmes qui peuvent vous
obliger à réinstaller le système d'exploitation.
Il n'existe aucune garantie de pouvoir résoudre
les problèmes résultant d'un mauvais usage
de l'éditeur de registre.
Le but de cette alerte est de prévenir l'utilisateur que
l'authentification par empreinte digitale est disponible,
si elle a été configurée.
FRWW Credential Manager for ProtectTools 27
Page 34
Brève description Détails Solution
L'écran d'ouverture de
session Credential
Manager pour Windows
2000 indique insert card
(insérer la carte) alors
qu'aucun lecteur de carte
n'est branché.
Impossible d'ouvrir une
session dans Credential
Manager après un
passage de l'état de veille
à l'état de veille prolongée
sous Windows XP Service
Pack 1 uniquement.
L'écran d'accueil de Credential Manager
suggère que l'utilisateur peut ouvrir une
session par insertion d'une carte alors
qu'aucun lecteur de carte Java n'est
connecté à l'ordinateur.
Après avoir permis au système de
passer de l'état de veille à l'état de veille
prolongée, l'administrateur ou
l'utilisateur est incapable d'ouvrir une
session dans Credential Manager et
l'écran d'ouverture de session Windows
reste affiché quelle que soit la
légitimation sélectionnée (mot de passe,
empreinte digitale ou carte Java).
Le but de cette alerte est de prévenir l'utilisateur que
l'authentification par carte Java est disponible, si elle a
été configurée.
Ce problème semble résolu par Microsoft dans le
Service Pack 2. Pour plus d'informations sur la cause
du problème, consultez la Base de connaissances
Microsoft, article 813301, à l'adresse
http://www.microsoft.com.
Pour ouvrir une session, l'utilisateur doit sélectionner
Credential Manager et s'y connecter. Une fois la
session Credential Manager ouverte, l'utilisateur est
invité à ouvrir une session Windows (il se peut qu'il ait
à sélectionner l'option d'écran d'accueil Windows) pour
achever l'ouverture de session.
Si l'utilisateur commence par ouvrir une session
Windows, il doit ensuite se connecter manuellement à
Credential Manager.
28 Chapitre 8 Résolution des problèmes FRWW
Page 35
Brève description Détails Solution
La restauration de la
sécurité intégrée
provoque l'échec de
Credential Manager.
Une fois le module ROM de sécurité
intégrée restauré sur les paramètres
usine, Credential Manager ne réussit pas
à enregistrer des identités.
Le logiciel HP Credential Manager for ProtectTools ne
réussit pas à accéder au module TPM si la ROM a été
réinitialisée sur les paramètres usine après l'installation
de Credential Manager.
La puce de sécurité TPM peut être activée dans
l'utilitaire BIOS Computer Setup, le module BIOS
Configuration for ProtectTools ou l'application HP
Client Manager. Pour activer la puce de sécurité
intégrée TPM :
1. Ouvrez Computer Setup en démarrant ou
redémarrant l'ordinateur, puis en appuyant sur la
touche F10 lorsque le message F10 = ROM
Based Setup s'affiche dans l'angle inférieur
gauche de l'écran.
2. Utilisez les touches de direction pour
sélectionner Security > Setup Password
(Sécurité > Mot de passe de configuration).
Définissez un mot de passe.
3. Sélectionnez Embedded Security Device
(Périphérique de sécurité intégrée).
4. Utilisez les touches de direction pour
sélectionner Embedded Security Device—
Disable (Périphérique de sécurité intégrée—
Désactiver). Utilisez les touches de direction pour
modifier l'entrée en Embedded Security Device
—Enable (Périphérique de sécurité intégrée—
Activer).
Le processus de sécurité
Restore Identity
(Restaurer l'identité) perd
l'association avec le jeton
virtuel.
Lorsque l'utilisateur restaure son
identité, Credential Manager peut perdre
l'association avec l'emplacement du
jeton virtuel dans l'écran d'ouverture de
session. Bien que Credential Manager
ait enregistré le jeton virtuel, l'utilisateur
doit le réenregistrer pour rétablir
l'association.
5. Sélectionnez Enable > Save changes and exit
(Activer > Enregistrer les modifications et quitter).
HP recherche d'autres solutions pour les prochaines
versions du logiciel.
Le système est ainsi conçu.
Lorsque Credential Manager est désinstallé sans
garder les identités, la partie système (serveur) du jeton
est détruite, de sorte que le jeton ne peut plus être
utilisé pour l'ouverture de session, même si la partie
client du jeton est rétablie par une restauration
d'identité.
HP recherche des solutions à long terme.
FRWW Credential Manager for ProtectTools 29
Page 36
Embedded Security for ProtectTools
Brève description Détails Solution
Le chiffrement de
dossiers, sous-dossiers et
fichiers sur PSD cause un
message d'erreur.
Prise de possession
impossible avec un autre
système d'exploitation sur
une plate-forme à
plusieurs amorçages.
Un administrateur non
autorisé peut consulter,
supprimer, renommer ou
déplacer le contenu de
dossiers EFS chiffrés.
Les dossiers chiffrés par
le système EFS dans
Windows 2000 ne sont
pas mis en surbrillance en
vert.
Si l'utilisateur copie des fichiers et des
dossiers sur l'unité PSD et tente de
chiffrer des dossiers/fichiers ou des
dossiers/sous-dossiers, le message
Error Applying Attributes (Erreur
d'application des attributs) s'affiche.
L'utilisateur peut chiffrer les mêmes
fichiers du disque C:\ sur un disque dur
supplémentaire.
Si un disque dur est configuré pour le
démarrage de plusieurs systèmes
d'exploitation, la prise de possession ne
peut être faite que par l'assistant
d'initialisation d'un seul système
d'exploitation.
Le chiffrement d'un dossier n'empêche
pas un intrus possédant des droits
d'administrateur de consulter, supprimer
ou déplacer le contenu d'un dossier.
Les dossiers chiffrés par le système EFS
apparaissent en vert dans Windows XP,
mais pas dans Windows 2000.
Le système est ainsi conçu.
Le fait de déplacer des fichiers/dossiers vers l'unité
PSD entraîne leur chiffrement. Il n'est pas nécessaire
de chiffrer deux fois les fichiers ou dossiers. Toute
tentative de chiffrer des fichier ou dossiers déjà chiffrés
provoquera l'affichage de ce message d'erreur.
Le système est ainsi conçu pour des raisons de
sécurité.
Le système est ainsi conçu.
Il s'agit d'une caractéristique du système EFS, pas du
module TPM de sécurité intégrée. La sécurité intégrée
utilise le logiciel EFS de Microsoft dans lequel tous les
administrateurs conservent leurs droits d'accès aux
fichiers et dossiers.
Le système est ainsi conçu.
Il s'agit d'une caractéristique propre au système EFS,
que le module TPM de sécurité intégrée soit installé ou
non.
Le système EFS ne
requiert pas de mot de
passe pour consulter des
fichiers chiffrés dans
Windows 2000.
Le logiciel ne devrait pas
être installé sur une
partition restaurée en
FAT32.
