Dell Endpoint Security Suite Pro security Manuel utilisateur

Ajouter à Mes manuels
103 Des pages
Dell Endpoint Security Suite Pro security Manuel utilisateur | Fixfr
Dell Data Protection | Endpoint Security Suite
Guide d'installation avancée v1.7
Remarques, précautions et avertissements
REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit.
PRÉCAUTION : Une PRÉCAUTION indique un risque d'endommagement du matériel ou de perte de données et vous indique
comment éviter le problème.
AVERTISSEMENT : Un AVERTISSEMENT indique un risque d'endommagement du matériel, de blessures corporelles ou même de
mort.
© 2017 Dell Inc. Tous droits réservés.Dell, EMC et d'autres marques de commerce sont des marques de commerce de Dell Inc. ou de ses
filiales. Les autres marques de commerce peuvent être des marques de commerce déposées par leurs propriétaires respectifs.
Marques déposées et marques commerciales utilisées dans Dell Data Protection Encryption, Endpoint Security Suite, Endpoint Security
Suite Enterprise et dans la suite de documents Dell Data Guardian : DellTM et le logo Dell, Dell PrecisionTM, OptiPlexTM, ControlVaultTM,
LatitudeTM, XPS® et KACETM sont des marques commerciales de Dell Inc. Cylance®, CylancePROTECT et le logo Cylance sont des
marques déposées de Cylance, Inc. aux États-Unis et dans d'autres pays. McAfee® et le logo McAfee sont des marques ou des marques
déposées de McAfee, Inc. aux États-Unis et dans d'autres pays. Intel®, Pentium®, Intel Core Inside Duo®, Itanium® et Xeon® sont des
marques déposées d'Intel Corporation aux États-Unis et dans d'autres pays. Adobe®, Acrobat®, et Flash® sont des marques déposées
d'Adobe Systems Incorporated. Authen Tec® et Eikon® sont des marques déposées d'Authen Tec. AMD® est une marque déposée
d'Advanced Micro Devices, Inc. Microsoft®, Windows®, et Windows Server®, Internet Explorer®, MS-DOS®, Windows Vista®, MSN®,
ActiveX®, Active Directory®, Access®, ActiveSync®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®, Silverlight®, Outlook®,
PowerPoint®, OneDrive®, SQL Server®, et Visual C++® sont des marques commerciales ou des marques déposées de Microsoft
Corporation aux États-Unis et/ou dans d'autres pays. VMware® est une marque déposée ou une marque commerciale de VMware, Inc. aux
États-Unis ou dans d'autres pays. Box® est une marque déposée de Box. DropboxSM est une marque de service de Dropbox, Inc.
GoogleTM, AndroidTM, GoogleTM ChromeTM, GmailTM, YouTube®, et GoogleTM Play sont des marques commerciales ou des marques
déposées de Google Inc. aux États-Unis et dans d'autres pays. Apple®, Aperture®, App StoreSM, Apple Remote DesktopTM, Apple TV®,
Boot CampTM, FileVaultTM, iCloud®SM, iPad®, iPhone®, iPhoto®, iTunes Music Store®, Macintosh®, Safari® et Siri® sont des marques
de service, des marques commerciales ou des marques déposées d'Apple, Inc. aux États-Unis et/ou dans d'autres pays. GO ID®, RSA®, et
SecurID® sont des marques déposées de Dell EMC. EnCaseTM et Guidance Software® sont des marques commerciales ou des marques
déposées de Guidance Software. Entrust® est une marque déposée d'Entrust®, Inc. aux États-Unis et dans d'autres pays. InstallShield®
est une marque déposée de Flexera Software aux États-Unis, en Chine, dans l'Union européenne, à Hong Kong, au Japon, à Taïwan et au
Royaume-Uni. Micron® et RealSSD® sont des marques déposées de Micron Technology, Inc. aux États-Unis et dans d'autres pays.
Mozilla® Firefox® est une marque déposée de Mozilla Foundation aux États-Unis et/ou dans d'autres pays. IOS® est une marque
commerciale ou une marque déposée de Cisco Systems, Inc. aux États-Unis et dans certains autres pays et elle est utilisée sous licence.
Oracle® et Java® sont des marques déposées d'Oracle et/ou de ses sociétés affiliées. Les autres noms peuvent être des marques de leurs
propriétaires respectifs. SAMSUNG™ est une marque commerciale de SAMSUNG aux États-Unis ou dans d'autres pays. Seagate® est une
marque déposée de Seagate Technology LLC aux États-Unis et/ou dans d'autres pays. Travelstar® est une marque déposée de HGST, Inc.
aux États-Unis et dans d'autres pays. UNIX® est une marque déposée de The Open Group. VALIDITY™ est une marque commerciale de
Validity Sensors, Inc. aux États-Unis et dans d'autres pays. VeriSign® et d'autres marques connexes sont des marques commerciales ou des
marques déposées de VeriSign, Inc. ou de ses filiales ou sociétés affiliées aux États-Unis et dans d'autres pays et dont la licence est
octroyée à Symantec Corporation. KVM on IP® est une marque déposée de Video Products. Yahoo!® est une marque déposée de Yahoo!
Inc. Ce produit utilise des parties du programme 7-Zip. Le code source est disponible à l'adresse 7-zip.org. L'octroi de licence est soumis à la
licence GNU LGPL + aux restrictions unRAR (7-zip.org/license.txt).
Guide d'installation avancée d'Endpoint Security Suite
2017 - 04
Rév. A01
Table des matières
1 Introduction....................................................................................................................................................6
Avant de commencer........................................................................................................................................................ 6
Utilisation de ce Guide....................................................................................................................................................... 6
Contacter Dell ProSupport................................................................................................................................................7
2 Configuration requise.....................................................................................................................................8
Tous les clients....................................................................................................................................................................8
Configuration requise pour tous les clients............................................................................................................... 8
Matériel pour tous les clients...................................................................................................................................... 8
Tous les clients - Langues prises en charge..............................................................................................................9
Client Encryption................................................................................................................................................................9
Configuration requise du client Encryption..............................................................................................................10
Matériel du client Encryption.................................................................................................................................... 10
Systèmes d'exploitation du client Encryption..........................................................................................................10
Systèmes d'exploitation prenant en charge External Media Shield (EMS).......................................................... 11
Client Threat Protection................................................................................................................................................... 11
Systèmes d'exploitation des clients Threat Protection........................................................................................... 11
Ports des clients Threat Protection..........................................................................................................................12
Client SED..........................................................................................................................................................................12
Pilotes OPAL................................................................................................................................................................13
Conditions préalables du client SED......................................................................................................................... 13
Matériel du client SED................................................................................................................................................13
Systèmes d'exploitation du client SED.....................................................................................................................15
Client Advanced Authentication..................................................................................................................................... 15
Matériel de client d'authentification avancée..........................................................................................................15
Systèmes d'exploitation du client Advanced Authentication (Authentification avancée)..................................16
Client BitLocker Manager................................................................................................................................................ 16
Configuration requise pour le client BitLocker Manager........................................................................................ 17
Systèmes d'exploitation du client BitLocker Manager............................................................................................17
Options d'authentification................................................................................................................................................17
Client Encryption........................................................................................................................................................ 18
Client SED....................................................................................................................................................................19
Gestionnaire BitLocker.............................................................................................................................................. 20
3 Paramètres de registre................................................................................................................................. 21
Paramètres de registre du client Encryption................................................................................................................. 21
Paramètres de registre du client Threat Protection.....................................................................................................25
Paramètres de registre du client SED............................................................................................................................25
Paramètres de registre du client Advanced Authentication........................................................................................27
Paramètres de registre du client BitLocker Manager.................................................................................................. 27
4 Installation à l'aide du programme d'installation principal ESS .....................................................................29
Installation de manière interactive à l'aide du programme d'installation principal ESS ........................................... 29
Dell Data Protection | Endpoint Security Suite
Table des matières
3
Installation par la ligne de commande à l'aide du programme d'installation principal ESS ..................................... 30
5 Désinstallation à l'aide du programme d'installation principal ESS ............................................................... 32
Désinstaller le programme d'installation principal ESS ............................................................................................... 32
Désinstallation avec ligne de commande.................................................................................................................32
6 Installer à l'aide des programmes d'installation enfants................................................................................ 33
Installer les pilotes............................................................................................................................................................ 34
Installer le client Encryption............................................................................................................................................ 34
Installation de la ligne de commande....................................................................................................................... 34
Installation des clients Threat Protection...................................................................................................................... 36
Installation de la ligne de commande....................................................................................................................... 36
Installer les clients de gestion SED et Advanced Authentication...............................................................................38
Installation de la ligne de commande....................................................................................................................... 38
Installer le client BitLocker Manager..............................................................................................................................39
Installation avec ligne de commande....................................................................................................................... 39
7 Désinstaller à l'aide des programme d'installation enfants............................................................................. 41
Désinstallation des clients Threat Protection................................................................................................................42
Désinstallation de ligne de commande.....................................................................................................................42
Désinstallation du client Encryption et ......................................................................................................................... 42
Processus....................................................................................................................................................................43
Désinstallation de ligne de commande.....................................................................................................................43
Désinstaller les clients SED et Advanced Authentication........................................................................................... 45
Processus....................................................................................................................................................................45
Désactiver l'authentification avant démarrage.......................................................................................................45
Désinstallez le client SED et les clients Advanced Authentication.......................................................................46
Désinstaller le client BitLocker Manager....................................................................................................................... 46
Désinstallation avec ligne de commande.................................................................................................................46
8 Scénarios couramment utilisés.....................................................................................................................47
Encryption Client, Threat Protection, et Advanced Authentication.......................................................................... 48
Encryption Client et Threat Protection......................................................................................................................... 49
Client SED (Advanced Authentication inclus) et External Media Shield................................................................... 49
BitLocker Manager et External Media Shield............................................................................................................... 50
9 Configuration avant installation pour Mot de passe à usage unique (OTP), SED UEFI et BitLocker.............. 51
Initialiser le module TPM.................................................................................................................................................. 51
Configuration de la pré-Installation avant démarrage sur les ordinateurs UEFI........................................................ 51
Activez la connectivité réseau au cours de l'authentification avant démarrage UEFI........................................51
Désactiver les ROM de l'option Héritée :................................................................................................................ 52
Configuration préalable à l'installation d'une partition d'authentification avant démarrage BitLocker.................. 52
10 Définir un objet GPO sur le contrôleur de domaine pour activer les droits.................................................. 53
11 Extraction des programmes d'installation enfants du programme d'installation principal ESS .................... 54
4
Dell Data Protection | Endpoint Security Suite
Table des matières
12 Configurer le Key Server pour procéder à la désinstallation du client Encryption activé par rapport à
EE Server....................................................................................................................................................... 55
Écran des services - Ajouter un utilisateur du compte de domaine...........................................................................55
Fichier de configuration du Serveur de clés - Ajouter un utilisateur pour la communication avec l'EE Server....55
Exemple de fichier de configuration........................................................................................................................ 56
Écran des services - Redémarrer le service Key Server............................................................................................. 57
Console de gestion à distance - Ajouter un administrateur d'analyse approfondie..................................................57
13 Utiliser l'utilitaire Administrative Download (CMGAd).................................................................................58
Utiliser l'utilitaire de téléchargement administratif en mode d'analyse approfondie................................................ 58
Utiliser l'utilitaire de téléchargement administratif en mode Admin...........................................................................59
14 Dépannage................................................................................................................................................. 60
Tous les clients - Dépannage.......................................................................................................................................... 60
Dépannage du client Encryption et .............................................................................................................................. 60
Mise à niveau vers la mise à jour Windows 10 Anniversary.................................................................................. 60
Création d'un fichier journal Encryption Removal Agent (facultatif)...................................................................60
Trouver la version de TSS.......................................................................................................................................... 61
Interactions EMS et PCS...........................................................................................................................................61
Utiliser WSScan.......................................................................................................................................................... 61
Utiliser WSProbe........................................................................................................................................................ 64
Vérification de l'état d'Encryption Removal Agent................................................................................................ 65
Dépannage du client SED............................................................................................................................................... 66
Utiliser la règle Code d'accès initial.......................................................................................................................... 66
Créer un fichier journal d'authentification avant démarrage dans une optique de dépannage........................ 67
Pilotes Dell ControlVault.................................................................................................................................................. 67
Mettre à jour les pilotes et le micrologiciel Dell ControlVault................................................................................ 67
Ordinateurs UEFI..............................................................................................................................................................69
Résolution des problèmes de réseau....................................................................................................................... 69
TPM et BitLocker.............................................................................................................................................................69
Codes d'erreur TPM et BitLocker............................................................................................................................69
15 Glossaire....................................................................................................................................................101
Dell Data Protection | Endpoint Security Suite
Table des matières
5
1
Introduction
Ce guide présente l'installation et la configuration de Threat Protection, du client Encryption, du client de gestion SED, d'Advanced
Authentication et de BitLocker Manager.
