Authentification

Paramètre de stratégie Explication
Accès
L’utilisateur peut uniquement démarrer à partir du disque dur interne
Remarque : ce paramètre est uniquement pris en charge par les terminaux sur lesquels une version antérieure à la version 6.1 de SafeGuard Enterprise est installée. Il était utilisé pour permettre la récupération et autoriser l'utilisateur à démarrer le terminal à partir d'un support externe. Ce paramètre n'est plus appliqué sur les terminaux à partir de la version 6.1. Pour le scénario de récupération concerné, vous pouvez utiliser la récupération avec des clients virtuels comme indiqué à la section Challenge/Réponse à l'aide de clients virtuels.
Détermine si les utilisateurs peuvent démarrer l'ordinateur à partir du disque dur et/ou d'un autre support.

OUI : les utilisateurs peuvent démarrer à partir du disque dur uniquement. L'authentification au démarrage SafeGuard n'offre pas la possibilité de démarrer l'ordinateur avec une disquette ou d'autres supports externes.

NON : les utilisateurs peuvent démarrer l'ordinateur à partir du disque dur, d'une disquette ou d'un support externe (USB, CD, etc.).

Options de connexion
Mode de connexion Détermine comment les utilisateurs doivent s'authentifier à l'authentification au démarrage SafeGuard.
  • Identifiant utilisateur/Mot de passe

    les utilisateurs doivent se connecter avec leurs noms d'utilisateur et leurs mots de passe.

  • Token

    L'utilisateur peut uniquement se connecter à l'authentification au démarrage SafeGuard à l'aide d'un token ou d'une carte à puce. Ce processus offre un niveau de sécurité plus élevé. L'utilisateur doit insérer sa clé lors de la connexion. L'identité de l'utilisateur est vérifiée par la possession de la clé et la présentation du code confidentiel. Après la saisie d'un code confidentiel correct, SafeGuard Enterprise lit automatiquement les données pour la connexion de l'utilisateur.

Remarque : lorsque ce processus de connexion a été sélectionné, les utilisateurs ne peuvent se connecter qu'en utilisant une clé préalablement générée.

Vous pouvez combiner les paramètres Identifiant utilisateur/Mot de passe et Token. Pour vérifier si la connexion fonctionne en utilisant un token, sélectionnez tout d'abord les deux paramètres. Dessélectionnez seulement le mode de connexion Identifiant utilisateur/Mot de passe si l'authentification à l'aide du token a réussi. Pour passer d'un mode de connexion à l'autre, veuillez autoriser les utilisateurs à se connecter dès que les deux paramètres sont combinés. Autrement, il se peut qu'ils ne puissent pas se connecter du tout. Vous devez aussi combiner les deux paramètres, si vous voulez autoriser Local Self Help pour la connexion avec le token.

  • Empreinte digitale

    sélectionnez ce paramètre pour permettre la connexion à l'aide du lecteur d'empreintes digitales Lenovo. Les utilisateurs auxquels cette stratégie s'applique peuvent alors se connecter à l'aide d'une empreinte digitale ou d'un nom d'utilisateur et d'un mot de passe. Cette procédure offre le niveau de sécurité maximal. Lors de la connexion, les utilisateurs font glisser leurs doigts sur le lecteur d'empreintes digitales. Lorsque l'empreinte digitale est correctement reconnue, le processus d'authentification au démarrage SafeGuard lit les codes d'accès de l'utilisateur et connecte l'utilisateur à l'authentification au démarrage. Le système transfère alors les codes d'accès vers Windows et connecte l'utilisateur à l'ordinateur.

    Remarque : après avoir sélectionné cette procédure de connexion, l'utilisateur peut se connecter uniquement à l'aide d'une empreinte digitale préenregistrée ou d'un nom d'utilisateur et d'un mot de passe. Vous ne pouvez pas utiliser conjointement les procédures de connexion par token et par empreinte digitale sur le même ordinateur.
Afficher les échecs de connexion pour cet utilisateur Si ce paramètre est défini sur Oui : suite à la connexion à l'authentification au démarrage SafeGuard et Windows, une boîte de dialogue indique les informations relatives au dernier échec de connexion (nom d'utilisateur/date/heure).
Afficher la dernière connexion utilisateur Si ce paramètre est défini sur Oui : suite à la connexion à partir de l'authentification au démarrage SafeGuard et Windows, une boîte de dialogue affiche les informations concernant
  • la dernière connexion (nom d'utilisateur/date/heure) ;

  • les derniers codes d'accès de l'utilisateur connecté.

