Aller au contenu

Foire aux questions (Windows)

Il s’agit de questions fréquemment posées concernant Sophos Central Device Encryption sur les ordinateurs Windows.

Quelles versions de Windows puis-je utiliser ?

Retrouvez une liste des plates-formes compatibles à la section Plate-formes Windows Endpoint et Server compatibles.

Sophos Central Device Encryption n’est pas compatible avec les partitions Windows créées sur un Mac avec « Boot Camp ».

Quels types de volumes puis-je chiffrer ?

Sophos Central Device Encryption permet de chiffrer les volumes système et les volumes de données. À partir de Sophos Central Device Encryption 1.4, vous pouvez chiffrer les volumes système et laisser les volumes de données non chiffrés.

Sophos Central Device Encryption n’est pas compatible avec les supports amovibles. Vous pouvez chiffrer ces appareils avec BitLocker To Go, mais Sophos Central Device Encryption ne gère pas leurs clés de récupération et ne les affiche pas dans Sophos Central Admin.

Comment fonctionne le partage de fichiers sécurisé ?

Les utilisateurs disposent de deux moyens de protéger les fichiers par mot de passe pour un partage sécurisé :

  • Dans Windows Outlook, chiffrer les pièces jointes aux emails.
  • Dans l’Explorateur Windows, chiffrer les fichiers sélectionnés.

Les deux options chiffrent les fichiers à partager avec le chiffrement AES-256 et les stockent dans un fichier HTML protégé par mot de passe. Les utilisateurs peuvent partager le fichier HTML en interne ou en externe. Les destinataires n’ont besoin que d’un navigateur Web et d’un mot de passe pour déchiffrer les fichiers.

Voir Protéger les fichiers par mot de passe pour un partage sécurisé.

Puis-je inviter les utilisateurs à réinitialiser leur mot de passe ?

Pour configurer un intervalle pour inviter les utilisateurs à modifier leur mot de passe ou code PIN BitLocker, utilisez le paramètre Demander un nouveau mot de passe/code confidentiel d’authentification aux utilisateurs dans la stratégie Chiffrement des appareils.

Pour demander une modification immédiate du mot de passe sur un seul ordinateur, utilisez Déclencher le changement de mot de passe/code confidentiel sur la page de détails de l’ordinateur (dans l’onglet Résumé sous Chiffrement des appareils).

Voir Inviter les utilisateurs à modifier leur mot de passe/code confidentiel.

Quels types de protection BitLocker puis-je configurer ?

Vous pouvez configurer les types de protection suivants :

  • TPM uniquement
  • TPM + PIN
  • Phrase secrète
  • Clé USB

Retrouvez plus de renseignements sur les types de protection compatibles avec chaque plate-forme Windows sur Compatibilité système du chiffrement des appareils.

Comment passer de la connexion TPM uniquement à la connexion TPM+PIN ?

Si vous avez déployé BitLocker sans authentification au démarrage (TPM uniquement), vous pouvez passer à TPM PIN à tout moment en activant Demander l’authentification au démarrage dans la stratégie Chiffrement des appareils.

Le déverrouillage réseau BitLocker est-il pris en charge ?

Il n’est pas possible de configurer ou gérer le déverrouillage réseau BitLocker avec Sophos Central Device Encryption.

Cependant, si vous avez configuré votre infrastructure de façon à utiliser le déverrouillage réseau avec des ordinateurs chiffrés avec BitLocker, Sophos Central Device Encryption peut coexister avec le déverrouillage réseau.

Le mode FIPS est-il pris en charge ?

Oui. Sophos Central Device Encryption peut gérer des ordinateurs avec le paramètre Objet de stratégie de groupe (GPO) de Windows Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature activé.

Puis-je gérer des ordinateurs déjà chiffrés ?

Oui. Lorsque vous commencez à gérer des ordinateurs déjà chiffrés avec BitLocker, Sophos Central Device Encryption remplace les protecteurs de clés existants.