Un utilisateur Windows
2000 peut partager une
quelconque unité PSD sur
le réseau en partage
masqué ($).
Il est possible pour
l'utilisateur de chiffrer ou
de supprimer le fichier
Si un utilisateur initialise la sécurité
intégrée, ouvre une session
d'administrateur, puis la referme et la
rouvre en tant qu'administrateur, il peut
ensuite voir les fichiers et dossiers dans
Windows 2000 sans mot de passe. Ceci
se produit uniquement dans le premier
compte administrateur sous Windows
2000. Si une session est établie via un
compte administrateur secondaire, ceci
ne se produit pas.
Si l'utilisateur tente de restaurer le disque
dur au format FAT32, il n'y aura aucune
option de chiffrement pour tous les
fichiers ou dossiers utilisant le système
EFS.
Un utilisateur Windows 2000 peut
partager une quelconque unité PSD sur
le réseau en partage masqué ($). Le
partage masqué est accessible sur le
réseau à l'aide du partage masqué ($).
Par conception, la liste des autorisations
d'accès à ce dossier n'est pas définie ;
un utilisateur peut donc accidentellement
ou volontairement supprimer le fichier et
Le système est ainsi conçu.
Il s'agit d'une caractéristique propre au système EFS
sous Windows 2000. Sous Windows XP, le système
EFS ne permet pas à l'utilisateur d'ouvrir des dossiers
ou des fichiers sans mot de passe.
Le système est ainsi conçu.
Le système EFS de Microsoft est uniquement pris en
charge par le système de fichiers NTFS et ne
fonctionne pas en FAT32. Il s'agit d'une particularité du
système EFS de Microsoft qui n'a aucun lien avec le
logiciel HP ProtectTools.
En principe, l'unité PSD n'est pas partagée sur le
réseau, mais elle peut l'être via le partage masqué ($)
sous Windows 2000 uniquement. Il est vivement
recommandé de protéger le compte Administrateur par
un mot de passe.
Le système est ainsi conçu.
Les utilisateurs ont accès à un fichier d'archives de
secours afin d'enregistrer ou de mettre à jour la copie
30 Chapitre 8 Résolution des problèmes FRWW
Page 37
Brève description Détails Solution
d'archive de restauration
XML.
L'interaction entre le
système EFS de la
sécurité intégrée HP
ProtectTools et Symantec
Antivirus ou Norton
Antivirus produit des
temps d'analyse et de
chiffrement/déchiffrement
plus longs.
Le stockage de l'archive
de récupération d'urgence
sur un support amovible
n'est pas pris en charge.
le rendre ainsi inaccessible. Une fois ce
fichier chiffré ou supprimé, plus
personne ne peut utiliser le logiciel TPM.
Les fichiers chiffrés interfèrent avec
l'analyse Symantec Antivirus ou Norton
Antivirus 2005 à la recherche de virus.
Pendant l'analyse, l'invite de mot de
passe de la clé utilisateur de base
demande d'entrer un mot de passe tous
les 10 fichiers environ. Si l'utilisateur
n'entre pas de mot de passe, le
dépassement de temps de l'invite de mot
de passe permet à NAV2005 de
poursuivre l'analyse. Le chiffrement des
fichiers à l'aide du système EFS de la
sécurité intégrée HP ProtectTools
demande plus de temps lorsque
Symantec Antivirus ou Norton Antivirus
est activé.
Si l'utilisateur insère une carte mémoire
MMC ou SD lors de la création du chemin
d'accès au fichier d'archives pendant
l'initialisation de la sécurité intégrée, un
message d'erreur s'affiche.
de sauvegarde de leur clé utilisateur de base. Il
convient donc d'adopter des règles de bonne pratique
en matière de sécurité et d'instruire les utilisateurs afin
qu'ils ne procèdent pas au chiffrement ou à la
suppression des fichiers d'archives.
Pour réduire le temps d'analyse des fichiers EFS HP
ProtectTools, l'utilisateur peut soit entrer le mot de
passe de chiffrement avant l'analyse, soit déchiffrer les
fichiers avant de les analyser.
Pour minimiser le temps de chiffrement/déchiffrement
des données à l'aide du système EFS de la sécurité
intégrée HP ProtectTools, l'utilisateur doit désactiver la
protection automatique de Symantec Antivirus ou
Norton Antivirus.
Le système est ainsi conçu.
Le stockage de l'archive de récupération sur un support
amovible n'est pas pris en charge. L'archive de
récupération peut être stockée sur un disque réseau ou
sur un disque dur local autre que l'unité C.
Impossible de chiffrer des
données dans
l'environnement Windows
2000 en version française
(France).
Des erreurs se produisent
après une coupure de
courant survenue pendant
la prise de possession lors
de l'initialisation de la
sécurité intégrée.
Le menu contextuel affiché par un clic
droit sur l'icône d'un fichier ne présente
pas d'option de chiffrement.
Si une coupure de courant se produit
pendant l'initialisation de la puce de
sécurité intégrée, les problèmes suivants
apparaissent :
Lorsque vous tentez de lancer
●
l'assistant d'initialisation de la
sécurité intégré, vous obtenez le
message d'erreur The Embedded
security cannot be initialized
since the Embedded Security
chip has already an Embedded
Security owner (La sécurité
intégrée ne peut pas être initialisée
car le propriétaire de la puce de
sécurité intégrée est déjà défini).
Lorsque vous tentez de lancer
●
l'assistant d'initialisation de
l'utilisateur, vous obtenez le
message d'erreur The Embedded
security is not initialized. (La
sécurité intégrée n'est pas
initialisée.) To use the wizard, the
Il s'agit d'une limitation du système d'exploitation
Microsoft. Si une autre option régionale est
sélectionnée (par exemple, français [Canada]),
l'option Chiffrer apparaît.
Pour contourner le problème, procédez au chiffrement
du fichier comme suit : cliquez avec le bouton droit sur
l'icône du fichier et sélectionnez Propriétés >
Avancées > Chiffrer le contenu.
Pour restaurer l'état normal après une coupure de
courant, procédez comme suit :
Remarque Utilisez les touches de direction
pour sélectionner différents menus, leurs
options, puis changez les valeurs (sauf si
indiqué autrement).
1. Démarrez ou redémarrez l'ordinateur.
2. Appuyez sur la touche F10 lorsque le message
F10=Setup apparaît à l'écran (ou dès que le
voyant vert du moniteur s'allume).
3. Sélectionnez l'option de langue appropriée.
4. Appuyez sur Entrée.
5. Sélectionnez Security > Embedded Security
(Sécurité > Sécurité intégrée).
FRWW Embedded Security for ProtectTools 31
Page 38
Brève description Détails Solution
Le mot de passe de
l'utilitaire Computer Setup
(F10) peut être supprimé
après l'activation du
module TPM.
La boîte de dialogue de
mot de passe de l'unité
PSD ne s'affiche plus
lorsque le système sort
d'un mode veille.
Embedded Security must be
initialized first. (Pour pouvoir
utiliser l'Assistant, la sécurité
intégrée doit être initialisée.)
