Protection des périphériques

Les stratégies du type Protection des périphériques couvrent les paramètres pour le chiffrement des données sur différents périphériques de stockage des données. Le chiffrement peut être basé sur volume ou sur fichier avec des clés et des algorithmes différents. Les stratégies de type Protection des périphériques incluent également des paramètres pour SafeGuard Data Exchange, SafeGuard Cloud Storage et SafeGuard Portable. Retrouvez plus de renseignements aux sections SafeGuard Data Exchange et Stockage Cloud. Retrouvez plus de renseignements sur SafeGuard Data Exchange, SafeGuard Cloud Storage et SafeGuard Portable sur le terminal dans le Manuel d’utilisation de SafeGuard Enterprise.

Lors de la création d’une stratégie de protection des périphériques, vous devez d’abord spécifier la cible de la protection des périphériques. Les cibles possibles sont les suivantes :

  • Stockage de masse (volumes de démarrage ou non démarrables)
  • Supports amovibles sur les terminaux Windows

    Sur macOs, une stratégie de type Chiffrement de fichiers avec l’espace réservé <Amovibles> en tant que Chemin est nécessaire pour chiffrer les fichiers sur les supports amovibles. Retrouvez plus de renseignements à la section Espaces réservés des chemins dans les règles de chiffrement de fichiers par emplacement.

  • Lecteurs optiques
  • Lettres de lecteur
  • Modèles de périphériques de stockage
  • Périphériques de stockage distincts
  • Définitions Cloud Storage

Pour chaque cible, créez une stratégie distincte.

Remarque : Supports amovibles : une stratégie qui spécifie le chiffrement basé sur volume des lecteurs amovibles et qui permet à l’utilisateur de choisir une clé dans une liste (par exemple, Toute clé du jeu de clés utilisateur) peut être contournée par l’utilisateur en ne choisissant aucune clé. Pour s’assurer que les lecteurs amovibles sont toujours chiffrés, utilisez une stratégie de chiffrement basée sur fichier ou définissez explicitement une clé dans la stratégie de chiffrement basée sur volume.

Paramètre de stratégie

Explication

Les paramètres sont affichés de la même manière que dans SafeGuard Enterprise Management Center.

Mode de chiffrement des supports

Permet de protéger les périphériques (ordinateurs de bureau et portables, etc.) ainsi que tous types de supports amovibles.

Ce paramètre est obligatoire.

L’objectif essentiel consiste à chiffrer toutes les données stockées sur des périphériques de stockage locaux ou externes. La méthode de fonctionnement transparente permet aux utilisateurs de continuer à utiliser leurs applications courantes, par exemple Microsoft Office.

Le chiffrement transparent signifie que toutes les données chiffrées (dans des répertoires ou dans des volumes chiffrés) sont automatiquement déchiffrées dans la mémoire principale dès qu’elles sont ouvertes dans un programme. Un fichier est automatiquement chiffré de nouveau lorsqu’il est enregistré.

Les options suivantes sont disponibles :

  • Aucun chiffrement

  • Basé sur le volume (= chiffrement transparent basé sur secteur)

    Garantit que toutes les données sont chiffrées (y compris les fichiers de démarrage, les fichiers d’échange, les fichiers inactifs/de mise en veille prolongée, les fichiers temporaires, les informations de répertoire, etc.) sans que l’utilisateur ait à modifier ses habitudes de travail ou tenir compte de problèmes de sécurité.

  • Basé sur fichier (= chiffrement transparent basé sur fichier, Chiffrement Smart Media)

    Garantit que toutes les données sont chiffrées (à l’exception du support de démarrage et des informations de répertoire) avec l’avantage que même les supports optiques tels que les CD/DVD peuvent être chiffrés et que les données peuvent être échangées avec des ordinateurs externes sur lesquels SafeGuard Enterprise n’est pas installé (si les stratégies l’autorisent).