Toutes les informations relatives aux règles ainsi que leur description se trouvent dans AdminHelp.
Avant de commencer
1
Installez l'EE Server/VE Server avant de déployer les clients. Localisez le guide qui convient tel qu'illustré ci-dessous, suivez les
instructions puis revenez à ce guide.
•
DDP Enterprise Server Installation and Migration Guide (Guide d'installation et de migration de DDP Enterprise Server)
•
DDP Enterprise Server - Virtual Edition Quick Start Guide and Installation Guide (DDP Enterprise Server - Guide de démarrage
rapide et Guide d'installation de Virtual Edition)
Vérifiez que les stratégies sont définies comme vous le souhaitez. Naviguez dans AdminHelp, disponible à partir du « ? » à
l'extrême-droite de l'écran. La page AdminHelp est une aide de niveau page, conçue pour vous aider à configurer et à modifier une
stratégie et à comprendre les options disponibles avec votre EE Server/VE Server.
2
Lisez attentivement le chapitre Configuration requise de ce document.
3
Déployez les clients sur les utilisateurs finaux.
Utilisation de ce Guide
Utilisez le présent guide dans l'ordre suivant :
•
Voir Configuration requise pour connaître les prérequis du client, des informations sur le matériel et le logiciel de l'ordinateur, les limites et
les modifications spéciales du registre nécessaires aux fonctions.
•
Si nécessaire, consultez Configuration avant installation pour OTP (Mot de passe à usage unique), SED UEFI et BitLocker.
•
Si vos clients doivent être autorisés à utiliser Dell Digital Delivery (DDD), reportez-vous à Définir GPO sur un contrôleur de domaine pour
activer les droits.
•
Si vous installez les clients à l'aide du programme d'installation principal ESS , reportez-vous à :
•
Installation de manière interactive à l'aide du programme d'installation principal ESS
ou
•
•
Installation par ligne de commande à l'aide du programme d'installation principal ESS
Si vous installez des clients à l'aide des programmes d'installation enfants, les fichiers exécutables des programmes d'installation enfants
doivent être extraits du programme d'installation principal ESS. Reportez-vous à Extraire les programmes d'installation enfants du
programme d'installation principal ESS , puis revenez ici.
•
6
Installer des programmes d'installation enfants par ligne de commande :
•
Installation des pilotes : téléchargez les pilotes et le micrologiciel appropriés en fonction de votre matériel d'authentification.
•
Installation du client Encryption : ces instructions permettent d'installer le client Encryption, un composant qui applique les
règles de sécurité, qu'un ordinateur soit connecté au réseau, déconnecté du réseau, perdu ou volé.
Dell Data Protection | Endpoint Security Suite
Introduction
•
•
Installer les clients Threat Protection - utilisez ces instructions pour installer les clientsThreat Protection, qui comprennent les
éléments de protection suivants basés sur des stratégies :
•
Protection contre les programmes malveillants : détecte les virus, logiciels espions, programmes indésirables et autres
menaces en analysant automatiquement les éléments au moment où les utilisateurs y accèdent ou bien à tout moment, à la
demande.
•
Pare-feu client : surveille la communication entre l'ordinateur et les ressources du réseau et Internet. Intercepte les
communications suspicieuses.
•
Filtre Web - affiche les niveaux de sécurité et les rapports des sites Web pendant la navigation et la recherche en ligne. La
fonction de filtrage Internet (Web Filtering) permet à l'administrateur de sites de bloquer l'accès aux sites Web en fonction
de leur niveau de sécurité ou de leur contenu.
Installer les clients SED Management et Advanced Authentication : utilisez ces instructions pour installer un logiciel de cryptage
pour les SED. Les disques à auto-cryptage assurent leur propre cryptage, mais ils ont besoin d'une plate-forme pour gérer le
cryptage et les règles. Avec la gestion SED, toutes les règles, le stockage et la récupération des clés de cryptage sont
disponibles à partir d'une même console, ce qui réduit le risque de manque de protection des ordinateurs en cas de perte
d'accès ou d'accès non autorisé.
Le client Advanced Authentication gère plusieurs méthodes d'authentification, notamment PBA pour les SED, Single Sign-on
(SSO) et les identifiants d'utilisateur tels que les empreintes digitales et les mots de passe. De plus, il fournit des fonctions
Advanced Authentication permettant d'accéder à des sites et applications Web.
•
Installer BitLocker Manager Client - utilisez ces instructions pour installer le client BitLocker Manager, conçu pour renforcer la
sécurité des déploiements BitLocker et pour simplifier et réduire le coût de possession.
REMARQUE :
La plupart des programmes d'installation enfants peuvent être installés de façon interactive, mais de telles
installations ne sont pas décrites dans ce guide.
•
Reportez-vous à Scénarios couramment utilisés pour consulter les scripts de nos scénarios les plus couramment utilisés.
Contacter Dell ProSupport
Appelez le 877-459-7304, poste 4310039, afin de recevoir 24h/24, 7j/7 une assistance téléphonique concernant votre produit Dell Data
Protection.
Un support en ligne pour les produits Dell Data Protection est en outre disponible à l'adresse dell.com/support. Le support en ligne englobe
les pilotes, les manuels, des conseils techniques et des réponses aux questions fréquentes et émergentes.
Aidez-nous à vous mettre rapidement en contact avec l'expert technique approprié en ayant votre Code de service à portée de main lors de
votre appel.
Pour les numéros de téléphone en dehors des États-Unis, consultez Numéros de téléphone internationaux Dell ProSupport .
Dell Data Protection | Endpoint Security Suite
Introduction
7
2
Configuration requise
Tous les clients
Ces exigences s'appliquent à tous les clients. Les exigences répertoriées dans d'autres sections s'appliquent à des clients particuliers.
•
Les meilleures pratiques informatiques doivent être suivies pendant le déploiement. Ceci inclut, sans s'y limiter, les environnements de
test contrôlés pour les premiers tests et les déploiements échelonnés pour les utilisateurs.
•
Le compte utilisateur servant à l'installation/la mise à jour/la désinstallation doit correspondre à un administrateur local ou de domaine,
qui peut être affecté temporairement par un outil de déploiement tel que Microsoft SMS ou Dell KACE. Les utilisateurs nonadministrateurs et disposant de privilèges particuliers ne sont pas pris en charge.
•
Sauvegardez toutes les données importantes avant de démarrer l'installation ou la désinstallation.
•
Lors de l'installation, n'apportez aucune modification à l'ordinateur, notamment, n'insérez ou ne retirez pas de lecteurs externes (USB).
•
Assurez-vous que le port de sortie 443 est disponible pour communiquer avec l'EE Server/VE Server si les clients du programme
d'installation principal ESS possèdent le droit d'utiliser Dell Digital Delivery (DDD). La fonctionnalité de droit ne fonctionnera pas si le
port 443 est bloqué (pour quelque raison que ce soit). DDD n'est pas utilisé si l'installation est effectuée à l'aide des programmes
d'installation enfants.
•
Consultez régulièrement la rubrique www.dell.com/support pour obtenir la dernière documentation et conseils techniques.
Configuration requise pour tous les clients
•
Microsoft .Net Framework 4.5.2 (ou version ultérieure) est nécessaire pour les clients des programmes d'installation principal et enfant
ESS. Le programme d'installation n'installe pas le composant Microsoft .Net Framework.
La version complète de Microsoft .Net Framework 4.5.2. (ou version ultérieure) est pré-installée sur tous les ordinateurs expédiés par
l'usine Dell. Cependant, si vous n'effectuez pas l'installation sur du matériel Dell ou que vous procédez à une mise à niveau sur du
matériel Dell plus ancien, vous devez vérifier la version de Microsoft .Net installée et la mettre à jour avant d'installer le client pour
éviter tout échec d'installation/de mise à niveau. Pour vérifier la version de Microsoft .Net installée, suivez ces instructions sur
l'ordinateur ciblé pour installation : http://msdn.microsoft.com/en-us/library/hh925568(v=vs.110).aspx. Pour installer Microsoft .Net
Framework 4.5.2, accédez à https://www.microsoft.com/en-us/download/details.aspx?id=42643.
•
Les pilotes et le micrologiciel de ControlVault, les lecteurs d'empreintes et les cartes à puce (répertoriés ci-dessous) ne sont pas inclus
dans le programme d'installation principal ESS ni dans les fichiers exécutables des programmes d'installation enfants. Les pilotes et le
micrologiciel doivent être conservés à jour et peuvent être téléchargés à partir de http://www.dell.com/support en sélectionnant votre
modèle d'ordinateur. Téléchargez les pilotes et le logiciel appropriés en fonction de votre matériel d'authentification.
•
ControlVault
•
NEXT Biometrics Fingerprint Driver
•
Pilote Validity FingerPrint Reader 495
•
Pilote de carte à puce O2Micro
Si vous installez du matériel autre que Dell, téléchargez les pilotes et le logiciel mis à jour depuis le site internet du fournisseur. Des
instructions d'installation pour les pilotes ControlVault sont fournies dans Mise à jour des pilotes et du micrologiciel Dell ControlVault.
Matériel pour tous les clients
•
Le tableau suivant répertorie les matériels informatiques compatibles.
8
Dell Data Protection | Endpoint Security Suite
Configuration requise
Matériel
•
La configuration minimale requise doit répondre aux spécifications minimales du système d'exploitation.
Tous les clients - Langues prises en charge
•
Les clients BitLocker Manager, Encryption Threat Protection, et sont compatibles avec l'interface utilisateur multilingue (MUI) et
prennent en charge les langues suivantes.