L'activation du module TPM requiert un
mot de passe Computer Setup (F10).
Une fois le module TPM activé,
l'utilisateur peut supprimer le mot de
passe. Cela permet à n'importe qui
d'accéder directement au système pour
réinitialiser le module TPM avec une
perte possible de données.
Lorsqu'un utilisateur ouvre une session
sur le système après avoir créé une unité
PSD, le module TPM lui demande le mot
de passe utilisateur de base. Si
l'utilisateur n'entre pas le mot de passe
et que le système passe en mode veille,
la boîte de dialogue de mot de passe
n'est plus disponible lorsque le système
sort du mode veille.
6. Définissez l'option Embedded Security Device
(Périphérique de sécurité intégrée) sur Enable
(Activer).
7. Appuyez sur F10 pour accepter la modification.
8. Sélectionnez File > Save Changes and Exit
(Fichier > Enregistrer les modifications et quitter).
9. Appuyez sur ENTRÉE.
10. Appuyez sur F10 pour enregistrer les
modifications et quitter l'utilitaire Setup (F10).
Le système est ainsi conçu.
Le mot de passe de l'utilitaire Computer Setup (F10) ne
peut être supprimé que par un utilisateur connaissant
ce mot de passe. Il est toutefois vivement recommandé
de protéger en permanence l'utilitaire Computer Setup
(F10) par un mot de passe.
Le système est ainsi conçu.
L'utilisateur doit fermer sa session et en ouvrir une
nouvelle pour accéder de nouveau à la boîte de
dialogue de mot de passe.
Aucun mot de passe n'est
requis pour modifier les
règles de la plate-forme
de sécurité.
Microsoft EFS ne
fonctionne pas
intégralement sous
Windows 2000.
Lors de la consultation
d'un certificat, celui-ci
n'apparaît pas comme
certificat de confiance.
L'accès aux règles de la plate-forme de
sécurité (machine et utilisateur) ne
requiert pas de mot de passe TPM pour
les utilisateurs qui ont des droits
d'administrateur sur le système.
Un administrateur peut accéder aux
informations chiffrées du système sans
connaître le mot de passe correct. Si
l'administrateur saisit un mot de passe
incorrect ou annule la boîte de dialogue
de mot de passe, le fichier chiffré s'ouvre
comme si l'administrateur avait saisi
correctement le mot de passe. Cela se
produit quels que soient les paramètres
de sécurité utilisés lors du chiffrement
des données. Ceci se produit
uniquement dans le premier compte
administrateur sous Windows 2000.
Une fois HP ProtectTools installé et
après avoir exécuté l'Assistant
d'initialisation, l'utilisateur peut consulter
le certificat émis ; ce certificat n'apparaît
cependant pas comme certificat de
confiance. Bien qu'il puisse être installé
en cliquant sur le bouton Installer,
Le système est ainsi conçu.
Tout administrateur peut modifier les règles de la plateforme de sécurité avec ou sans initialisation TPM.
La règle de restauration des données est
automatiquement configurée de manière à désigner un
administrateur comme agent de restauration.
Lorsqu'une clé d'utilisateur ne peut pas être récupérée
(comme dans le cas d'un mot de passe incorrect ou de
l'annulation de la boîte de dialogue de saisie du mot de
passe), le fichier est automatiquement déchiffré à l'aide
de la clé de restauration.
Il s'agit d'une particularité du système EFS de
Microsoft. Pour plus d'informations, reportez-vous à
l'article Q257705 de la Base de connaissances de
Microsoft à l'adresse
Les documents ne peuvent pas être ouverts par un
utilisateur qui ne possède pas de droits
d'administrateur.
Les certificats auto-signés ne sont pas des certificats
de confiance. Dans un environnement d'entreprise
convenablement configuré, les certificats EFS de
confiance sont émis en ligne par des autorités de
certification.
http://www.microsoft.com.
32 Chapitre 8 Résolution des problèmes FRWW
Page 39
Brève description Détails Solution
l'installation n'en fait pas un certificat de
confiance.
Erreurs intermittentes de
chiffrement et de
déchiffrement : Le
processus ne peut pas
accéder au fichier parce
qu'il est utilisé par un
autre processus.
Une perte de données sur
un support amovible se
produit si le support est
retiré avant un transfert ou
une nouvelle génération
de données.
Lors de la désinstallation,
si l'utilisateur ouvre l'outil
Administration sans avoir
initialisé la clé utilisateur
de base, l'option Disable
(Désactiver) n'est pas
disponible et le
programme de
désinstallation s'arrête
tant que l'outil
Administration n'est pas
refermé.
Une erreur extrêmement rare se produit
pendant le chiffrement ou le
déchiffrement, indiquant que le fichier est
utilisé par un autre processus, alors que
ce fichier ou dossier n'est pas traité par
le système d'exploitation ou une
application.
Après le retrait d'un support de stockage
tel qu'un disque dur MultiBay, le système
indique toujours la disponibilité de l'unité
PSD et ne génère par d'erreur lors de
l'ajout ou de la modification de données
sur l'unité PSD. Après redémarrage du
système, l'unité PSD ne reflète pas les
modifications apportées dans les fichiers
après son retrait.
L'utilisateur a la possibilité de désactiver
ou non le module TPM (à l'aide de l'outil
Administration) avant de procéder à la
désinstallation. L'accès à l'outil
Administration requiert l'initialisation de
la clé utilisateur de base. Si l'initialisation
de base n'est pas faite, l'utilisateur ne
peut accéder à aucune option.
Comme l'utilisateur a explicitement
choisi d'ouvrir l'outil Admin (en cliquant
sur Yes (Oui) à l'invite Click Yes to open
Embedded Security Administration
tool) (Cliquez sur Oui pour ouvrir l'outil
d'administration de la sécurité intégrée),
le programme de désinstallation attend
que l'outil Admin soit refermé. Si
l'utilisateur clique sur No (Non), l'outil
Admin ne s'ouvre pas du tout et la
désinstallation se poursuit.
Pour résoudre ce problème :
1. Redémarrez le système.
2. Déconnectez-vous.
3. Connectez-vous à nouveau.
Ce problème ne se rencontre que si l'utilisateur accède
à l'unité PSD, puis retire le disque dur avant la fin d'un
transfert ou de la génération de nouvelles données. Si
l'utilisateur tente d'accéder à l'unité PSD alors que le
disque dur n'est pas présent, un message d'erreur
s'affiche indiquant que le périphérique n'est pas
prêt.
L'outil Admin permet de désactiver la puce TPM, mais
cette option n'est pas disponible tant que la clé
utilisateur de base n'est pas initialisée. Si c'est le cas,
sélectionnez OK ou Cancel (Annuler) pour poursuivre
la désinstallation.
Blocage intermittent du
système après avoir créé
une unité PSD sur 2
comptes utilisateur et
utilisé le changement
rapide d'utilisateur dans
des systèmes à 128 Mo.
L'authentification de
l'utilisateur par le système
EFS (demande de mot de
passe) dépasse la limite
de temps avec le
Lors du changement rapide d'utilisateur
avec un minimum de mémoire, le
système peut se bloquer sur un écran
noir et ne répond plus au clavier ni à la
souris, au lieu d'afficher l'écran d'accueil
(ouverture de session).