Pour les stratégies avec listes d’autorisation, vous pouvez uniquement sélectionner Aucun chiffrement ou Basé sur fichier.

Paramètres généraux

Algorithme à utiliser pour le chiffrement

Définit l’algorithme de chiffrement.

Liste des algorithmes utilisables avec les normes respectives :

AES256 : 32 octets (256 bits)

AES128 : 16 octets (128 bits)

Clé à utiliser pour le chiffrement

Définit la clé utilisée pour le chiffrement. Vous pouvez définir des clés spécifiques (clé machine ou une clé définie par ex.) ou vous pouvez autoriser l’utilisateur à sélectionner une clé. Vous pouvez également limiter les clés qu’un utilisateur est autorisé à utiliser.

Les options suivantes sont disponibles :

  • Toute clé du jeu de clés utilisateur

    Toutes les clés du jeu de clés d’un utilisateur sont affichées et celui-ci peut sélectionner l’une d’entre elles.

    Cette option doit être sélectionnée si vous définissez une stratégie de chiffrement basé sur fichier pour un terminal non administré protégé par SafeGuard Enterprise (autonome).

  • Toute clé du jeu de clés utilisateur sauf la clé utilisateur

    Toutes les clés sauf celles du jeu de clés d’un utilisateur sont affichées et celui-ci peut sélectionner l’une d’entre elles.

  • Toute clé de groupe du jeu de clés utilisateur

    Toutes les clés de groupe du jeu de clés d’un utilisateur sont affichées et celui-ci peut sélectionner l’une d’entre elles.

  • Clé machine définie

    La clé de la machine est utilisée et l’utilisateur ne peut pas sélectionner de clé.

    Elle est uniquement disponible sur un terminal sur lequel le chiffrement par volume est installé (BitLocker ou SafeGuard Full Disk Encryption).

    Une stratégie définissant la Clé machine définie en tant que clé à utiliser pour le chiffrement de fichiers (par exemple pour SafeGuard Data Exchange) ne sera pas appliquée sur un terminal sur lequel le chiffrement par volume n’est pas installé. Les données ne peuvent pas être chiffrées.

    Cette option doit être sélectionnée si vous définissez une stratégie de chiffrement basé sur volume pour un terminal non administré protégé par SafeGuard Enterprise (mode autonome). Si vous sélectionnez néanmoins Toute clé du jeu de clés utilisateur et si l’utilisateur sélectionne une clé créée localement pour le chiffrement basé sur volume, l’accès à ce volume sera refusé.

  • Toute clé du jeu de clés utilisateur sauf les clés créées localement

    Toutes les clés sauf les clés générées localement à partir d’un jeu de clés sont affichées et l’utilisateur peut sélectionner l’une d’entre elles.

  • Clé définie dans la liste

    L’administrateur peut sélectionner toutes les clés disponibles lorsqu’il définit des stratégies dans Management Center.

    La clé doit être sélectionnée sous Clé définie pour le chiffrement.

Stratégies pour le terminal non administré protégé par SafeGuard Enterprise (autonome) :

Seule l’option Toute clé du jeu de clés utilisateur peut être utilisée lors de la création de stratégies pour des terminaux non administrés. La création de clés locales doit en outre être autorisée pour ce type de terminal.

Si la fonction de phrase secrète des supports est activée pour des terminaux non administrés, la clé de chiffrement de support est utilisée automatiquement comme Clé définie pour le chiffrement. en effet, aucune clé de groupe n’est disponible sur les terminaux non administrés. La sélection d’une autre clé sous Clé définie pour le chiffrement lors de la création d’une stratégie de support amovible pour des clients autonomes n’a aucun effet.

Clé définie pour le chiffrement

Cliquez sur [...] pour afficher la boîte de dialogue Rechercher des clés. Cliquez sur Rechercher maintenant pour rechercher des clés et en sélectionner une dans la liste qui apparaît.