Langues prises en charge
•
•
EN : anglais
•
JA : japonais
•
ES : espagnol
•
KO : coréen
•
FR : français
•
PT-BR : portugais brésilien
•
IT : italien
•
PT-PT : portugais du Portugal (ibère)
•
DE : allemand
Les clients SED et Advanced Authentication sont compatibles avec l'interface utilisateur multilingue (MUI – Multilingual User Interface)
et prennent en charge les langues suivantes. Le mode UEFI et l'authentification avant démarrage ne sont pas pris en charge en russe,
chinois traditionnel et chinois simplifié.
Langues prises en charge
•
EN : anglais
•
KO : coréen
•
FR : français
•
ZH-CN : chinois simplifié
•
IT : italien
•
ZH-TW : chinois traditionnel/de Taïwan
•
DE : allemand
•
PT-BR : portugais brésilien
•
ES : espagnol
•
PT-PT : portugais du Portugal (ibère)
•
JA : japonais
•
RU : russe
Client Encryption
•
L'ordinateur client doit posséder une connexion active au réseau pour être activé.
•
Pour réduire la durée du cryptage initial, lancez l'Assistant Nettoyage de disque Windows qui supprimera les fichiers temporaires et toute
autre donnée inutile.
•
Désactivez le mode Veille lors du balayage de cryptage initial pour prévenir la mise en veille d'un ordinateur lors des périodes d'inactivité.
Le cryptage ne peut pas être exécuté sur un ordinateur en veille (le décryptage non plus).
•
Le client Encryption ne prend pas en charge les configurations à double démarrage dans la mesure où il est possible de crypter les
fichiers système de l'autre système d'exploitation, ce qui perturberait son fonctionnement.
•
Le client Encryption prend désormais en charge le mode Audit. Le mode Audit permet aux administrateurs de déployer le client
Encryption dans le cadre de l'image d'entreprise, plutôt que d'utiliser un SCCM tiers ou des solutions similaires pour déployer le client
Encryption. Pour obtenir des instructions relatives à l'installation du client Encryption dans une image d'entreprise, voir http://
www.dell.com/support/article/us/en/19/SLN304039.
•
Le client Encryption a été testé et est compatible avec McAfee, le client Symantec, Kaspersky et MalwareBytes. Les exclusions codées
en dur sont en place afin que ces fournisseurs d'antivirus puissent prévenir les incompatibilités entre le balayage et le cryptage des
antivirus. Le client Encryption a aussi été testé avec Microsoft Enhanced Mitigation Experience Toolkit.
Dell Data Protection | Endpoint Security Suite
Configuration requise
9
Si votre entreprise utilise un fournisseur d'antivirus qui n'est pas répertorié, consultez http://www.dell.com/support/Article/us/en/19/
SLN298707 ou contactez Dell ProSupport
•
Le module TPM (Trusted Platform Module) permet de sceller la clé GPK. Par conséquent, si vous exécutez le client Encryption,
supprimez le module TPM du BIOS avant d'installer un nouveau système d'exploitation sur l'ordinateur client.
•
La mise à niveau du système d'exploitation sur place n'est pas prise en charge avec le client Encryption installé. Effectuez une
désinstallation et un décryptage du client Encryption et une mise à niveau au nouveau système d'exploitation, puis réinstallez le client
Encryption.
Par ailleurs, la réinstallation du système d'exploitation n'est pas prise en charge. Pour réinstaller le système d'exploitation, effectuez une
sauvegarde de l'ordinateur cible, effacez le contenu de l'ordinateur, installez le système d'exploitation, puis récupérez les données
cryptées selon les procédures de récupération établies ci-après.
Configuration requise du client Encryption
•
Le programme d'installation principal ESS installe Microsoft Visual C++ 2012 Mise à jour 4 s'il n'est pas déjà installé sur l'ordinateur. Lors
de l'utilisation du programme d'installation enfant, vous devez installer ce composant avant d'installer le client Encryption.
Conditions requises
•
Visual C++ 2012 Redistributable Package (x86 and x64) Mise à jour 4 ou ultérieure
Matériel du client Encryption
•
Le tableau suivant répertorie en détail le matériel compatible.
Matériel intégré en option
•
TPM 1.2 ou 2.0
Systèmes d'exploitation du client Encryption
•
Le tableau suivant décrit les systèmes d'exploitation pris en charge.
Systèmes d'exploitation Windows (32 bits et 64 bits)
•
•
•
•
•
•
•
Windows 7 SP0-SP1 : Enterprise, Professional, Ultimate
Windows Embedded Standard 7 doté du modèle Application Compatibility (Compatibilité de l'application) (le matériel de cryptage
n'est pas pris en charge)
Windows 8 : Enterprise, Pro
Windows 8.1 Mise à jour 0-1 : Enterprise Edition, Pro Edition
Windows Embedded 8.1 Industry Enterprise (le matériel de cryptage n'est pas pris en charge)
Windows 10 : Education, Enterprise, Pro
VMWare Workstation 5.5 et version supérieure
REMARQUE :
Le mode UEFI n'est pas pris en charge sur Windows 7, Windows Embedded Standard 7 ou Windows Embedded 8.1
Industry Enterprise.
10
Dell Data Protection | Endpoint Security Suite
Configuration requise
Systèmes d'exploitation prenant en charge External Media
Shield (EMS)
•
Le tableau suivant répertorie les systèmes d'exploitation pris en charge lors de l'accès aux supports protégés par EMS.
REMARQUE :
Pour héberger EMS, le support externe doit disposer d'environ 55 Mo ainsi que d'un espace libre sur le support égal au plus
gros fichier à crypter.
REMARQUE :
Windows XP est pris en charge lors de l'utilisation de EMS Explorer uniquement.
Systèmes d'exploitation pris en charge pour accéder à un support protégé par EMS (32 bits et 64 bits)
•
•
•
•
Windows 7 SP0-SP1 : Enterprise, Professional, Ultimate, Home Premium
Windows 8 : Enterprise, Pro, Grand public
Windows 8.1 Mise à jour 0-1 : Enterprise Edition, Pro Edition
Windows 10 : Education, Enterprise, Pro
Systèmes d'exploitation Mac pris en charge pour accéder à un support protégé par EMS (noyaux 64 bits)
•
•
•
Mac OS X Yosemite 10.10.5
Mac OS X El Capitan 10.11.6
Mac OS Sierra 10.12.0
Client Threat Protection
•
Les clients Threat Protection me peuvent pas être installés sans que le client Encryption soit détecté sur l'ordinateur. L'installation
échouera si vous tentez de l'effectuer.
•
L'installation de Threat Protection exige la connexion de l'ordinateur au réseau.
•
Désinstallez les applications antivirus, anti-programmes malveillants, anti-espions et pare-feu des autres fournisseurs avant d'installer les
clients Threat Protection, afin d'éviter tout échec d'installation d'ESS. Windows Defender ou Endpoint Security Suite ne font pas partie
des logiciels conflictuels.
•
La fonction Web Protection est prise en charge par Internet Explorer uniquement.
Systèmes d'exploitation des clients Threat Protection
•
Le tableau suivant répertorie les systèmes d'exploitation pris en charge.
Systèmes d'exploitation Windows (32 bits et 64 bits)
•
•
•
•
Windows 7 SP0-SP1 : Enterprise, Professional, Ultimate
Windows 8 : Enterprise, Pro
Windows 8.1 Mise à jour 0-1 : Enterprise Edition, Pro Edition
Windows 10 : Education, Enterprise, Pro
Dell Data Protection | Endpoint Security Suite
Configuration requise
11
Ports des clients Threat Protection
•
Pour garantir que les clients de la protection contre les menaces reçoivent les dernières mises à jour de protection contre les menaces,
les ports 443 et 80 doivent être disponibles afin que le client puisse communiquer avec les différents serveurs de destination. Si les
ports bloqués pour une raison quelconque, les mises à jour de signatures antivirus (fichiers DAT) ne pourront pas être téléchargées et
les ordinateurs ne pourront pas bénéficier de la protection la plus récente. Assurez-vous que les ordinateurs clients peuvent accéder aux
URL comme suit.
Utiliser
Protocole
Protocole Numéro de
d'applicatio de
port
n
transport
:
Destination
Direction
Mises à jour
antivirus
HTTP
TCP
443/fallback
80
vs.mcafeeasap.com
Sortant
Moteur antivirus
Engine/Mises à
jour des
signatures
SSL
TCP
443
vs.mcafeeasap.com
Sortant
Moteur anti-spam HTTP
TCP
443
vs.mcafeeasap.com
Sortant
Règles anti-spam HTTP
et mise à jour de la
lecture en continu
TCP
80
vs.mcafeeasap.com
Sortant
Remarques
Types de paquets :
X-SU3X-SU3 Composant-Nom
X-SU3-TypeComposant-Type XSU3-Statut
Service de
réputation
SSL
TCP
443
tunnel.web.trustedsource.org
Sortant
Commentaires
relatif au service
de réputation
SSL
TCP
443
gtifeedback.trustedsource.or
g
Sortant
Gestionnaire de
quarantaine
HTTP
TCP
80
Votre EE Server/VE Server
Bidirectionnel
Mise à jour de la
base de données
de la réputation
des URL
HTTP
TCP
80
list.smartfilter.com
Sortant
Recherche de
réputation des
URL
SSL
TCP
443
tunnel.web.trustedsource.org
Sortant
HTTPS
443
Client SED
•
Pour que l'installation de SED réussisse, l'ordinateur doit disposer d'une connectivité à un réseau filaire.
•
IPv6 n'est pas pris en charge.
•
Après avoir appliqué des règles, préparez-vous à redémarrer l'ordinateur avant de pouvoir les mettre en application.
12
Dell Data Protection | Endpoint Security Suite
Configuration requise
•
Les ordinateurs équipés de disques auto-cryptables ne peuvent pas être utilisés avec des cartes HCA. Il existe des incompatibilités qui
empêchent le provisionnement des accélérateurs HCA. Notez que Dell ne vend pas d'ordinateurs comportant des disques à autocryptage prenant en charge le module HCA. Cette configuration non prise en charge est une configuration après-vente.
•
Si l'ordinateur ciblé pour cryptage est équipé d'un accélérateur d'un lecteur à cryptage automatique, vérifiez que l'option Active
Directory, l'utilisateur doit changer de mot passe lors de la prochaine connexion, est désactivée. L'authentification avant démarrage ne
prend pas en charge cette option Active Directory.
•
Dell vous déconseille de changer de méthode d'authentification après avoir activé la règle PBA. Si vous devez changer de méthode
d'authentification, vous devez :
•
Supprimez tous les utilisateurs de la PBA.
ou
•
Désactivez la PBA, changez de méthode d'authentification, puis ré-activez la PBA.
IMPORTANT:
En raison de la nature du RAID et des SED, la gestion des SED ne prend pas en charge le RAID. RAID=On avec disques
SED présente un problème : le RAID exige un accès au disque pour la lecture et l'écriture des données associées au
RAID dans un secteur élevé non disponible sur un SED verrouillé dès le début, et, pour lire ces données, ne peut pas
attendre que l'utilisateur se connecte. Pour résoudre le problème, dans le BIOS, définissez l'opération SATA sur AHCI au
lieu de RAID=On. Si les pilotes de contrôleur AHCI ne sont pas pré-installés sur le système d'exploitation, ce dernier
affichera un écran bleu lors du passage de RAID=On à AHCI.