La boîte de dialogue EFS
d'authentification de l'utilisateur s'ouvre
de nouveau après avoir cliqué sur OK ou
lorsque l'état normal est restauré après
une mise en veille.
La cause première soupçonnée est un problème de top
horloge dans les configurations à minimum de
mémoire.
L'adaptateur graphique intégré utilise une architecture
UMA qui se réserve 8 Mo de mémoire en ne laissant
que 120 Mo à l'utilisateur. Ces 120 Mo sont partagés
par deux utilisateurs qui ont ouvert une session et qui
sont en cours de changement rapide au moment où
l'erreur s'est produite.
La solution de rechange consiste à redémarrer le
système ; il est ensuite vivement conseillé d'augmenter
la taille de la mémoire (HP ne livre pas de
configurations à 128 Mo avec des modules de
sécurité).
Le système est ainsi conçu. Pour éviter tout problème
avec le système EFS de Microsoft, une minuterie de
surveillance de 30 secondes est activée pour générer
le message d'erreur.
FRWW Embedded Security for ProtectTools 33
Page 40
Brève description Détails Solution
message access denied
(accès refusé).
La description
fonctionnelle est
légèrement tronquée
pendant l'installation
japonaise.
Le chiffrement EFS
fonctionne sans entrer de
mot de passe à l'invite.
La messagerie sécurisée
est prise en charge, même
si cette option n'est pas
cochée dans l'Assistant
d'initialisation ou si la
configuration de la
messagerie sécurisée est
désactivée dans les règles
de l'utilisateur.
L'exécution d'un
déploiement à grande
échelle pour une seconde
fois sur le même
ordinateur, ou sur un
ordinateur précédemment
initialisé, remplace les
fichiers de secours et de
restauration d'urgence
des clés. Les nouveaux
fichiers sont inutilisables
pour une restauration.
Les descriptions fonctionnelles sont
tronquées lors de l'installation
personnalisée à l'aide de l'Assistant
d'installation.
Par un dépassement de temps de l'invite
du mot de passe utilisateur, le
chiffrement d'un fichier ou d'un dossier
est toujours possible.
Le logiciel de sécurité intégrée et
l'Assistant ne vérifient pas le
paramétrage d'un client de messagerie
(Outlook, Outlook Express ou
Netscape).
L'exécution d'un déploiement à grande
échelle sur tout système initialisé avec
un module de sécurité intégrée HP
ProtectTools rend inutilisables les
fichiers de restauration xml en les
remplaçant par d'autres.
Ce problème sera résolu par HP dans une prochaine
version.
Cette possibilité de chiffrement ne requiert pas de mot
de passe d'authentification, car il s'agit d'une
particularité du système EFS de Microsoft. Pour le
déchiffrement, il sera toutefois nécessaire de fournir le
mot de passe utilisateur.
Ce comportement découle de la conception. La
configuration des paramètres de messagerie TPM
n'interdit pas l'édition de paramètres de chffrement
dans le client de messagerie. L'utilisation d'une
messagerie sécurisée est définie et contrôlée par des
applications de partie tierce. L'assistant HP autorise la
liaison aux trois applications de référence pour une
personnalisation immédiate.
HP s'efforce de résoudre ce problème de
remplacement des fichiers xml et fournira une solution
dans un prochain SoftPaq.
Les scripts d'ouverture de
session automatique ne
fonctionnent pas pendant
la restauration de
l'utilisateur dans la
sécurité intégrée.
L'erreur se produit après avoir
initialisé le propriétaire et
●
l'utilisateur dans la sécurité intégrée
(à l'aide des emplacements par
défaut Mes documents),
restauré les paramètres par défaut
●
du BIOS du module TPM,
redémarré l'ordinateur,
●
commencé à restaurer la sécurité
●
intégrée. Pendant le processus de
restauration, l'utilitaire Credential
Manager demande à l'utilisateur si
le système peut automatiser
l'ouverture de session sur
« Infineon TPM User
Authentication ». Si l'utilisateur
choisit Yes (Oui), l'emplacement
SPEmRecToken apparaît
automatiquement dans la zone de
texte.
Cliquez sur le bouton Parcourir pour sélectionner
l'emplacement. Le processus de restauration continue.
34 Chapitre 8 Résolution des problèmes FRWW
Page 41
Brève description Détails Solution
Bien que cet emplacement soit correct,
le message d'erreur suivant s'affiche : No
Emergency Recovery Token is
provided. (Aucun jeton de récupération
d'urgence fourni.) Select the token
location the Emergency Recovery
Token should be retrieved from.
(Sélectionnez l'emplacement à partir
duquel il doit être récupéré.)
Les unités PSD de
plusieurs utilisateurs ne
fonctionnent pas dans un
environnement à
changement rapide
d'utilisateur.
L'unité PSD est
désactivée et ne peut pas
être supprimée après
formatage du disque dur
sur lequel elle a été créée.
Cette erreur se produit lorsque plusieurs
utilisateurs ont été définis et ont reçu une
unité PSD identifiée par la même lettre.
Lorsqu'un changement rapide
d'utilisateur a lieu, une unité PSD étant
chargée, l'unité PSD du second
utilisateur n'est plus accessible.
L'unité PSD est désactivée et ne peut
pas être supprimée après formatage du
disque dur secondaire sur lequel elle a
été créée. L'icône PSD est toujours
visible, mais le message unité de
disque inaccessible s'affiche lorsque
l'utilisateur tente d'accéder à l'unité PSD.
L'utilisateur ne parvient pas à supprimer
l'unité PSD et obtient le message : your
PSD is still in use, please ensure that
your PSD contains no open files and
is not accessed by another process
(votre unité PSD est en cours
d'utilisation, veuillez vous assurer qu'elle
ne contient pas de fichiers ouverts et
qu'elle n'est pas utilisée par un autre
processus). L'utilisateur doit redémarrer
le système afin que l'unité PSD soit
supprimée et ne soit plus rechargée
après le redémarrage.
L'unité PSD du second utilisateur ne sera de nouveau
disponible que si elle est reconfigurée avec une autre
lettre d'unité ou si le premier utilisateur ferme sa
session.
Le système est ainsi conçu : si un utilisateur force la
suppression ou se déconnecte de l'emplacement de
stockage des données PSD, l'émulation d'unité PSD de
la sécurité intégrée continue de fonctionner et génère
des erreurs par perte de liaison aux données
manquantes.
Solution : après le redémarrage suivant, l'émulation
PSD échoue et l'utilisateur peut supprimer l'ancienne
émulation PSD et en créer une nouvelle.
Une erreur interne a été
détectée lors d'une
restauration à partir du
fichier de sauvegarde
automatique.
Si l'utilisateur
Clique sur l'option Restore under
●
Backup (Restaurer sous
sauvegarde) du logiciel Embedded
Security dans HPPTSM, pour
effectuer une restauration à partir
de la sauvegarde automatique.
Sélectionne
●
SPSystemBackup .xml.