Désactiver la déconnexion forcée dans le verrouillage du poste de travail
Remarque : ce paramètre ne s'applique que sous Windows XP. Windows XP n'est plus pris en charge à partir de SafeGuard Enterprise 6.1. Ce paramètre de stratégie est toujours disponible dans SafeGuard Management Center afin de prendre en charge les clients SafeGuard Enterprise 6 administrés par la version 7.0 du Management Center.
Si l'utilisateur souhaite quitter le terminal pendant une courte durée, il peut cliquer sur Verrouiller le poste de travail pour empêcher d'autres utilisateurs de l'utiliser et le déverrouiller avec le mot de passe utilisateur. Non : l'utilisateur qui a verrouillé l'ordinateur, ainsi qu'un administrateur, peuvent le déverrouiller. Si un administrateur déverrouille l'ordinateur, l'utilisateur connecté est automatiquement déconnecté. Oui : change ce comportement. Dans ce cas, seul l'utilisateur peut déverrouiller l'ordinateur. L'administrateur ne pourra pas le déverrouiller et l'utilisateur ne sera pas déconnecté automatiquement.
Activer la présélection utilisateur/domaine Oui : l'authentification au démarrage SafeGuard enregistre le nom et le domaine du dernier utilisateur connecté. Il n'est donc pas nécessaire que les utilisateurs saisissent leur nom d'utilisateur chaque fois qu'ils se connectent.

Non : l'authentification au démarrage SafeGuard n'enregistre pas le nom et le domaine du dernier utilisateur connecté.

Liste de comptes de service Pour éviter que les opérations d'administration sur un ordinateur protégé par SafeGuard Enterprise n'activent l'authentification au démarrage et n'entraînent l'ajout des opérateurs en charge du déploiement comme autant d'utilisateurs possibles de l'ordinateur, SafeGuard Enterprise vous permet de créer des listes de comptes de service pour la connexion Windows sur les terminaux SafeGuard Enterprise. Les utilisateurs de la liste sont traités comme des utilisateurs invités SafeGuard Enterprise.

Avant de sélectionner une liste, vous devez créer les listes dans la zone de navigation Stratégies sous Listes de comptes de service.

Connexion automatique vers Windows
Remarque : pour que l'utilisateur puisse autoriser d'autres utilisateurs à accéder à son ordinateur, il doit pouvoir désactiver la connexion automatique vers Windows.
  • Laisser l'utilisateur choisir

    En sélectionnant/dessélectionnant cette option dans la boîte de dialogue de connexion à l'authentification au démarrage SafeGuard, l'utilisateur peut choisir d'exécuter ou non la connexion automatique à Windows.

  • Désactiver la connexion automatique vers Windows

    Après la connexion à l'authentification au démarrage SafeGuard, la boîte de dialogue de connexion Windows s'affiche. L'utilisateur doit se connecter manuellement à Windows.

  • Appliquer la connexion automatique vers Windows

    L'utilisateur se connecte toujours automatiquement à Windows.

Options BitLocker

Mode de connexion BitLocker pour les volumes de démarrage

Les options suivantes sont disponibles :
  • TPM : la clé de connexion est stockée sur la puce du TPM (Module de plate-forme sécurisée).

  • TPM + PIN : la clé de connexion est stockée sur la puce du TPM et un code confidentiel est également nécessaire pour la connexion.

  • Clé de démarrage : la clé de connexion est stockée sur une carte mémoire USB.

  • TPM + Clé de démarrage : la clé de connexion est stockée sur la puce du TPM et sur une carte mémoire USB. Les deux sont requises pour établir la connexion.

    Remarque : si vous voulez utiliser TPM + PIN, TPM + Clé de démarrage ou Clé de démarrage, veuillez activer la Stratégie de groupe Demander une authentification supplémentaire au démarrage soit dans Active Directory, soit localement sur les ordinateurs. Dans l'Éditeur d'objets de stratégie de groupe (gpedit.msc), la Stratégie de groupe se trouve à l'emplacement suivant : Stratégie Ordinateur local\Configuration ordinateur\Modèles d'administration\Composants Windows\Chiffrement de lecteur BitLocker\Lecteur du système d’exploitation.

    Pour utiliser la méthode Clé de démarrage, veuillez également activer Autoriser BitLocker sans un module de plateforme sécurisée compatible dans la Stratégie de groupe.

    Remarque : si le mode de connexion de secours est activé sur le système, le mode de connexion défini ici ne sera pas appliqué.
Mode de connexion de secours BitLocker pour volumes de démarrage S'il est impossible d'utiliser le paramètre Mode de connexion BitLocker pour les volumes de démarrage, SafeGuard Enterprise offre les alternatives de connexion suivantes :
  • Mot de passe : l'utilisateur doit saisir un mot de passe.