•
La gestion des SED n'est pas prise en charge avec Server Encryption.
Pilotes OPAL
•
Les lecteurs SED compatibles Opal pris en charge exigent les pilotes Intel Rapid Storage Technology mis à jour, situés sur http://
www.dell.com/support.
Conditions préalables du client SED
•
Le programme d'installation principal ESS installe Microsoft Visual C++ 2010 SP1 et Microsoft Visual C++ 2012 Mise à jour 4 s'ils ne
sont pas déjà installés sur l'ordinateur. Lors de l'utilisation du programme d'installation enfant, vous devez installer ce composant
avant d'installer SED Management.
Pré-requis
•
•
Visual C++ 2010 SP1 ou version ultérieure - Package redistribuable (x86 et x64)
Visual C++ 2012 Redistributable Package (x86 and x64) Mise à jour 4 ou ultérieure
Matériel du client SED
Lecteurs SED compatibles Opal
•
Pour consulter la toute dernière liste de SED compatibles Opal pris en charge avec la gestion des SED, reportez-vous à l'article suivant
de la base de connaissances : http://www.dell.com/support/article/us/en/19/SLN296720.
Modèles informatiques Dell pris en charge avec UEFI
•
Le tableau suivant répertorie les modèles d'ordinateurs Dell pris en charge avec UEFI.
Dell Data Protection | Endpoint Security Suite
Configuration requise
13
Modèles d'ordinateur Dell - Prise en charge d'UEFI
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Latitude 5280
Latitude 5480
Latitude 5580
Latitude 7370
Latitude E5270
Latitude E5470
Latitude E5570
Latitude E7240
Latitude E7250
Latitude E7260
Latitude E7265
Latitude E7270
Latitude E7275
Latitude E7280
Latitude E7350
Latitude E740
Latitude E7450
Latitude E7460
Latitude E7470
Latitude E7480
Latitude 12 Rugged Extreme
Latitude 12 Rugged Tablet
(modèle 7202)
Latitude 14 Rugged Extreme
Latitude 14 Rugged
•
•
•
•
•
•
•
•
•
•
•
•
Precision M3510
Precision M4800
Precision M5510
Precision M5520
Precision M6800
Precision M7510
Precision M7520
Precision M7710
Precision M7720
Precision T3420
Precision T3620
Precision T7810
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Optiplex 3040 micro, Minitour et compact
Optiplex 3046
OptiPlex 3050 All-In-One
Tour OptiPlex 3050, petit
facteur de forme, micro
Optiplex 5040 Mini-tour et
compact
Tour OptiPlex 5050, petit
facteur de forme, micro
OptiPlex 7020
Optiplex 7040 micro, Minitour et compact
Tour OptiPlex 7050, petit
facteur de forme, micro
Optiplex 3240 All-In-One
OptiPlex 5250 tout-en-un
Optiplex 7440 All-In-One
OptiPlex 7450 tout-en-un
OptiPlex 9020 Micro
•
•
Venue Pro 11 (Modèles
5175/5179)
Venue Pro 11 (Modèle 7139)
REMARQUE :
Les fonctions d'authentification sont prises en charge avec le mode UEFI sur ces ordinateurs exécutant Windows 8, Windows
8.1 et Windows 10 avec des disques qualifiés SED compatibles OPAL. Les autres ordinateurs exécutant Windows 7, Windows 8,
Windows 8.1 et Windows 10 prennent en charge le mode d'Amorçage hérité.
Claviers internationaux
•
Le tableau suivant répertorie les claviers internationaux pris en charge avec l'authentification de préamorçage sur les ordinateurs avec
ou sans UEFI.
Clavier international pris en charge - UEFI
•
DE-CH : suisse allemand
•
DE-FR : suisse français
Clavier International prise en charge : Non-UEFI
14
•
AR - Arabe (avec lettres latines)
•
DE-CH : suisse allemand
•
DE-FR : suisse français
Dell Data Protection | Endpoint Security Suite
Configuration requise
Systèmes d'exploitation du client SED
•
Le tableau suivant décrit les systèmes d'exploitation pris en charge.
Systèmes d'exploitation Windows (32 bits et 64 bits)
•
Windows 7 SP0-SP1 : Enterprise, Professionnel (pris en charge par mode Legacy Boot, mais pas par UEFI)
REMARQUE :
Le mode Legacy Boot est pris en charge sur Windows 7. UEFI n'est pas pris en charge sur Windows 7.
•
•
•
Windows 8 : Enterprise, Pro
Windows 8.1 : Enterprise Edition, Pro Edition
Windows 10 : Education, Enterprise, Pro
Client Advanced Authentication
•
Lors de l'utilisation d'Advanced Authentication, vous sécuriserez l'accès à cet ordinateur à l'aide des identifiants d'authentification
avancée gérés et enregistrés grâce à Security Tools. Security Tools est désormais le principal gestionnaire des identifiants
d'authentification pour la connexion Windows, y compris le mot de passe, les empreintes digitales et les cartes à puce Windows. Les
identifiants de type mot de passe image, code PIN et empreintes enregistrés à l'aide du système d'exploitation Microsoft ne seront pas
reconnus lors de la connexion à Windows.
Pour continuer à utiliser le système d'exploitation Microsoft pour gérer vos identifiants, désinstallez Security Tools ou ne l'installez pas.
•
La fonctionnalité de mot de passe à usage unique (OTP) des outils de sécurité nécessite qu'un TPM soit présent, activé et détenu. OTP
est pas pris en charge avec TPM 2.0 . Pour effacer et configurer la propriété du TPM, voir https://technet.microsoft.com.
•
Le TPM n'est pas nécessaire sur un disque SED pour l'authentification avancée ou le cryptage.
Matériel de client d'authentification avancée
•
Le tableau suivant répertorie le matériel d'authentification informatique compatible.
Lecteurs de cartes à puces et d'empreintes digitales
•
•
•
•
Validity VFS495 en mode sécurisé
Lecteur à fente ControlVault
Lecteur sécurisé UPEK TCS1 FIPS 201 1.6.3.379
Lecteurs USB Authentec Eikon et Eikon To Go
Cartes sans contact
•
Cartes sans contact utilisant des lecteurs de carte sans contact intégrés dans des ordinateurs portables Dell spécifiques
Cartes à puce
•
Cartes à puce PKCS #11 utilisant le client ActivIdentity
REMARQUE :
Le client ActivIdentity n'est pas pré-chargé et doit être installé séparément.
•
•
Cartes CSP
Cartes CAC (Common Access Cards)
Dell Data Protection | Endpoint Security Suite
Configuration requise
15
Cartes à puce
•
•
Cartes réseau de catégorie B/SIPR
Le tableau suivant répertorie les modèles d'ordinateurs Dell pris en charge avec les cartes réseau SIPR.
Modèles d'ordinateurs Dell - Prise en charge de carte réseau de classe B/SIPR
•
•
Latitude E6440
Latitude E6540
•
•
•
Precision M2800
Precision M4800
Precision M6800
•
•
•
Latitude 14 Rugged Extreme
Latitude 12 Rugged Extreme
Latitude 14 Rugged
Systèmes d'exploitation du client Advanced Authentication
(Authentification avancée)
Systèmes d'exploitation Windows
•
Le tableau suivant décrit les systèmes d'exploitation pris en charge.
Systèmes d'exploitation Windows (32 bits et 64 bits)
•
•
•
•
Windows 7 SP0-SP1 : Enterprise, Professional, Ultimate
Windows 8 : Enterprise, Pro
Windows 8.1 Mise à jour 0-1 : Enterprise Edition, Pro Edition
Windows 10 : Education, Enterprise, Pro
REMARQUE : Le mode UEFI n'est pas pris en charge par Windows 7.
Systèmes d'exploitation de périphériques mobiles
•
Les systèmes d'exploitation mobiles suivants sont pris en charge avec la fonction de mot de passe à usage unique (OTP) de Security
Tools.
Systèmes d'exploitation Android
•
•
•
•
4.0 - 4.0.4 Ice Cream Sandwich
4.1 - 4.3.1 Jelly Bean
4.4 - 4.4.4 KitKat
5.0 - 5.1.1 Lollipop
Systèmes d'exploitation iOS
•
•
iOS 7.x
iOS 8.x
Systèmes d'exploitation Windows Phone
•
•
Windows Phone 8.1
Windows 10 Mobile
Client BitLocker Manager
•
Envisagez de revoir la Configuration requise de Microsoft BitLocker si BitLocker n'est pas encore déployé dans votre environnement,
16
Dell Data Protection | Endpoint Security Suite
Configuration requise
•
Assurez-vous que la partition d'authentification avant démarrage est déjà configurée. Si vous installez BitLocker Manager avant de
configurer la partition PBA, vous ne pourrez pas activer BitLocker et BitLocker Manager ne sera pas opérationnel. Voir Configuration
préalable à l'installation d'une partition d'authentification avant démarrage BitLocker.
•
Le clavier, la souris et les composants vidéo doivent être directement connectés à l'ordinateur. N'utilisez pas de commutateur KVM pour
gérer les périphériques, car il risquerait de réduire la capacité de l'ordinateur à identifier le matériel.
•
Lancez le TPM et activez-le. Le gestionnaire BitLocker s'appropriera le TPM sans nécessiter de redémarrage. Toutefois, si le TPM est
déjà propriétaire, le gestionnaire BitLocker lance le processus de configuration du cryptage (aucun redémarrage n'est nécessaire). Ce qui
compte, c'est que le TPM soit « propriétaire » et activé.
•
Le client BitLocker Manager utilise les algorithmes validés AES FIPS si le mode FIPS est activé pour le paramètre de sécurité GPO
« cryptographie système : utiliser les algorithmes compatibles FIPS pour le cryptage, le hachage et la signature » sur le périphérique et
si vous gérez ce périphérique via notre produit. Nous ne forçons pas ce mode en tant que mode par défaut pour les clients cryptés par
BitLocker, car Microsoft suggère désormais à ses clients de ne pas utiliser leur cryptage validé par FIPS en raison de nombreux
problèmes de compatibilité des applications, de récupération et de cryptage des supports : http://blogs.technet.com.
Configuration requise pour le client BitLocker Manager
•
Le programme d'installation principal ESS installe Microsoft Visual C++ 2010 SP1 et Microsoft Visual C++ 2012 Mise à jour 4 s'ils ne
sont pas déjà installés sur l'ordinateur. Lors de l'utilisation du programme d'installation enfant, vous devez installer ces composants
avant d'installer BitLocker Manager.
Pré-requis
•
•
Visual C++ 2010 SP1 ou version ultérieure - Package redistribuable (x86 et x64)
Visual C++ 2012 Redistributable Package (x86 and x64) Mise à jour 4 ou ultérieure
Systèmes d'exploitation du client BitLocker Manager
•
Le tableau suivant décrit les systèmes d'exploitation pris en charge.