L'Assistant de restauration échoue et le
message d'erreur suivant s'affiche : The
selected Backup Archive does not
match the restore reason. (Le fichier de
sauvegarde ne correspond pas au motif
de restauration). Please select another
archive and continue. (Sélectionnez un
autre fichier de sauvegarde et
poursuivez.)
Si l'utilisateur sélectionne le fichier
SpSystemBackup.xml est requis, l'Assistant
Embedded Security échoue et affiche le message : An
internal Embedded Security error has been
detected. (Une erreur interne a été détectée dans la
sécurité intégrée.)
L'utilisateur doit alors sélectionner le fichier .xml correct
qui correspond au motif de restauration.
Les processus fonctionnent convenablement tels qu'ils
ont été conçus ; le message d'erreur interne de la
sécurité intégrée n'est toutefois pas clair et devrait être
précisé. HP s'occupe de cette amélioration pour les
futures versions.
FRWW Embedded Security for ProtectTools 35
Page 42
Brève description Détails Solution
Erreur de restauration du
système de sécurité avec
plusieurs utilisateurs.
La restauration de la ROM
système sur les
paramètres par défaut
masque le module TPM.
La sauvegarde
automatique ne
fonctionne pas avec une
unité mappée.
Pendant le processus de restauration, si
l'administrateur sélectionne les
utilisateurs à restaurer, ceux qui ne sont
pas sélectionnés ne peuvent plus
ultérieurement restaurer les clés. Un
message d'erreur s'affiche indiquant
l'échec du processus de
déchiffrement.
Lorsque les valeurs par défaut de la
ROM système sont restaurées, le
module TPM n'est plus visible dans
Windows. Il en résulte que le logiciel de
sécurité intégrée ne fonctionne plus
convenablement et que les données
chiffrées par le module TPM ne sont plus
accessibles.
Lorsqu'un administrateur configure la
sauvegarde automatique dans la
sécurité intégrée, il crée une entrée
dans Windows > Tâches > Tâches
planifiées. La tâche planifiée dans
Windows est définie de manière à utiliser
les droits de NT AUTHORITY\ SYSTEM
pour l'exécution de la sauvegarde. Cela
fonctionne convenablement sur
n'importe quelle unité locale.
Les utilisateurs non sélectionnés peuvent être
restaurés en réinitialisant le module TPM, puis en
exécutant la restauration et en sélectionnant tous les
utilisateurs avant que la prochaine sauvegarde
automatique journalière ne s'exécute. Si cette
sauvegarde automatique a lieu, elle remplace les
utilisateurs non restaurés et leurs données sont
perdues. Si une nouvelle sauvegarde du système est
stockée, les utilisateurs précédemment non
sélectionnés ne peuvent plus être restaurés.
De plus, l'utilisateur doit restaurer la sauvegarde
système dans son ensemble. Une sauvegarde
d'archives peut être individuellement restaurée.
Réactivez le module TPM dans le BIOS :
Ouvrez l'utilitaire Computer Setup (F10), naviguez
vers Security > Device security (Sécurité > Sécurité
des périphériques), changez l'option Hidden (Masqué)
en Available (Disponible).
La solution de rechange consiste à changer NT
AUTHORITY\SYSTEM en (nom_ordinateur \
(nom_administrateur). Il s'agit de la configuration par
défaut lorsque la tâche planifiée est créée
manuellement.
Dans les prochaines versions du logiciel, HP prévoira
d'inclure [nom_ordinateur/nom_administrateur]
comme paramétrage par défaut.
Impossible de désactiver
temporairement l'état de
En revanche, si l'administrateur
configure la sauvegarde automatique sur
une unité mappée, le processus échoue
parce que NT AUTHORITY\SYSTEM ne
dispose pas des droits permettant
l'utilisation d'une unité mappée.
Si l'exécution de la sauvegarde
automatique est planifiée à l'ouverture
de session, l'icône TNA de la sécurité
intégrée affiche le message suivant : The
Backup Archive location is currently
not accessible. (L'emplacement de
l'archive de sauvegarde n'est pas
accessible actuellement.) Click here if
you want to backup to a temporary
archive until the Backup Archive is
accessible again. (Cliquez ici si vous
désirez créer un fichier de sauvegarde
temporaire jusqu'à ce que l'archive de
sauvegarde soit de nouveau accessible.)
Si la sauvegarde automatique est
planifiée à une heure spécifique, elle
échoue sans que cet échec soit
annoncé.
La version actuelle 4.0 du logicielle a été
conçue pour les portables HP Notebook
Ce problème sera résolu par HP dans les prochaines
versions.
36 Chapitre 8 Résolution des problèmes FRWW
Page 43
Brève description Détails Solution
la sécurité intégrée dans
l'interface graphique du
logiciel.
1.1B, ainsi que pour les ordinateurs de
bureau HP Desktop 1.2.
Cette option de désactivation est
toujours prise en charge dans l'interface
du logiciel pour les plates-formes TPM
1.1.
FRWW Embedded Security for ProtectTools 37
Page 44
Divers
Logiciel affecté — Brève
description
HP ProtectTools Security
Manager — message
d'avertissement : The
security application can
not be installed until the
HP Protect Tools
Security Manager is
installed (L'application de
sécurité ne peut pas être
installée tant que le
logiciel HP Protect Tools
Security Manager n'est
pas installé)
Utilitaire de mise à jour du
microprogramme HP
ProtectTools TPM pour
modèles dc7600 et
modèles contenant un
module TPM Broadcom.
— L'outil mis à disposition
sur le site Web HP
signale ownership
required (possession
requise).
Détails Solution
Toutes les applications de sécurité
comme la sécurité intégrée et les
périphériques à carte Java ou
biométriques sont des applications
additionnelles de l'interface HP Security
Manager. Le logiciel HP Security
Manager doit donc être installé avant de
pouvoir charger une application
additionnelle approuvée par HP.
Il s'agit d'un comportement attendu de
l'utilitaire du microprogramme TPM pour
les modèles dc7600 et ceux contenant
un module TPM Broadcom.
L'outil de mise à jour permet à l'utilisateur
de mettre à jour le microprogramme avec
ou sans clé d'autorisation (EK). Lorsqu'il
n'y a pas de clé, aucune autorisation
n'est requise pour accomplir la mise à
jour du microprogramme.
Lorsqu'il y a une clé d'autorisation, le
propriétaire du module TPM doit exister,
étant donné que la mise à jour requiert
son autorisation. Une fois la mise à jour
réussie, la plate-forme doit être
redémarrée pour que le nouveau
microprogramme prenne effet.
Si les paramètres par défaut du BIOS du
module TPM sont restaurés, la
possession est supprimée et il n'est plus
possible de mettre à jour le
microprogramme tant que la plate-forme
et l'utilisateur n'ont pas été configurés
dans l'Assistant d'initialisation.
*Un redémarrage est toujours
recommandé après une mise à jour du
microprogramme. La version du
microprogramme n'est correctement
détectée qu'après redémarrage.
Le logiciel HP ProtectTools Security Manager doit être
installé avant d'installer une quelconque application
d'extension.