  • Clé de démarrage : la clé de connexion est stockée sur une carte mémoire USB.

  • Mot de passe ou clé de démarrage : les cartes mémoire USB seront uniquement utilisées si les mots de passe sont pris en charge sur le système d'exploitation client.

  • Erreur : un message d'erreur s'affiche et le volume n'est pas chiffré.

    Remarque : pour les clients à la version 6.1 ou antérieure, les valeurs Mot de passe ou clé de démarrage et Mot de passe seront reliés aux anciens paramètres Carte mémoire USB et Erreur.
    Remarque : les mots de passe sont uniquement pris en charge sur Windows 8 ou version supérieure.
Mode de connexion BitLocker pour volumes non démarrables Pour les volumes non démarrables (lecteurs de données fixes), les options suivantes sont disponibles :
  • Auto-déverrouiller : si le volume de démarrage est chiffré, une clé externe est créée et stockée sur le volume de démarrage. Le ou les volumes non démarrables seront ensuite déchiffrés automatiquement. Ils seront déverrouillés automatiquement à l'aide de la fonctionnalité Auto-déverrouiller de BitLocker. L'auto-déverrouillage fonctionne uniquement si le volume de démarrage est chiffré. Autrement, c'est le mode de connexion de secours qui est utilisé.

  • Mot de passe : l'utilisateur est invité à saisir son mot de passe pour chaque volume non démarrable.

  • Clé de démarrage : les clés de déverrouillage des volumes non démarrables sont stockées sur une clé USB.

    Remarque : les clients à la version 6.1 ou antérieure ignorent ce paramètre de stratégie et utilisent plutôt les valeurs définies pour le mode de connexion des volumes de démarrage. Le module de plate-forme sécurisée (TPM) ne peut pas être utilisé sur les volumes non démarrables. Une carte mémoire USB ou un message d'erreur seront utilisés dans ce cas.
    Remarque : les mots de passe sont uniquement pris en charge sur Windows 8 ou version supérieure.
    Remarque : si le mode de connexion de secours est activé sur le système, le mode de connexion défini ici ne sera pas appliqué.
Mode de connexion de secours BitLocker pour volumes non démarrables S'il est impossible d'utiliser le paramètre Mode de connexion BitLocker pour volumes non démarrables, SafeGuard Enterprise offre les alternatives de connexion suivantes :
  • Mot de passe : l'utilisateur est invité à saisir son mot de passe pour chaque volume non démarrable.

  • Clé de démarrage : les clés sont stockées sur une carte mémoire USB.

  • Mot de passe ou clé de démarrage : les cartes mémoire USB seront uniquement utilisées si les mots de passe sont pris en charge sur le système d'exploitation client.

    Remarque : les clients à la version 6.1 ou antérieure ignorent ce paramètre de stratégie. Ils utilisent plutôt les valeurs définies pour le mode de connexion de secours des volumes de démarrage. Comme ils ne peuvent pas gérer les mots de passe, une carte mémoire USB ou un message d'erreur sera utilisé.
    Remarque : les mots de passe sont uniquement pris en charge sur Windows 8 ou version supérieure.
Échecs de connexion
Nombre maximal d'échecs de connexion Détermine le nombre de tentatives de connexion d'un utilisateur avec un nom d'utilisateur ou un mot de passe non valide. Par exemple, après trois tentatives successives de saisie d'un nom d'utilisateur ou d'un mot de passe incorrect, une quatrième tentative verrouille l'ordinateur.
Messages d'échec de connexion dans l'authentification au démarrage (POA) Définit le niveau de détail des messages d'échec de connexion:
  • Standard : affiche une brève description.

  • Détaillé : affiche des informations plus détaillées.

Options de token
Action si l'état de connexion du token est perdu Définit le comportement après suppression du token de l'ordinateur :

Les actions possibles sont les suivantes :

  • Verrouiller l'ordinateur

  • Ouvrir la boîte de dialogue du code confidentiel

  • Aucune action

Autoriser le déblocage du token Détermine si le token peut être débloqué lors de la connexion.
Options de verrouillage
Verrouiller l'écran après X minutes d'inactivité Détermine la durée après laquelle un poste de travail non utilisé est automatiquement verrouillé.

La valeur par défaut est 0 minutes. Le poste de travail ne sera pas verrouillé si cette valeur reste inchangée.

Verrouiller l'écran au retrait du token Détermine si l'écran est verrouillé lorsqu'un token est retiré au cours d'une session.
Verrouiller l'écran après mise en veille Détermine si l'écran est verrouillé lors de la réactivation de l'ordinateur du mode veille.