Systèmes d'exploitation Windows
•
•
•
•
•
•
•
•
Windows 7 SP0-SP1 : Enterprise, Ultimate (32 et 64 bits)
Windows 8 : Enterprise (64 bits)
Windows 8.1 : Enterprise Edition, Pro Edition (64 bits)
Windows 10 : Education, Enterprise, Pro
Windows Server 2008 R2 : Standard Edition, Enterprise Edition (64 bits)
Windows Server 2012
Windows Server 2012 R2 : Standard Edition, Enterprise Edition (64 bits)
Windows Server 2016
Options d'authentification
•
Les options d'authentification suivantes nécessitent un matériel spécifique : Empreintes digitales, Cartes à puce, Cartes sans contact,
Cartes réseau de classe B/SIPR, et authentification sur ordinateurs UEFI. Les options suivantes nécessitent des configurations : cartes
à puce avec authentification Windows, cartes à puce avec Authentification avant démarrage et mot de passe à usage unique. Les
tableaux suivants montrent les options d'authentification disponibles par système d'exploitation, lorsque les conditions en terme de
configuration et de matériel sont remplies.
Dell Data Protection | Endpoint Security Suite
Configuration requise
17
Client Encryption
Non UEFI
PBA
Mot de
passe
Authentification Windows
Empr.
digit.
Carte à
puce à
contact
OTP
Carte SIP Mot de
R
passe
Empr.
digit.
Carte à
puce
OTP
Carte SIP
R
Windows 7 SP0SP1
X
X2
X2
X1
X2
Windows 8
X
X2
X2
X1
X2
Windows 8.1 Mise
à jour 0-1
X
X2
X2
X1
X2
Windows 10
X
X2
X2
X1
X2
1. Disponible en cas d'installation avec le programme d'installation principal ou avec le progiciel Advanced Authentication lors de l'utilisation
des programmes d'installation enfants.
2. Disponible lorsque les pilotes d'authentification sont téléchargés depuis support.dell.com.
UEFI
PBA - sur les ordinateurs Dell pris en charge
Mot de
passe
Empr.
digit.
Carte à
puce à
contact
OTP
Authentification Windows
Carte SIP Mot de
R
passe
Empr.
digit.
Carte à
puce
OTP
Carte SIP
R
Windows 7 SP0SP1
Windows 8
X
X2
X2
X1
X2
Windows 8.1 Mise
à jour 0-1
X
X2
X2
X1
X2
Windows 10
X
X2
X2
X1
X2
1. Disponible en cas d'installation avec le programme d'installation principal ou avec le progiciel Advanced Authentication lors de l'utilisation
des programmes d'installation enfants.
2. Disponible lorsque les pilotes d'authentification sont téléchargés depuis support.dell.com.
18
Dell Data Protection | Endpoint Security Suite
Configuration requise
Client SED
Non UEFI
PBA
Mot de
passe
Authentification Windows
Empr.
digit.
Carte à
puce à
contact
OTP
Carte SIP Mot de
R
passe
Empr.
digit.
Carte à
puce
OTP
Carte SIP
R
Windows 7 SP0SP1
X2
X2 3
X
X3
X3
X1
X3
Windows 8
X2
X2 3
X
X3
X3
X1
X3
Windows 8.1
X2
X2 3
X
X3
X3
X1
X3
Windows 10
X2
X2 3
X
X3
X3
X1
X3
1. Disponible en cas d'installation avec le programme d'installation principal ou avec le progiciel Advanced Authentication lors de l'utilisation
des programmes d'installation enfants.
2. Disponible lorsque les pilotes d'authentification sont téléchargés depuis support.dell.com.
3. Disponible avec un SED Opal pris en charge.
UEFI
PBA - sur les ordinateurs Dell pris en charge
Mot de
passe
Empr.
digit.
Carte à
puce à
contact
OTP
Authentification Windows
Carte SIP Mot de
R
passe
Empr.
digit.
Carte à
puce
OTP
Carte SIP
R
Windows 7
Windows 8
X4
X
X2
X2
X1
X2
Windows 8.1
X4
X
X2
X2
X1
X2
Windows 10
X4
X
X2
X2
X1
X2
1. Disponible en cas d'installation avec le programme d'installation principal ou avec le progiciel Advanced Authentication lors de l'utilisation
des programmes d'installation enfants.
2. Disponible lorsque les pilotes d'authentification sont téléchargés depuis support.dell.com.
4. Disponible avec un SED OPAL pris en charge sur les ordinateurs UEFI pris en charge.
Dell Data Protection | Endpoint Security Suite
Configuration requise
19
Gestionnaire BitLocker
Non UEFI
PBA 5
Mot de
passe
Authentification Windows
Empr.
digit.
Carte à
puce à
contact
OTP
Carte SIP Mot de
R
passe
Empr.
digit.
Carte à
puce
OTP
Carte SIP
R
Windows 7
X
X2
X2
X1
X2
Windows 8
X
X2
X2
X1
X2
Windows 8.1
X
X2
X2
X1
X2
Windows 10
X
X2
X2
X1
X2
Windows
Server 2008 R2
(64 bits)
X
X2
1. Disponible en cas d'installation avec le programme d'installation principal ou avec le progiciel Advanced Authentication lors de l'utilisation
des programmes d'installation enfants.
2. Disponible lorsque les pilotes d'authentification sont téléchargés depuis support.dell.com.
5. Le code PIN avant démarrage de BitLocker est géré par une fonctionnalité Microsoft.
UEFI
PBA5 - sur les ordinateurs Dell pris en charge
Mot de
passe
Empr.
digit.
Carte à
puce à
contact
OTP
Authentification Windows
Carte SIP Mot de
R
passe
Empr.
digit.
Carte à
puce
OTP
Carte SIP
R
Windows 7
Windows 8
X
X2
X2
X1
X2
Windows 8.1
X
X2
X2
X1
X2
Windows 10
X
X2
X2
X1
X2
Windows
Server 2008 R2
(64 bits)
X
X2
1. Disponible en cas d'installation avec le programme d'installation principal ou avec le progiciel Advanced Authentication lors de l'utilisation
des programmes d'installation enfants.
2. Disponible lorsque les pilotes d'authentification sont téléchargés depuis support.dell.com.
5. Le code PIN avant démarrage de BitLocker est géré par une fonctionnalité Microsoft.
20
Dell Data Protection | Endpoint Security Suite
Configuration requise
3
Paramètres de registre
•
Cette section décrit en détail tous les paramètres du registre approuvé Dell ProSupport des ordinateurs clients locaux, quel que soit le
motif des paramètres de registre. Si un paramètre de registre chevauche deux produits, il est répertorié dans chaque catégorie.
•
Ces modifications de registre doivent être effectués par les administrateurs uniquement et peuvent ne pas être appropriées ou
fonctionner dans tous les scénarios.
Paramètres de registre du client Encryption
•
Si un certificat auto-signé est utilisé sur Dell Server pour Enterprise Edition pour Windows, la validation d'approbation du certificat doit
rester désactivée sur l'ordinateur client (la validation d'approbation est désactivée par défaut avec Enterprise Edition pour Windows).
Les conditions suivantes doivent être remplies avant l'activation de la validation d'approbation sur l'ordinateur client :
•
Un certificat signé par une autorité racine telle qu'Entrust ou Verisign, doit être importé dans l'EE Server/VE Server.
•
La chaîne d'approbation complète du certificat doit être stockée dans le magasin de clés Microsoft de l'ordinateur client.
•
Pour activer la validation d'approbation pour EE pour Windows, définissez la valeur d'entrée de registre suivante sur 0 sur
l'ordinateur client :
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"IgnoreCertErrors"=dword:00000000
0 = Échec si une erreur de certificat est rencontrée
1= Ignorer les erreurs
•
Pour utiliser des cartes à puce avec Windows Authentication, vous devez définir la valeur de registre suivante sur l'ordinateur client :
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1
•
Pour créer un fichier journal Encryption Removal Agent, créez l'entrée de répertoire suivante sur l'ordinateur ciblé pour le décryptage.
Voir Créer un fichier journal Encryption Removal Agent (facultatif).
[HKLM\Software\Credant\DecryptionAgent].
"LogVerbosity"=dword:2
0: aucune consignation
1 : consigne les erreurs qui bloquent l'exécution du service
2 : consigne les erreurs qui bloquent le décryptage complet des données (niveau recommandé)
3 : consigne des informations sur tous les volumes et fichiers à décrypter
5 : consigne des informations de débogage
•
Par défaut, l'icône de barre d'état système s'affiche au cours de l'installation. Utilisez le paramètre de registre suivant pour masquer les
icônes de barre d'état système pour tous les utilisateurs gérés sur un ordinateur après l'installation d'origine. Créez ou modifiez le
paramètre de registre comme suit :
Dell Data Protection | Endpoint Security Suite
Paramètres de registre
21
[HKLM\Software\CREDANT\CMGShield]
"HIDESYSTRAYICON"=dword:1
•
Par défaut, tous les fichiers temporaires qui figurent dans le répertoire c:\windows\temp sont automatiquement supprimés au cours de
l'installation. La suppression des fichiers temporaires accélère le cryptage initial et se produit avant le balayage de cryptage initial.
Cependant, si votre organisation utilise une application tierce qui nécessite de conserver la structure de fichiers dans le répertoire
\temp, empêchez cette suppression.
Pour désactiver la suppression des fichiers temporaires, créez ou modifiez le paramètre de registre de la façon suivante :
[HKLM\SOFTWARE\CREDANT\CMGShield]
"DeleteTempFiles"=REG_DWORD:0
Ne pas supprimer les fichiers temporaires augmente le temps de cryptage initial.
•
Le client Encryption affiche la durée de chaque invite de délai de mise à jour de règle pendant cinq minutes à chaque fois. Si l'utilisateur
ne répond pas à l'invite, le report suivant démarre. La dernière invite de report contient un compte à rebours et une barre d'avancement,
et elle s'affiche jusqu'à ce que l'utilisateur réponde ou que le dernier report expire et que la déconnexion/le redémarrage ait lieu.
Vous pouvez changer le comportement de l'invite utilisateur pour commencer le cryptage ou le reporter pour empêcher le traitement du
cryptage si l'utilisateur ne répond pas à l'invite. Pour ce faire, définissez le registre sur la valeur de registre suivante :
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"SnoozeBeforeSweep"=DWORD:1
Une valeur différente de zéro remplace le comportement par défaut par une alerte. Sans interaction de l'utilisateur, le traitement du
cryptage est reporté pendant le nombre définissable de reports autorisés. Le traitement de cryptage démarre au bout du délai final.
Calculez le nombre de reports maximum possible comme suit (un nombre maximum de reports implique que l'utilisateur ne répond
jamais à l'invite de report qui s'affiche chaque fois pendant 5 minutes) :
(Nombre de reports de mise à jour de règle autorisés x Durée de chaque report de mise à jour de règle) + (5 minutes x [Nombre de
reports de mise à jour de règle autorisés - 1])
•
Utilisez le paramètre de registre suivant pour faire interroger l'EE Server/VE Server par le client Encryption à la recherche d'une mise à
jour forcée de règle. Créez ou modifiez le paramètre de registre comme suit :
[HKLM\SOFTWARE\Credant\CMGShield\Notify]
"PingProxy"=DWORD value:1
Le paramètre de registre disparaît automatiquement, une fois la tâche terminée.
•
Utilisez les paramètres de registre suivants pour autoriser le client Encryption à envoyer un inventaire optimisé à l'EE Server/VE Server,
envoyer un inventaire complet à l'EE Server/VE Server ou envoyer un inventaire complet de tous les utilisateurs activés à l'EE
Server/VE Server.