1. Réinstallez le logiciel HP ProtectTools Embedded
Security.
2. Exécutez l'assistant de configuration de la plate-
forme et de l'utilisateur.
3. Vérifiez que Microsoft .NET Framework 1.1 est
installé sur le système :
a. Cliquez sur Démarrer.
b. Cliquez sur Panneau de configuration.
c. Cliquez sur Ajout ou suppression de
d. Vérifiez que Microsoft .NET Framework
4. Vérifiez la configuration matérielle et logicielle :
a. Cliquez sur Démarrer.
b. Cliquez sur Tous les programmes.
c. Cliquez sur HP ProtectTools Security
d. Sélectionnez Embedded Security (Sécurité
e. Cliquez sur More Details (Détails). Le
programmes.
1.1 figure dans la liste des programmes.
Manager.
intégrée) dans le menu d'arborescence.
système devrait présenter la configuration
suivante :
Product version (Version de produit) =
●
V4.0.1
Embedded Security State (État de la
●
sécurité intégrée) : Chip State (Puce) =
Enabled (Activée), Owner State
(Propriétaire) = Initialized (Initialisé),
User State (Utilisateur) = Initialized
(Initialisé)
38 Chapitre 8 Résolution des problèmes FRWW
Page 45
Logiciel affecté — Brève
description
Détails Solution
5. Si la version du microprogramme ne correspond
pas à 2.18, téléchargez et mettez à jour le
microprogramme du module TPM. Le SoftPaq de
mise à jour du microprogramme TPM est
disponible sur le site
Component Info (Info composants) :
●
TCG Spec. Version = 1.2
Vendor (Fabricant) = Broadcom
●
Corporation
FW Version (Version microprog.) = 2.18
●
(ou ultérieure)
TPM Device driver library version
●
(Version de la bibliothèque de drivers
de périphériques TPM) = 2.0.0.9 (ou
ultérieure)
http://www.hp.com.
Une erreur se produit
parfois lors de la
fermeture de l'interface du
Security Manager.
HP ProtectTools * En
général— Un accès
illimité ou des privilèges
d'administration non
contrôlés posent un risque
pour la sécurité.
Les mots de passe de
sécurité intégrée et du
BIOS ne sont pas
synchronisés.
Occasionnellement (1 fois sur 12) une
erreur se produit en cliquant sur l'icône
de fermeture dans l'angle supérieur droit
de la fenêtre du Security Manager avant
que le chargement des applications
additionnelles soit terminé.
Divers risques sont possibles lorsque
l'accès au PC client est illimité :
suppression de l'unité PSD
●
modification malveillante des
●
paramètres utilisateur
désactivation des règles et des
●
fonctions de sécurité
Si l'utilisateur ne valide pas un nouveau
mot de passe en tant que mot de passe
de sécurité intégrée du BIOS, le mot de
passe de sécurité intégrée du BIOS est
restauré sur le mot de passe de sécurité
intégrée d'origine via F10 BIOS.
Ce problème est en relation avec le temps de
chargement des applications additionnelles lors de la
fermeture et du redémarrage du Security Manager.
Étant donné que PTHOST.exe est le programme
principal couvrant les autres applications
additionnelles, il dépend du temps de chargement des
autres applications (services). Le fait de fermer le
programme principal avant qu'un service soit
complètement chargé est la cause première de l'erreur.
Pour résoudre le problème, attendez que le message
(en haut de la fenêtre) indique que les services sont
chargés et que ceux-ci soient affichés dans la colonne
de gauche. Pour éviter toute défaillance, patientez un
temps raisonnable pour permettre le chargement des
services.
Il est conseillé aux administrateurs d'appliquer des
règles de bonne pratique pour limiter les privilèges et
l'accès des utilisateurs finaux.
Des privilèges d'administration ne devraient pas être
accordés à des utilisateurs non autorisés.
Ceci fonctionne comme conçu ; ces mots de passe
peuvent être resynchronisés en modifiant le mot de
passe utilisateur de base et en l'authentifiant à l'invite
du mot de passe de sécurité intégrée du BIOS.
Un seul utilisateur peut se
connecter au système une
fois que l'authentification
de préamorçage TPM est
activée dans le BIOS.
Le numéro PIN du BIOS du module TPM
est associé au premier utilisateur qui
initialise le paramètre d'utilisateur. Si un
ordinateur a plusieurs utilisateurs, le
premier utilisateur est, par principe,
l'administrateur. Le premier utilisateur
devra donner son numéro PIN
Ceci fonctionne comme conçu ; HP recommande que
le service informatique du client suive de bonnes
stratégies de sécurité pour le déploiement de sa
solution de sécurité et s'assure que le mot de passe
administrateur du BIOS est configuré par des
administrateurs informatiques pour une protection au
niveau du système.
FRWW Divers 39
Page 46
Logiciel affecté — Brève
description
Détails Solution
d'utilisateur TPM aux autres utilisateurs
afin de se connecter.
L'utilisateur doit modifier
son numéro PIN pour que
le préamorçage TPM
fonctionne après une
réinitialisation usine du
module TPM.
La prise en charge
d'authentification à la
mise sous tension n'est
pas définie pour utiliser
par défaut l'option Reset
to Factory Settings
(Restaurer les paramètres
usine) de la sécurité
intégrée.
L'authentification à la mise
sous tension de la sécurité
chevauche le mot de
passe BIOS durant la
séquence d'amorçage.
Le BIOS demande
l'ancien et le nouveau
mots de passe via
Computer Setup après la
modification du mot de
passe propriétaire dans le
logiciel Windows de
sécurité intégrée.
L'utilisateur doit modifier son numéro
PIN ou créer un autre utilisateur pour
initialiser ce paramètre utilisateur pour
que l'authentification BIOS TPM
fonctionne après une réinitialisation. Il
n'existe aucune option qui permette de
rendre l'authentification BIOS TPM
fonctionnelle.
Dans Computer Setup, la prise en
charge d'authentification à la mise
sous tension n'est pas réinitialisée sur
les paramètres usine lors de l'utilisation
de l'option de périphérique de sécurité
intégrée Reset to Factory Settings
(Restaurer les paramètres usine). Par
défaut, la prise en charge
d'authentification à la mise sous
tension est définie sur Disable
(Désactiver).
L'authentification à la mise sous tension
invite l'utilisateur à se connecter au
système à l'aide du mot de passe TPM
mais, si l'utilisateur appuie sur la touche
F10 pour accéder au BIOS, seul un
accès en lecture est octroyé.
Le BIOS demande l'ancien et le nouveau
mots de passe via Computer Setup
après la modification du mot de passe
propriétaire dans le logiciel Windows de
sécurité intégrée.
Le système est ainsi conçu et la réinitialisation usine
efface la clé utilisateur de base. L'utilisateur doit
modifier son numéro PIN ou créer un nouvel utilisateur
pour réinitialiser la clé utilisateur de base.