Dans le cas d’une stratégie de type Protection des périphériques avec la cible Supports amovibles, cette clé sert à chiffrer la clé de chiffrement de support lorsque la fonction de phrase secrète des supports est activée (L’utilisateur peut définir une phrase secrète des supports pour les périphériques définie sur Oui).

Pour ce type de stratégie, veuillez configurer les paramètres Clé à utiliser pour le chiffrement et Clé définie pour le chiffrement.

Stratégies pour les terminaux non administrés protégés par SafeGuard Enterprise (autonome) :

Si la fonction de phrase secrète des supports est activée pour des terminaux non administrés, la clé de chiffrement de support est utilisée automatiquement comme Clé définie pour le chiffrement. en effet, aucune clé de groupe n’est disponible sur les terminaux non administrés.

L’utilisateur est autorisé à créer une clé locale

Ce paramètre détermine si les utilisateurs peuvent générer ou non une clé locale sur leurs ordinateurs. Le paramètre par défaut est Oui et les utilisateurs sont autorisés à créer des clés locales.

Une stratégie qui interdit aux utilisateurs de créer des clés locales (L’utilisateur est autorisé à créer une clé locale définie sur Non) sera uniquement appliquée aux terminaux Windows.

Les clés locales sont générées sur le terminal selon une phrase secrète saisie par l’utilisateur. La configuration minimale de la phrase secrète est définie dans des stratégies du type Phrase secrète.

Ces clés sont également enregistrées dans la base de données. L’utilisateur peut les utiliser sur n’importe quel ordinateur auquel il est connecté.

Des clés locales peuvent être utilisées pour l’échange de données sécurisé avec SafeGuard Data Exchange (SG DX). Retrouvez plus de renseignements à la section Clés locales.

Paramètres basés sur le volume

L’utilisateur peut ajouter ou supprimer des clés d’un volume chiffré

Oui : les utilisateurs du terminal peuvent ajouter ou supprimer des clés d’un jeu de clés. La boîte de dialogue s’affiche dans l’onglet Propriétés/Chiffrement de la commande du menu contextuel.

Non : les utilisateurs du terminal ne peuvent pas ajouter de clés.

Réaction aux volumes non chiffrés

Définit de quelle manière SafeGuard Enterprise gère les supports non chiffrés.

Les options suivantes sont disponibles :

  • Rejeter (= le support en texte n’est pas chiffré)

  • Accepter uniquement les supports vierges et chiffrer

  • Accepter tous les supports et chiffrer

L’utilisateur peut déchiffrer le volume

Permet à l’utilisateur de déchiffrer le volume avec une commande du menu contextuel dans l’Explorateur Windows.

Chiffrement initial rapide

Sélectionnez ce paramètre pour activer le mode de chiffrement initial rapide pour le chiffrement basé sur volume. Ce mode réduit le temps nécessaire pour le chiffrement initial sur les terminaux.

Ce mode peut conduire à un état moins sécurisé. Retrouvez plus de renseignements dans le Manuel d’administration de SafeGuard Enterprise.

Poursuivre sur les secteurs incorrects

Indique si le chiffrement doit se poursuivre ou être arrêté si des secteurs incorrects sont détectés. Le paramètre par défaut est Oui.

Paramètres basés sur le fichier

Chiffrement initial de tous les fichiers

Démarre automatiquement le chiffrement initial d’un volume après la connexion de l’utilisateur. Il se peut que l’utilisateur doive sélectionner une clé du jeu de clés au préalable.

L’utilisateur peut annuler le chiffrement initial

Permet à l’utilisateur d’annuler le chiffrement initial.

L’utilisateur est autorisé à accéder aux fichiers non chiffrés

Définit si un utilisateur peut accéder aux données non chiffrées d’un volume.

L’utilisateur peut déchiffrer des fichiers

Permet à l’utilisateur de déchiffrer des fichiers individuels ou des répertoires entiers (avec l’extension de l’Explorateur Windows <clic droit>).