•
Envoyer l'inventaire optimisé à l'EE Server/VE Server:
Créez ou modifiez le paramètre de registre comme suit :
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"OnlySendInvChanges"=REG_DWORD:1
En l'absence d'une entrée, l'inventaire optimisé est envoyé à l'EE Server/VE Server.
•
Envoyer l'inventaire complet à l'EE Server/VE Server:
Créez ou modifiez le paramètre de registre comme suit :
22
Dell Data Protection | Endpoint Security Suite
Paramètres de registre
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"OnlySendInvChanges"=REG_DWORD:0
En l'absence d'une entrée, l'inventaire optimisé est envoyé à l'EE Server/VE Server.
•
Envoyer l'inventaire complet de tous les utilisateurs activés
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"RefreshInventory"=REG_DWORD:1
Cette entrée est supprimée du registre dès qu'elle est traitée. Comme la valeur est enregistrée dans le coffre, même si l'ordinateur
est redémarré avant le chargement de l'inventaire, le client Encryption répond à cette demande lors du prochain chargement réussi
de l'inventaire.
Cette entrée a précédence sur la valeur de registre OnlySendInvChanges.
•
L'activation par laps de temps est une fonction qui vous permet de répartir les activations des clients sur une période de temps donnée
afin d'alléger la charge de l'EE Server/VE Server au cours d'un déploiement en masse. Les activations sont retardées selon les laps de
temps générés pour fournir une distribution sans heurt des temps d'activation.
Dans le cas des utilisateurs exigeant une activation par l'intermédiaire d'un VPN, une configuration d'activation du client par laps de
temps peut être requise, afin de retarder l'activation initiale assez longtemps pour réserver du temps nécessaire au client VPN pour
établir une connexion réseau.
IMPORTANT:
Configurez l'Activation par laps de temps uniquement avec l'assistance de Dell ProSupport. Si la configuration des laps de temps
est incorrecte, de nombreux clients risquent de tenter simultanément de s'activer sur un EE Server/VE Server, ce qui créerait
de graves problèmes potentiels de performances.
Pour que les mises à jour de ces entrées de registre entrent en vigueur, l'ordinateur doit être redémarré.
•
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SlottedActivation]
Active ou désactive l'Activation par laps de temps
Désactivé=0 (par défaut)
Activé=1
•
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\CalRepeat]
Durée en secondes de la période d'intervalle de laps de temps d'activation. Utilisez ce paramètre pour remplacer la période de temps
en secondes au bout de laquelle un intervalle de laps d'activation se produit. 25 200 secondes sont disponibles pour les activations
de laps de temps au cours d'une période de sept heures. Le paramètre par défaut est de 86 400 secondes, ce qui représente une
répétition quotidienne.
•
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\SlotIntervals]
L'intervalle au sein de la répétition, ACTIVATION_SLOT_CALREPEAT, pendant lequel tous les laps de temps d'activation se
produisent. Un seul intervalle est autorisé. Ce paramètre doit être défini sur 0,<CalRepeat>. Un décalage par rapport à 0 pourrait
produire des résultats imprévus. Le paramètre par défaut est 0,86400. Pour définir une répétition couvrant sept heures, utilisez le
paramètre 0,25200. CALREPEAT est activé lorsqu'un utilisateur se connecte.
•
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\MissThreshold]
Le nombre de laps d'activation qui peuvent être manqués avant que l'ordinateur tente de s'activer à la prochaine connexion de
l'utilisateur dont l'activation a été planifiée selon des laps de temps. Si l'activation échoue lors de cette tentative immédiate, le client
reprend ses tentatives d'activation planifiées. Si l'activation échoue en raison d'un échec de réseau, une tentative d'activation est
effectuée à la reconnexion au réseau, même si la valeur dans MISSTHRESHOLD n'a pas été dépassée. Si un utilisateur se
déconnecte avant le début de la période d'activation, une nouvelle période d'activation est attribuée lors de la prochaine connexion.
Dell Data Protection | Endpoint Security Suite
Paramètres de registre
23
•
[HKCU/Software/CREDANT/ActivationSlot] (données par utilisateur)
Délai attribué pour une tentative d'activation par laps de temps. Ce délai est défini lorsque l'utilisateur se connecte au réseau pour la
première fois après l'activation de l'activation par laps de temps. Le laps de temps d'activation est recalculé pour chaque tentative
d'activation.
•
[HKCU/Software/CREDANT/SlotAttemptCount] (données par utilisateur)
Nombre de tentatives qui ont échoué ou ont été manquées, à l'occurrence d'un laps de temps et lorsqu'une tentative d'activation
est effectuée mais échoue. Lorsque ce nombre atteint la valeur définie dans ACTIVATION_SLOT_MISSTHRESHOLD, l'ordinateur
tente une activation immédiate au moment de sa connexion au réseau.
•
Pour détecter les utilisateurs non gérés sur l'ordinateur client, définissez la valeur de registre sur l'ordinateur client :
[HKLM\SOFTWARE\Credant\CMGShield\ManagedUsers\]
"UnmanagedUserDetected"=DWORD value:1
Détecter les utilisateurs non gérés sur cet ordinateur=1
Ne pas détecter les utilisateurs non gérés sur cet ordinateur=0
•
Pour la réactivation automatique silencieuse dans les rares cas où un utilisateur devient désactivé, la valeur de registre suivante doit être
définie sur l'ordinateur client.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CMGShield]
"AutoReactivation"=dword:00000001
0 = Désactivé (valeur par défaut)
1 = Activé
•
Le cryptage de données système (SDE) est appliqué en fonction de la valeur de la règle « Règles du cryptage SDE ». Les répertoires
supplémentaires sont protégés par défaut lorsque la règle « Activer le cryptage SDE » est sélectionnée. Pour plus d'informations,
rechercher « Règles du cryptage SDE » dans AdminHelp. Lorsque le cryptage est en train de traiter une mise à jour d'une règle qui
contient une règle SDE active, le répertoire du profil utilisateur actuel est crypté par défaut avec la clé SDUser (une clé utilisateur)
plutôt qu'avec la clé SDE (une clé de périphérique). La clé SDUser est également utilisée pour crypter les fichiers ou les dossiers qui
sont copiés (non déplacé) dans un répertoire utilisateur qui n'est pas un crypté avec SDE.
Pour désactiver la clé et utiliser la clé SDE pour crypter ces répertoires utilisateurs, créez l'entrée de registre suivante sur l'ordinateur :
[HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield]
"EnableSDUserKeyUsage"=dword:00000000
Si cette clé de registre est absente ou est définie sur autre chose que 0, la clé SDUser sera utilisée pour crypter ces répertoires
utilisateurs.
Pour plus d'informations sur SDUser, voir www.dell.com/support/article/us/en/19/SLN304916
•
Définition de l'entrée de registre, EnableNGMetadata, si des problèmes se produisent en lien avec les mises à jour Microsoft sur des
ordinateurs comportant des données chiffrées par clé commune ou en lien avec le chiffrement, le déchiffrement ou la décompression
d'un grand nombre de fichiers au sein d'un même dossier.
Définissez l'entrée de registre EnableNGMetadata dans l'emplacement suivant :
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CmgShieldFFE]
"EnableNGMetadata" = dword:1
0 = Désactivé (valeur par défaut)
1 = Activé
24
Dell Data Protection | Endpoint Security Suite
Paramètres de registre
•
La fonction d'activation hors domaine peut être activée en demandant les instructions à Dell ProSupport.
Paramètres de registre du client Threat Protection
•
Les événements Threat Protection que le client envoie à l'EE Server/VE Server sont automatiquement archivés sur l'ordinateur client.
Définissez la clé de registre suivante pour archiver les événements sur l'ordinateur client, par exemple, si l'accès à l'EE Server/VE Server
est indisponible.
[HKLM\Software\Dell\Dell Data Protection\ThreatProtection]
"ArchiveEvents"=dword:1
0=Désactivé, 1=Activé
Le niveau de détail du journal est défini par défaut sur Avertissement. Pour configurer le niveau de détail du journal de débogage,
définissez la clé de registre suivante :
[HKLM\Software\Dell\Dell Data Protection]
"LogVerbosity"=dword:10
10=Debug verbosity
•
Des notifications contextuelles s'affichent sur l'ordinateur client lorsqu'une menace est détectée Définissez cette clé de registre sur 1
pour supprimer les notifications.
[HKLM\Software\Dell\Dell Data Protection]
"DDPTPHideToasters"=dword:1
0=Désactivé (valeur par défaut, 1=Activé (supprimer les notifications)
Pour afficher les notifications d'un niveau de gravité minimum, définissez cette clé de registre.
[HKLM\Software\Dell\Dell Data Protection]
"DDPTPEventSeverityFilter"=dword:3
0=Information (affiche tous les événements), 1=Avertissement, 2=Mineur, 3=Majeur (par défaut, afficher uniquement les notifications
majeures et critiques), 4=Critique
Si "DDPTPHideToasters" est défini sur 1, les paramètres de "DDPTPEventSeverityFilter" sont ignorés.
Paramètres de registre du client SED
•
Pour définir l'intervalle entre tentatives lorsque l'EE Server/VE Server n'est pas en mesure de communiquer avec le client SED, ajoutez
la valeur de registre suivante.:
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"CommErrorSleepSecs"=dword:300
Cette valeur est le nombre de secondes pendant lesquelles le client SED tente de contacter l'EE Server/VE Server si celui-ci est
indisponible pour communiquer avec le client SED. La valeur par défaut est de 300 secondes (5 minutes).
•
Si un certificat auto-signé est utilisé sur l'EE Server/VE Server pour la gestion SED, la validation d'approbation SSL/TLS doit rester
désactivée sur l'ordinateur client (la validation d'approbation SSL/TLS est désactivée par défaut avec la gestion SED). Avant
l'activation de la validation d'approbation SSL/TLS sur l'ordinateur client, les conditions suivantes doivent être remplies :
•
Un certificat signé par une autorité racine telle qu'Entrust ou Verisign, doit être importé dans l'EE Server/VE Server.
Dell Data Protection | Endpoint Security Suite
Paramètres de registre
25
•
La chaîne d'approbation complète du certificat doit être stockée dans le magasin de clés Microsoft de l'ordinateur client.
•
Pour activer la validation d'approbation SSL/TLS pour la gestion SED, modifiez la valeur d'entrée de registre suivante sur 0 sur
l'ordinateur client :
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"DisableSSLCertTrust"=DWORD:0
0 = Activé
1 = Désactivé
•
Pour utiliser des cartes à puce avec Windows Authentication, vous devez définir la valeur de registre suivante sur l'ordinateur client :
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1
•
Pour utiliser des cartes à puce avec l'authentification avant démarrage, la valeur de registre suivante doit être configurée sur l'ordinateur
client. Définissez également la règle Méthode d'authentification sur Carte à puce dans la Console de gestion à distance, puis validez la
modification.
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1
•
Pour déterminer si l'authentification avant démarrage est activée, assurez-vous que la valeur suivante est définie :
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"PBAIsActivated"=DWORD (32-bit):1
La valeur 1 signifie que l'authentification avant démarrage est activée. La valeur 0 signifie que l'authentification avant démarrage n'est
pas activée.