L'option Reset to Factory Settings (Restaurer les
paramètres usine) désactive le périphérique de
sécurité intégrée, qui masque les autres options de
sécurité intégrée (y compris la prise en charge
d'authentification à la mise sous tension). Toutefois,
suite à la réactivation du périphérique de sécurité
intégrée, la prise en charge d'authentification à la
mise sous tension restait activée.
HP s'efforce de trouver une solution, qui sera fournie
dans un prochain SoftPaq de ROM de type Web.
Pour pouvoir écrire vers le BIOS, l'utilisateur doit entrer
le mot de passe BIOS au lieu du mot de passe TPM
dans la fenêtre de prise en charge d'authentification à
la mise sous tension.
Le système est ainsi conçu. Ceci est dû à l'incapacité
du BIOS à communiquer avec le module TPM, une fois
le système d'exploitation démarré et exécuté, et à
vérifier la phrase de passe TPM par rapport au blob de
clé TPM.
40 Chapitre 8 Résolution des problèmes FRWW
Page 47
Glossaire
Advanced Encryption Standard (AES) Technique symétrique de chiffrement des données par bloc de 128
bits.
Application Programming Interface (API) Série de fonctions internes du système d'exploitation qui peuvent
être utilisées par des applications logicielles pour effectuer diverses tâches.
Archive de récupération d'urgence Zone de stockage protégée qui permet de réencrypter des clés utilisateur
de base d'une clé de propriétaire de plate-forme vers une autre.
Authentification Processus permettant de vérifier si un utilisateur est autorisé à exécuter une tâche comme,
par exemple, l'accès à un ordinateur, la modification de paramètres pour un programme donné, ou l'affichage de
données sécurisées.
Authentification à la mise sous tension Fonction de sécurité qui requiert une certaine forme d'authentification,
telle qu'une carte Java, une puce de sécurité ou un mot de passe, lorsque l'ordinateur est mis sous tension.
Autorité de certification Service qui émet les certificats requis pour exécuter une infrastructure de clé publique.
Biométrique Catégorie d'informations d'authentification qui utilisent une caractéristique physique, telle qu'une
empreinte digitale, pour identifier un utilisateur.
Carte Java Petit composant matériel, ayant la taille et le format d'une carte de crédit, qui stocke des informations
d'identification concernant son propriétaire. Utilisée pour authentifier le propriétaire d'un ordinateur.
Certificat numérique Informations d'authentification électroniques qui confirment l'identité d'un individu ou d'une
société en liant l'identité du propriétaire du certificat numérique à une paire de clés électroniques qui sont utilisées
pour signer des informations numériques.
Compte réseau Compte utilisateur ou administrateur Windows, sur un ordinateur local, un groupe de travail ou
un domaine.
Compte utilisateur Windows Profil d'un individu autorisé à se connecter à un réseau ou un ordinateur individuel.
Cryptage Procédure, telle que l'utilisation d'un algorithme, employée en cryptographie pour convertir un texte
normal en un texte codé afin d'empêcher les destinataires non autorisés de lire ces données. Il existe plusieurs
types de cryptage de données et ils forment la base de la sécurité d'un réseau. Les types courants incluent le
mode Data Encryption Standard et le cryptage par clé publique.
Cryptographic Service Provider (CSP) Fournisseur ou bibliothèque d'algorithmes cryptographiques qui peut
être utilisé dans une interface correctement définie dans le but d'exécuter des fonctions cryptographiques
spécifiques. Composant logiciel assurant l'interface avec les fonctions MSAPI.
Cryptographie Méthode de cryptage et décryptage de données pouvant uniquement être décodées par des
individus spécifiques.
Décryptage Procédure utilisée dans la cryptographie pour convertir en texte normal des données cryptées.
FRWW Glossaire 41
Page 48
Domaine Groupe d'ordinateurs qui font partie d'un réseau et qui partagent une base de données commune de
répertoires. Les domaines sont nommés de manière unique, et chaque domaine possède un ensemble de règles
et procédures communes.
Encrypting File System (EFS) Système qui crypte tous les fichiers et sous-dossiers au sein du dossier
sélectionné. Service transparent de cryptage de fichiers fourni par Microsoft pour Windows 2000 ou versions
ultérieures.
Identité Dans ProtectTools Credential Manager, groupe d'informations d'authentification et de paramètres qui
est géré comme le compte ou le profil d'un utilisateur donné.
Informations d'authentification Méthode par laquelle un utilisateur prouve qu'il est autorisé à exécuter une
tâche donnée durant le processus d'authentification.
Jeton USB Périphérique de sécurité qui stocke des informations d'identification concernant un utilisateur.
Similairement à une carte Java ou un lecteur biométrique, il permet d'authentifier le propriétaire d'un ordinateur.
Jeton virtuel Fonction de sécurité dont le fonctionnement est très semblable à une carte Java ou un lecteur. Le
jeton est enregistré sur le disque dur de l'ordinateur ou dans le registre Windows. Lorsque vous connectez à l'aide
d'un jeton virtuel, vous êtes invité à fournir le PIN d'un utilisateur pour terminer l'authentification.
Low Pin Count (LPC) Définit l'interface de connexion entre le périphérique de sécurité intégrée HP ProtectTools
et le jeu de puces de la plate-forme. Le bus se compose de 4 bits pour les broches d'adresse et de données, d'une
horloge de 33 Mhz et de plusieurs broches d'état et de commande.
Microsoft Cryptographic API, ou CryptoAPI (MSCAPI) Interface de programmation de Microsoft permettant
aux applications de cryptographie d'accéder aux fonctions du système d'exploitation Windows.
Migration Tâche qui permet de gérer, de restaurer et de transférer des clés et certificats.
Mode de sécurité du BIOS Paramètre du module Java Card Security for ProtectTools qui, lorsqu'il est activé,
requiert d'utiliser une carte Java et un PIN valide pour l'authentification de l'utilisateur.
Mot de passe administrateur de carte Java Mot de passe qui lie une carte Java d'administrateur à l'ordinateur
dans Computer Setup pour une identification au démarrage ou redémarrage. Ce mot de passe peut être défini
manuellement par l'administrateur ou généré de manière aléatoire.
Mot de passe utilisateur de carte Java Mot de passe qui lie une carte Java d'utilisateur à l'ordinateur dans
Computer Setup pour une identification au démarrage ou redémarrage. Ce mot de passe peut être défini
manuellement par l'administrateur ou généré de manière aléatoire.
Personal Secure Drive (PSD) Fournit une zone de stockage protégée pour des données confidentielles.
Fonction offerte par HP ProtectTools Embedded Security. Cette application crée une unité de disque virtuelle sur
laquelle l'ordinateur de l'utilisateur stocke automatique les fichiers et dossiers sous une forme chiffrée.
Profil BIOS Groupe de paramètres de configuration du BIOS qui peuvent être enregistrés et appliqués à d'autres
comptes.
Public Key Cryptographic Standards (PKCS) Normes régissant la définition et l'utilisation des méthodes de
cryptage et de décryptage par clé publique ou privée.
Public Key Infrastructure (PKI) Terme général définissant la mise en oeuvre des systèmes de sécurité utilisant
le cryptage et le décryptage par clé publique ou privée.