Puis-je procéder à la migration depuis SafeGuard Enterprise ?

À partir de Sophos SafeGuard Enterprise 8, vous pouvez désinstaller le module BitLocker sans déchiffrer les volumes. Vous pouvez ensuite gérer BitLocker avec Sophos Central Device Encryption.

Puis-je stocker des clés de récupération dans Active Directory ?

Oui. Vous pouvez stocker les clés de récupération BitLocker dans Active Directory.

Les modules SGN File Encryption sont-ils pris en charge ?

J’utilise les modules Sophos SafeGuard Enterprise File Encryption (Data Exchange, File Encryption ou Synchronized Encryption) pour protéger les fichiers. Puis-je utiliser Sophos Central Device Encryption ?

Oui. Vous pouvez utiliser les deux produits en parallèle.

Comment déchiffrer un volume ?

Supprimez tous les utilisateurs ou ordinateurs du type de stratégie choisi. Procédez ensuite comme suit :

  1. Dans l’Explorateur Windows, cliquez sur le volume à déchiffrer avec le bouton droit de la souris.
  2. Sélectionnez Gérer BitLocker.
  3. Dans la boîte de dialogue Chiffrement de lecteur BitLocker, sélectionnez Désactiver BitLocker.

Vous devez être administrateur Windows pour effectuer cette opération.

Les utilisateurs peuvent-ils récupérer des volumes de données chiffrés ?

Non. Dans Sophos Central Self Service Portal, les utilisateurs peuvent uniquement récupérer le volume de démarrage. Le dernier utilisateur connecté à un ordinateur peut récupérer le volume système.

Quand BitLocker démarre-t-il en mode de récupération ?

Les raisons les plus courantes pour lesquelles BitLocker demande une clé de récupération au démarrage sont les suivantes :

  • L’utilisateur a oublié le code PIN TPM (lorsque vous avez activé l’authentification TPM+PIN).
  • Le lecteur protégé par BitLocker a été installé sur un nouvel ordinateur.
  • La connexion TPM a été interrompue, désactivée ou effacée.
  • Le BIOS a été mis à jour.
  • Les composants critiques au démarrage anticipé ont été mis à jour, ce qui a causé l’échec de la validation de l’intégrité du système (TPM).
  • L’option firmware ROM a été mise à jour.
  • La carte mère a été remplacée par une nouvelle carte avec une nouvelle connexion TPM.

Retrouvez plus de renseignements sur les causes possibles dans le document Microsoft Quelle peut être la cause du démarrage de BitLocker en mode récupération ?.

Comment puis-je résoudre les problèmes ?

Activez la journalisation et le traçage. Examinez ensuite les messages d’état et d’erreur dans les journaux.

Voir Comment configurer le fichier de suivi et de journalisation.

Quelle est la taille de volume minimale ?

Sophos Central Device Encryption ignore les volumes de moins de 64 Mo.

Quels rôles peuvent obtenir une clé de récupération ?

Pour obtenir une clé de récupération dans Sophos Central Admin, vous devez avoir l’un des rôles suivants : Helpdesk, Admin, Superadmin.

Comment exporter des clés de récupération ?

Vous ne pouvez pas exporter les clés de récupération BitLocker à partir de Sophos Central Device Encryption. Cela réduit le risque que les clés soient stockées de façon non-sécurisée en dehors de Sophos Central.

Les clés de récupération sont conçues pour aider les utilisateurs lorsqu’ils oublient leur code PIN ou leur mot de passe. Lorsqu’un administrateur accède à une clé de récupération dans Sophos Central Admin, BitLocker génère une nouvelle clé, qui est stockée de manière sécurisée dans Sophos Central.

Si vous souhaitez migrer un appareil vers une application de gestion BitLocker tierce, nous vous recommandons de créer une nouvelle clé de récupération dans cette application lorsqu’elle commence à gérer l’appareil.