•
Pour définir l'intervalle selon lequel le client SED tentera de contacter l'Enterprise ServerVE Server lorsque le serveur ne pourra pas
communiquer avec le client SED, définissez la valeur suivante sur l'ordinateur client :
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"CommErrorSleepSecs"=DWORD Value:300
Cette valeur est le nombre de secondes pendant lesquelles le client SED tente de contacter l'EE Server/VE Server si celui-ci est
indisponible pour communiquer avec le client SED. La valeur par défaut est de 300 secondes (5 minutes).
•
L'hôte Security Server peut être modifié pour qu'il soit différent de l'emplacement d'installation d'origine, au besoin. Les informations de
l'hôte sont lues par l'ordinateur client à chaque fois qu'une interrogation de règles se produit. Modifiez la valeur de registre suivante sur
l'ordinateur client :
HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent
"ServerHost"=REG_SZ:<nouveaunom>.<organisation>.com
•
Le port du Security Server peut être modifié pour qu'il soit différent de l'emplacement d'installation d'origine, le cas échéant. Cette
valeur est lue par l'ordinateur client à chaque fois qu'une interrogation de règles se produit. Modifiez la valeur de registre suivante sur
l'ordinateur client :
HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent
ServerPort=REG_SZ:8888
•
26
L'URL du Security Server peut être modifiée pour qu'elle soit différente de l'emplacement d'installation d'origine, le cas échéant. Cette
valeur est lue par l'ordinateur client à chaque fois qu'une interrogation de règles se produit. Modifiez la valeur de registre suivante sur
l'ordinateur client :
Dell Data Protection | Endpoint Security Suite
Paramètres de registre
HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent
"ServerUrl"=REG_SZ:https://<nouveaunom>.<organisation>.com:8888/agent
Paramètres de registre du client Advanced
Authentication
•
Si vous ne voulez pas que le client Advanced Authentication (Security Tools) modifie les services associés aux cartes à puce et
dispositifs biométriques selon un type de démarrage « automatique », vous pouvez désactiver la fonction de démarrage du service. La
désactivation de cette fonction supprime également les avertissements associés aux services requis non exécutés.
En cas de désactivation, Security Tools ne tente pas de démarrer ces services :
•
•
•
SCardSvr : gère l'accès aux cartes à puce lues par l'ordinateur. Si ce service est arrêté, cet ordinateur ne pourra pas lire les cartes à
puce. Si ce service est désactivé, tout service qui en dépend explicitement ne pourra pas démarrer.
SCPolicySvc : permet de configurer le système de sorte à verrouiller le bureau de l'utilisateur sur retrait d'une carte à puce.
WbioSrvc : le service de biométrie Windows donne aux applications client la possibilité de capturer, comparer, manipuler et stocker
des données biométriques sans accéder directement à n'importe quel matériel ou application d'évaluation biométrique. Ce service
est hébergé au sein d'un processus SVCHOST privilégié.
Par défaut, si la clé de registre n'existe pas ou si la valeur est définie sur 0, cette fonction est activée.
[HKLM\SOFTWARE\DELL\Dell Data Protection]
SmartCardServiceCheck=REG_DWORD:0
0 = Activé
1 = Désactivé
•
Pour utiliser des cartes à puce avec Windows Authentication, vous devez définir la valeur de registre suivante sur l'ordinateur client :
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1
•
Pour utiliser des cartes à puce avec l'authentification avant démarrage SED, vous devez définir la valeur de registre suivante sur
l'ordinateur client équipé d'un SED.
[HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards]
"MSSmartcardSupport"=dword:1
Définissez la règle Méthode d'authentification sur Carte à puce dans la Console de gestion à distance, puis validez la modification.
Paramètres de registre du client BitLocker Manager
•
Si un certificat auto-signé est utilisé sur l'EE Server/VE Server pour Bitlocker Manager, la validation d'approbation SSL/TLS doit rester
désactivé sur l'ordinateur client (la validation d'approbation SSL/TLS est désactivée par défaut avec BitLocker Manager). Avant
l'activation de la validation d'approbation SSL/TLS sur l'ordinateur client, les conditions suivantes doivent être remplies :
•
•
Un certificat signé par une autorité racine telle qu'Entrust ou Verisign, doit être importé dans l'EE Server/VE Server.
La chaîne d'approbation complète du certificat doit être stockée dans le magasin de clés Microsoft de l'ordinateur client.
•
Pour activer la validation d'approbation SSL/TLS pour BitLocker Manager, définissez la valeur d'entrée de registre suivante sur 0 sur
l'ordinateur client :
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters]
"DisableSSLCertTrust"=DWORD:0
Dell Data Protection | Endpoint Security Suite
Paramètres de registre
27
0 = Activé
1 = Désactivé
28
Dell Data Protection | Endpoint Security Suite
Paramètres de registre
4
Installation à l'aide du programme d'installation
principal ESS
•
Les commutateurs et les paramètres de ligne de commande sont sensibles à la casse.
•
Pour procéder à une installation de ports autres que ceux par défaut, utilisez les programmes d'installation enfants au lieu du programme
d'installation principal ESSE ,
•
Les fichiers journaux du rogramme d'installation principal ESS sont disponibles à l'adresse C:\ProgramData\Dell\Dell Data Protection
\Installer.
•
Dirigez les utilisateurs vers les documents suivants et les fichiers d'aide en cas de besoin au moment de l'application :
•
Pour apprendre à utiliser les fonctions du client Encryption, voir Aide concernant Dell Encrypt. Accédez à l'aide depuis <Install dir>:
\Program Files\Dell\Dell Data Protection\Encryption\Help.
•
Pour apprendre à utiliser les fonctions d'External Media Shield (Bouclier de support externe), voir l'Aide EMS. Accédez à l'aide
depuis <Install dir>:\Program Files\Dell\Dell Data Protection\Encryption\EMS.
•
Reportez-vous à l'ndpoint Security Suite,pour savoir comment utiliser les fonctions d'Advanced Authentication et Threat Protection.
Accédez à l'aide à partir de <Install dir>:\Program Files\Dell\Dell Data Protection\Endpoint Security Suite\Threat Protection\Help.
•
Après l'installation, l'utilisateur devra mettre à jour ses règles en faisant un clic droit sur l'icône Dell Data Protection située dans la barre
d'état système et en sélectionnant Rechercher les mises à jour des règles.
•
Le programme d'installation principal ESSE installe la totalité de la suite de produits. Il existe deux méthodes d'installation à l'aide du
programme d'installation principal ESSE . Choisissez l'une des options suivantes :
•
Installation de manière interactive à l'aide du programme d'installation principal ESS
ou
•
Installation par ligne de commande à l'aide du programme d'installation principal ESS
Installation de manière interactive à l'aide du
programme d'installation principal ESS
•
Vous pouvez localiser le programme d'installation principal ESSE de la manière suivante :
•
•
À partir de votre compte FTP de Dell - Localisez le bundle d'installation à DDP-Endpoint-Security-Suite-1.x.x.xxx.zip.
Utilisez ces instructions pour installer Dell Endpoint Security Suite de manière interactive à l'aide du programme d'installation principal
ESSE . Cette méthode peut être utilisée pour installer la suite de produits sur un ordinateur à la fois.
1
Localisez DDPSuite.exe sur le support d'installation Dell. Copiez-le sur l'ordinateur local.
2
Double-cliquez sur le fichier pour lancer le programme d'installation. Cela peut prendre quelques minutes.
3
Cliquez sur Suivant sur l'écran Bienvenue.
4
Lisez le contrat de licence, acceptez-en les termes, puis cliquez sur Suivant.
5
Dans le champ Nom du serveur Enterprise, saisissez le nom d'hôte complet du EE Server/VE Server qui va gérer l'utilisateur cible
(par exemple, serveur.organisation.com).
Dans le champ URL de Device Server, saisissez l'URL du Device Server (Security Server) avec lequel le client communiquera.
leformat est le suivant : https://serveur.organisation.com:8443/xapi/ (barre oblique de fin incluse).
Dell Data Protection | Endpoint Security Suite
Installation à l'aide du programme d'installation principal ESS
29
Cliquez sur Suivant .
6
Cliquez sur Suivant pour installer le produit dans l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection\. Dell
recommends installing in the default location only pour éviter les problèmes qu'une installation à un autre emplacement pourrait
provoquer.
7
Sélectionnez les composants à installer.
Security Framework permet d'installer la structure de sécurité sous-jacente ainsi que Security Tools, le client d'Advanced
Authentication qui gère plusieurs méthodes d'authentification, notamment PBA et les informations d'identification telles que les
empreintes digitales et les mots de passe.
Advanced Authentication installe les fichiers et les services nécessaires pour l'authentification avancée.
Encryption permet d'installer le client Encryption, un composant qui applique les règles de sécurité, qu'un ordinateur soit connecté au
réseau, déconnecté du réseau, perdu ou volé.
Threat Protection permet d'installer les clients Threat Protection qui constituent une protection contre les programmes malveillants et
les virus. Ils permettent de rechercher les virus, les programmes espions et indésirables, les pare-feu du client pour surveiller les
communications entre l'ordinateur et les ressources existantes sur le réseau et Internet, puis de filtrer le Web afin d'afficher les niveaux
de sécurité ou de bloquer l'accès à certains sites Internet lors de la navigation en ligne.
BitLocker Manager permet d'installer le client BitLocker Manager, conçu pour optimiser la sécurité des déploiements BitLocker
Manager en simplifiant et réduisant le coût de propriété grâce à une gestion centralisée des règles de cryptage de BitLocker.
Advanced Threat Protection permet d'installer le client Advanced Threat Prevention qui constitue une protection antivirus de pointe
qui utilise la science des algorithmes et l'apprentissage machine pour identifier, classifier et prévenir les cybermenaces connues ou
inconnues et les empêcher d'exécuter ou d'endommager les points finaux.
REMARQUE : Threat Protection et Advanced Threat Prevention ne peuvent pas se trouver sur le même ordinateur. Le
programme d'installation automatique empêche la sélection des deux composants. Si vous souhaitez installer Advanced
Threat Prevention, téléchargez le Guide d'installation d'Endpoint Security Suite Enterprise Advanced.
Cliquez sur Suivant lorsque vos sélections sont terminées.
8
Cliquez sur Installer pour démarrer l'installation. L'installation peut prendre quelques minutes.
9
Sélectionnez Oui, je souhaite redémarrer mon ordinateur maintenant, puis cliquez sur Terminer.
L'installation est terminée.
Installation par la ligne de commande à l'aide du
programme d'installation principal ESS
•
Les commutateurs doivent d'abord être spécifiés dans une ligne de commande. D'autres paramètres figurent dans un argument
transmis au commutateur /v.
Commutateurs
•
Le tableau suivant décrit les commutateurs que vous pouvez utiliser avec le programme d'installation principal ESS .
Commutateur
Description
-y -gm2
Extraction préalable du programme d'installation principal ESSE . Vous devez utiliser les commutateurs -y et
-gm2 ensemble.
Ne les séparez pas.