Puce de sécurité intégrée du module TPM (Trusted Platform Module) (certains modèles) Puce de sécurité
intégrée qui peut protéger des informations hautement confidentielles contre des attaques malveillantes. Il s'agit
de la racine de confiance dans une plate-forme donnée. Le module TPM propose des opérations et des algorithmes
cryptographiques conformes aux spécifications TCG (Trusted Computing Group). Le matériel et le logiciel TPM
améliorent la sécurité du système de fichiers EFS et de l'unité de disque PSD en protégeant les clés de chiffrement
42 Glossaire FRWW
Page 49
utilisées. Dans les systèmes sans puce TPM, les clés utilisées par le système de fichiers EFS et l'unité PSD sont
normalement stockées sur le disque dur. Ces clés sont donc potentiellement vulnérables. Dans les systèmes
équipés d'un module TPM, les clés privées du stockage racine (qui ne quittent jamais la puce TPM) sont utilisées
pour protéger les clés de chiffrement EFS et PSD. L'intrusion dans le module TPM pour extraire les clés privées
est beaucoup plus difficile que de fouiner sur le disque dur du système pour rechercher ces clés. Le module TPM
renforce également la sécurité de la messagerie sécurisée S/MIME dans Microsoft Outlook et Outlook Express.
Les fonctions TPM jouent le rôle de fournisseur de service cryptographique CSP (Cryptographic Service Provider).
Des clés et des certificats sont générés ou pris en charge par le matériel TPM, ce qui améliore considérablement
la sécurité par rapport aux mises en œuvre purement logicielles.
Réamorçage Processus de redémarrage de l'ordinateur.
Secure Multipurpose Internet Mail Extensions (S/MIME) Spécification pour la sécurisation des messages
électroniques basée sur les normes PKCS. La spécification S/MIME permet l'authentification par signatures
électroniques et assure le secret des données par cryptage.
Sécurité stricte Fonction de sécurité du module BIOS Configuration qui offre une protection renforcée pour les
mots de passe de mise sous tension et d'administrateur, ainsi que d'autres formes d'authentification à la mise sous
tension.
Signature numérique Données envoyées avec un fichier qui vérifient l'expéditeur du matériel, et que le fichier
n'a pas été modifié après sa signature.
Single Sign On (Signature unique) Fonction qui stocke des données d'authentification et qui permet d'utiliser
Credential Manager pour accéder à des applications Internet et Windows qui requièrent une authentification par
mot de passe.
TCG Software Stack (TSS) Fournit des services permettant de tirer le meilleur parti du module TPM, mais ne
requérant pas les mêmes protections. Fournit une interface logicielle standard pour l'accès au fonctions du module
TPM. Pour bénéficier intégralement des possibilités du module TPM, telles que la sauvegarde de clés, la migration
de clés, l'authentification de plate-forme et l'attestation, les applications écrivent directement vers la pile TSS.
Trusted Computing Group (TCG) Association d'industriels fondée pour promouvoir le concept d'ordinateur de
confiance (« Trusted PC »). Le TGC remplace le TCPA.
Trusted Computing Platform Alliance (TCPA) Cette alliance est actuellement remplacée par le TCG.
FRWW Glossaire 43
Page 50
44 Glossaire FRWW
Page 51
Index
A
agent de récupération de sécurité,
mot de passe 4
assistant de sauvegarde d'identité,
mot de passe 5
attaque Dictionnaire 12
authentification à la mise sous
tension
sécurité intégrée 7
authentification de jeton virtuel, mot
de passe 5
authentification multifacteur,
session Credential Manager 5
B
BIOS
définition du mot de passe
administrateur 2
définition du mot de passe de
carte d'administrateur 3
définition du mot de passe de
carte d'utilisateur 3
modification de
paramètres 13
BIOS Configuration for
ProtectTools 13
C
carte Java
authentification à la mise sous
tension 7
définition de PIN 3
définition du mot de passe
administrateur 3
définition du mot de passe de
fichier de récupération 3
définition du mot de passe
utilisateur 3
Security for ProtectTools 19
Client Manager 23
Client Manager pour déploiement
distant 23
Computer Setup
définition du mot de passe
administrateur 2, 10
gestion de mots de passe 8
modification du mot de passe
administrateur 11
Configuration F10, mot de
passe 2
Credential Manager
connexion 18
installation 17
mot de passe de fichier de
récupération 4
mot de passe de session 4
résolution des problèmes 25
session 5
E
Embedded Security for
ProtectTools
authentification à la mise sous
tension 7
configuration 16
mot de passe 3
résolution des problèmes 30
empreinte digitale, connexion 5
I
installation de Credential
Manager 17
J
jeton de réinitialisation de mot de
passe 4
jeton virtuel, PIN principal 5
jeton virtuel, PIN utilisateur 5
L
logiciels
ProtectTools Security
Manager 1
M
mise sous tension
attaque Dictionnaire 12
changement de mot de
passe 9
définition de mot de passe 8
définition du mot de passe 3
mise sous tension, authentification
carte Java 7
mot de passe de jeton de
récupération d'urgence,
définition 3
mot de passe de préamorçage
TPM 3
mot de passe propriétaire,
définition 4
mots de passe
administrateur Computer
Setup 2
administrateur de carte
Java 3
agent de récupération de
sécurité 4
alias d'authentification TPM 5
assistant de sauvegarde
d'identité 5
authentification de jeton
USB 5
authentification de jeton
virtuel 5
connexion via empreinte
digitale 5
définition pour administrateur
Computer Setup 10
FRWW Index 45
Page 52
définition pour mise sous
tension 8
définitions 2
fichier de récupération
Credential Manager 4
fichier de récupération de carte
Java 3
gestion dans ProtectTools 2
gestion pour Computer
Setup 8
instructions 6
jeton de récupération
d'urgence 3
jeton de réinitialisation de mot de
passe 4
mise sous tension 3
modification du mot de passe de
mise sous tension 9
modification pour administrateur
Computer Setup 11
PIN de carte Java 3
PIN principal de jeton virtuel 5
PIN utilisateur de jeton
virtuel 5
PKCS #12 Import 4
planificateur de sauvegarde 4
propriétaire 4
session Credential Manager 4
session Windows 4
utilisateur de base 3
utilisateur de carte Java 3
divers 38
Embedded Security for
ProtectTools 30
S
sécurité
carte Java 19
intégrée pour ProtectTools 15
mot de passe de
configuration 2
rôles 2
Security Manager, ProtectTools 1
solutions de partie tierce 21
T
tâches avancées 7
TCG Software Stack (TSS) 1, 21
TPM, alias d'authentification 5
U
USB, authentification de jeton 5
utilisateur de base, définition du mot
de passe 3
W
Windows
mot de passe de session 4
P
PKCS #12, mot de passe 4
planificateur de sauvegarde, mot de
passe 4
ProtectTools
accès à Security Manager 1
Credential Manager 17
gestion de mots de passe 2
gestion de paramètres 7
Java Card Security 19
modules Security Manager 1
sécurité intégrée 15
R
résolution des problèmes
Credential Manager for
ProtectTools 25
46 Index FRWW
Loading...