L’utilisateur peut définir une phrase secrète des supports pour les périphériques

Permet à l’utilisateur de définir une phrase secrète des supports sur son ordinateur. La phrase secrète des supports permet d’accéder facilement à l’aide de SafeGuard Portable à toutes les clés locales utilisées sur des ordinateurs sur lesquels SafeGuard Data Exchange n’est pas installé.

Copier SafeGuard Portable sur la cible

Si cette option est sélectionnée, SafeGuard Portable est copié sur tous les supports amovibles connectés au terminal et dans tous les dossiers de synchronisation définis par une définition Cloud Storage pour SafeGuard Cloud Storage dès l’écriture de contenu sur le support ou le dossier chiffré.

SafeGuard Portable permet l’échange des données chiffrées avec les supports amovibles ou le stockage dans le Cloud sans que SafeGuard Enterprise ne soit installé sur le destinataire.

Le destinataire peut déchiffrer et chiffrer de nouveau les fichiers chiffrés en utilisant SafeGuard Portable et le mot de passe correspondant. Le destinataire peut chiffrer de nouveau les fichiers avec SafeGuard Portable ou utiliser la clé d’origine pour le chiffrement.

Il n’est pas nécessaire que SafeGuard Portable soit installé ou copié sur l’ordinateur du destinataire, il peut être utilisé directement à partir du support amovible ou du dossier de synchronisation du stockage Cloud.

Clé de chiffrement initial par défaut

Ce champ propose une boîte de dialogue de sélection d’une clé utilisée pour le chiffrement initial basé sur fichier. Si vous sélectionnez une clé ici, l’utilisateur ne peut pas sélectionner de clé au démarrage du chiffrement initial. Le chiffrement initial démarre sans interaction de l’utilisateur.

La clé sélectionnée est toujours utilisée pour le chiffrement initial.

Exemple :

Condition préalable : Une clé par défaut a été définie pour le chiffrement initial.

Le chiffrement initial démarre automatiquement lorsque l’utilisateur connecte un périphérique USB à l’ordinateur. La clé définie est utilisée. L’utilisateur ne doit pas intervenir. Si l’utilisateur souhaite chiffrer de nouveau les fichiers ou enregistrer de nouveaux fichiers sur le périphérique USB, il peut sélectionner la clé de son choix (s’il y est autorisé et si disponible). Si l’utilisateur connecte un autre périphérique USB, la clé définie pour le chiffrement initial est de nouveau utilisée. Cette clé est également utilisée pour tous les processus de chiffrement ultérieurs jusqu’à ce que l’utilisateur sélectionne explicitement une autre clé.

Si la phrase secrète des supports est activée, cette option sera désactivée. La Clé définie pour le chiffrement sera utilisée.

Dossier en texte brut

Le dossier spécifié ici sera créé sur tous les supports amovibles, périphériques de stockage de masse et dans le dossier de synchronisation de stockage dans le Cloud. Les fichiers copiés dans ce dossier restent au format brut.

L’utilisateur est autorisé à décider de l’opération de chiffrement

Vous pouvez autoriser l’utilisateur à décider du chiffrement des fichiers sur les supports amovibles (Windows uniquement) et sur les périphériques de stockage de masse.

  • Si vous définissez cette option sur Oui, les utilisateurs sont invités à décider si les données doivent être chiffrées. Pour les périphériques de stockage en masse, l’invite apparaît après chaque connexion tandis que pour les supports amovibles, l’invite apparaît lorsqu’ils sont connectés.
  • Si vous définissez cette option sur Oui, mémoriser les paramètres de l’utilisateur, les utilisateurs peuvent utiliser l’option Mémoriser le paramètre et ne plus afficher cette boîte de dialogue pour que leurs choix soient conservés pour le périphérique correspondant. Dans ce cas, la boîte de dialogue ne réapparaîtra pas pour le périphérique correspondant.

Si l’utilisateur sélectionne Non dans la boîte de dialogue sur le terminal, aucun chiffrement initial ou transparent n’a lieu.