Actions de récupération pour les clients Sophos SafeGuard (autonomes)

La procédure Challenge/Réponse pour un terminal non administré intervient dans les situations suivantes :

Aucune clé utilisateur n'est disponible dans la base de données pour les terminaux non administrés. Par conséquent, la seule action de récupération possible dans une session de Challenge/Réponse est Démarrer le client SGN sans connexion utilisateur.

La procédure Challenge/Réponse permet à l'ordinateur de démarrer à partir de l'authentification au démarrage SafeGuard. L'utilisateur peut alors se connecter à Windows.

Études de cas de récupération potentiels :

L'utilisateur a saisi un mot de passe incorrect un trop grand nombre de fois à l'authentification au démarrage SafeGuard et l'ordinateur est verrouillé. Mais l'utilisateur connaît encore le mot de passe.

L'ordinateur est verrouillé et l'utilisateur est invité à lancer une procédure Challenge/Réponse pour le déverrouiller. Comme l'utilisateur connait le mot de passe correct, il n'est pas nécessaire de le réinitialiser. La procédure Challenge/Réponse permet à l'ordinateur de démarrer à partir de l'authentification au démarrage SafeGuard. L'utilisateur peut ensuite saisir le mot de passe correctement dans la boîte de dialogue de connexion Windows et s'y connecter.

L'utilisateur a oublié le mot de passe

Remarque : nous vous conseillons d'utiliser Local Self Help pour récupérer un mot de passe oublié. Local Self Help permet aux utilisateurs d'avoir leurs mots de passe en cours affichés et de continuer à l'utiliser. Ceci évite d'avoir à réinitialiser le mot de passe ou de demander de l'aide au support technique.

Lors de la récupération d'un mot de passe oublié via la procédure Challenge/Réponse, une réinitialisation de mot de passe est requise.

  1. La procédure Challenge/Réponse permet à l'ordinateur de démarrer à partir de l'authentification au démarrage SafeGuard.

  2. Dans la boîte de dialogue de connexion Windows, l'utilisateur ne connait pas le mot de passe correct. Le mot de passe doit être redéfini au niveau de Windows. Cela nécessite d'autres actions de récupération sortant du périmètre de SafeGuard Enterprise, via des moyens Windows standard.

    Remarque : nous vous conseillons d'éviter la réinitialisation centralisée du mot de passe avant la procédure Challenge/Réponse. Ceci vous garantit que le mot de passe reste synchronisé entre Windows et SafeGuard Enterprise. Assurez-vous que le support Windows en a bien connaissance.

    Nous conseillons les méthodes de réinitialisation de mot de passe Windows suivantes.

    • À l'aide d'un compte de service ou administrateur disponible sur le terminal avec les droits Windows requis.

    • À l'aide d'un disque de réinitialisation de mot de passe Windows sur le terminal.

      En tant que responsable du support, vous pouvez informer l'utilisateur de la procédure à appliquer et lui fournir les codes d'accès Windows supplémentaires ou le disque requis.

  3. L'utilisateur saisit le nouveau mot de passe que le support a réinitialisé au niveau de Windows. L'utilisateur doit ensuite modifier ce mot de passe immédiatement en choisissant une valeur connue de lui seul. Un nouveau certificat d'utilisateur est créé en fonction du nouveau choix de mot de passe Windows. L'utilisateur peut donc se reconnecter à l'ordinateur ainsi qu'à l'authentification au démarrage SafeGuard à l'aide du nouveau mot de passe.

    Remarque : clés pour SafeGuard Data Exchange : Lorsqu'un mot de passe est réinitialisé et qu'un nouveau certificat est créé, les clés locales précédemment créées pour SafeGuard Data Exchange peuvent être encore utilisées si le terminal est membre d'un domaine. Si le terminal est membre d'un groupe de travail, l'utilisateur doit se rappeler de la phrase secrète SafeGuard Data Exchange pour réactiver ces clés locales.

Le cache local doit être réparé.

Le cache local stocke toutes les clés et stratégies ainsi que les certificats utilisateur et les fichiers d'audit. Lorsque le cache local est corrompu, la récupération de connexion est désactivée par défaut, c'est-à-dire que sa restauration s'effectue automatiquement à partir de la sauvegarde. Aucune procédure Challenge/Réponse n'est donc requise pour réparer le cache local. En revanche, la récupération de connexion peut être activée par stratégie, si le cache local doit effectivement être réparé avec une procédure Challenge/Réponse. Dans ce cas, l'utilisateur est automatiquement invité à lancer une procédure Challenge/Réponse, si le cache local est corrompu.