/S
Installation silencieuse
/z
Transmission des variables au fichier .msi dans DDPSuite.exe
Paramètres
30
Dell Data Protection | Endpoint Security Suite
Installation à l'aide du programme d'installation principal ESS
•
Le tableau suivant décrit les paramètres que vous pouvez utiliser avec le programme d'installation principal ESSE . Le programme
d'installation principal ESS ne peut pas exclure des composants individuels, mais peut recevoir des commandes permettant de spécifier
quels composants doivent être installés.
Paramètre
Description
SUPPRESSREBOOT
Supprime le redémarrage automatique une fois l'installation terminée. Peut être utilisé en mode
SILENCIEUX.
SERVEUR
Spécifie l'URL de l'EE Server/VE Server.
InstallPath
Spécifie le chemin de l'installation. Peut être utilisé en mode SILENCIEUX.
FONCTIONS
Spécifie les composants qui peuvent être installés en mode SILENCIEUX :
DE-TP = Threat Protection et Encryption (Protection contre les menaces et cryptage)
DE = Drive Encryption (Cryptage lecteur)
BLM = BitLocker Manager
SED = gestion des disques durs à auto-cryptage (EMAgent/Manager, pilotes PBA/GPE)
BLM_ONLY=1
Doit être utilisé lorsque vous utilisez FEATURES=BLM dans la ligne de commande pour exclure le plug-in de
gestion SED.
Exemples de ligne de commande
•
Les paramètres de ligne de commande sont sensibles à la casse.
•
Cet exemple installe tous les composants en utilisant le programme d'installation principal ESSE sur les ports standard, de façon
silencieuse, à l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection\ et le configure pour utiliser le EE Server/VE Server
spécifié.
"DDPSuite.exe" -y -gm2 /S /z"\"SERVER=server.organization.com\""
•
Cet exemple installe Threat Protection et Encryption uniquement avec le programme d'installation principal ESS, sur des ports
standard, de manière silencieuse, à l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection\ et le configure pour utiliser le
EE Server/VE Server.
"DDPSuite.exe" -y -gm2 /S /z"\"SERVER=server.organization.com, FEATURES=DE-TP\""
•
Cet exemple installe la gestion SED avec le programme d'installation principal, sur les ports par défaut, de manière silencieuse, en
supprimant le redémarrage, à l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection\ et le configure pour utiliser le EE
Server/VE Server spécifié.
"DDPSuite.exe" -y -gm2 /S /z"\"SERVER=server.organization.com, FEATURES=DE-TP, SED,
SUPPRESSREBOOT=1\""
•
Dell Data Protection | Endpoint Security Suite
Installation à l'aide du programme d'installation principal ESS
31
5
Désinstallation à l'aide du programme
d'installation principal ESS
•
Chaque composant doit être désinstallé séparément, avant la désinstallation du programme d'installation principal ESSE . Les clients doit
être désinstallée dans un ordre spécifique pour éviter les échecs de désinstallation.
•
Suivez les instructions de la section Extraire les programmes d'installation enfants du programme d'installation principalESS pour obtenir
les programmes d'installation enfants.
•
Assurez-vous d'utiliser la même version du programme d'installation principalESS (et donc des clients) pour la désinstallation et
l'installation.
•
Ce chapitre vous réfère à d'autres chapitres contenant des instructions détaillées sur le processus de désinstallation des programmes
d'installation enfants. Ce chapitre explique la dernière étape uniquement, désinstallation du programme d'installation principal ESSE .
•
Désinstallez les clients dans l'ordre suivant :
a
Désinstallez les clients Threat Protection.
b
Désinstallez le client Encryption.
c
Désinstallez les clients SED et Advanced Authentication.
d
Désinstallez le client BitLocker Manager.
Il n'est pas nécessaire de désinstaller le progiciel de pilote.
•
Passez à Désinstallez le programme d'installation principal ESS.
Désinstaller le programme d'installation principal ESS
Maintenant que tous les clients individuels ont été désinstallés, le programme d'installation principal ESSE peut être désinstallé.
Désinstallation avec ligne de commande
•
L'exemple suivant désinstalle silencieusement le programme d'installation principal ESSE .
"DDPSuite.exe" -y -gm2 /S /x
Lorsque vous avez terminé, redémarrez l'ordinateur.
32
Dell Data Protection | Endpoint Security Suite
Désinstallation à l'aide du programme d'installation principal ESS
6
Installer à l'aide des programmes d'installation
enfants
•
Pour installer chaque client individuellement, les fichiers exécutables enfants doivent d'abord être extraits du programme d'installation
principal ESS , tel qu'illustré dans Extraire les programmes d'installation enfants à partir du programme d'installation principal ESS.
•
Les exemples de commande inclus dans cette section supposent que les commandes sont exécutées à partir de C:\extracted.
•
Les commutateurs et les paramètres de ligne de commande sont sensibles à la casse.
•
Veillez à inclure une valeur contenant un ou plusieurs caractères spéciaux, tels qu'un espace dans la ligne de commande, entre des
guillemets d'échappement.
•
Utilisez ces programmes d'installation pour installer les clients à l'aide d'une installation avec script, de fichiers séquentiels ou de toute
autre technologie Push disponible dans votre entreprise.
•
Le redémarrage a été supprimé dans les exemples de ligne de commande. Cependant, un redémarrage éventuel est requis. Le cryptage
ne pourra commencer que lorsque l'ordinateur aura redémarré.
•
Fichiers journaux : Windows crée des fichiers journaux d'installation uniques pour l'utilisateur connecté à %Temp%, accessibles dans C:
\Users\<UserName>\AppData\Local\Temp.
Si vous décidez d'ajouter un fichier journal distinct lorsque vous exécutez le programme d'installation, assurez-vous que le fichier journal
possède un nom unique, car les fichiers journaux de programme d'installation enfant ne s'ajoutent pas. La commande .msi standard peut
être utilisée pour créer un fichier journal en utilisant /l*v C:\<any directory>\<any log file name>.log.
•
Tous les programmes d'installation enfants utilisent les mêmes options d'affichage et commutateurs .msi de base, sauf lorsque cela est
précisé, pour les installations avec ligne de commande. Les commutateurs doivent être indiqués en premier. Le commutateur /v est
requis et nécessite un argument. D'autres paramètres figurent dans un argument transmis au commutateur /v.
Les options d'affichage peuvent être spécifiées en fin d'argument transmis au commutateur /v, pour obtenir le comportement voulu.
N'utilisez pas /q et /qn dans la même ligne de commande. Utilisez uniquement ! et - après /qb.
Commutateur
Signification
/v
Transmission des variables au fichier .msi dans l'élément setup.exe. Le contenu doit
toujours être entouré de guillemets en texte brut.
/s
Mode Silencieux
/x
Mode Désinstallation
/a
Installation administrative (copie tous les fichiers dans le fichier .msi)
REMARQUE :
Avec /v, les options Microsoft par défaut sont disponibles. Pour obtenir la liste des options, voir https://
msdn.microsoft.com/en-us/library/windows/desktop/aa367988(v=vs.85).aspx.
Option
Signification
/q
Boîte de dialogue Aucune progression, se réinitialise après la fin du processus
/qb
Boîte de dialogue de progression dotée du bouton Annuler : vous invite à effectuer un
redémarrage
Dell Data Protection | Endpoint Security Suite
Installer à l'aide des programmes d'installation enfants
33
•
Option
Signification
/qb-
Boîte de dialogue de progression avec bouton Annuler: redémarre automatiquement à la
fin du processus
/qb!
Boîte de dialogue de progression sans bouton Annuler : vous invite à effectuer un
redémarrage
/qb!-
Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement une
fois le processus terminé
/qn
Pas d'interface utilisateur
/norestart
Suppression du redémarrage
Dirigez les utilisateurs vers les documents suivants et les fichiers d'aide en cas de besoin au moment de l'application :
•
Pour apprendre à utiliser les fonctions du client Encryption, voir Aide concernant Dell Encrypt. Accédez à l'aide depuis <Install dir>:
\Program Files\Dell\Dell Data Protection\Encryption\Help.
•
Pour apprendre à utiliser les fonctions d'External Media Shield (Bouclier de support externe), voir l'Aide EMS. Accédez à l'aide
depuis <Install dir>:\Program Files\Dell\Dell Data Protection\Encryption\EMS.
•
Reportez-vous à l', l'Aide de Endpoint Security Suite, et l' pour savoir comment utiliser les fonctions d'Advanced Authentication et
Threat Protection. Accédez à l'aide à partir de <Install dir>:\Program Files\Dell\Dell Data Protection\Endpoint Security Suite\Threat
Protection\Help.
Installer les pilotes
•
Les pilotes et micrologiciel de ControlVault, les lecteurs d'empreintes et les cartes à puce (répertoriés ci-dessous) ne sont pas inclus
dans les fichiers exécutables du programme d'installation principal ESS ou des programmes d'installation enfants. Les pilotes et le
micrologiciel doivent être conservés à jour et peuvent être téléchargés à partir de http://www.dell.com/support en sélectionnant votre
modèle d'ordinateur. Téléchargez les pilotes et le logiciel appropriés en fonction de votre matériel d'authentification.
•
ControlVault
•
NEXT Biometrics Fingerprint Driver
•
Pilote Validity FingerPrint Reader 495
•
Pilote de carte à puce O2Micro
Si vous installez du matériel autre que Dell, téléchargez les pilotes et le logiciel mis à jour depuis le site internet du fournisseur.
Installer le client Encryption
•
Passez en revue les exigences pour le client Encryption si votre organisation utilise un certificat signé par une autorité racine telle
qu'EnTrust or Verisign. Une modification de paramètre de registre est nécessaire sur l'ordinateur client pour activer la validation du
certificat.
•
Après l'installation, l'utilisateur devra mettre à jour ses règles en faisant un clic droit sur l'icône Dell Data Protection située dans la barre
d'état système et en sélectionnant Rechercher les mises à jour des règles.
•
Le programme d'installation du client Encryption se trouve à l'adresse suivante :
•
À partir de votre compte FTP Dell : repérez le lot d'installation DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, puis suivez la procédure
« Extraction des programmes d'installation enfants depuis le programme d'installation principal ESS ». Après l'extraction, localisez le
fichier dans C:\extracted\Encryption.
Installation de la ligne de commande
•
34
Le tableau suivant indique les paramètres disponibles dans le cadre de l'installation.
Dell Data Protection | Endpoint Security Suite
Installer à l'aide des programmes d'installation enfants
Paramètres
SERVERHOSTNAME= <NomServeur> (nom de domaine complet du serveur Dell pour la réactivation)
POLICYPROXYHOSTNAME=<NomRGK> (nom de domaine complet du proxy de la stratégie par défaut)
MANAGEDDOMAIN=<MonDomaine> (domaine à utiliser pour le périphérique)
DEVICESERVERURL=<NomServeurPériphérique/NomServeurSécurité> (utilisée pour l'activation, cette URL comprend
généralement le nom du serveur, le port et xapi)
GKPORT=<NouveauPortGK> (port du contrôleur d'accès)
MACHINEID= <NomOrdinateur> (nom de l'ordinateur)
RECOVERYID=<IDRécupération> (identifiant de récupération)
REBOOT=ReallySuppress (Null permet les redémarrages automatiques, ReallySuppress désactive le redémarrage)
HIDEOVERLAYICONS=1 (0 active la superposition des icônes, 1 désactive la superposition des icônes)
HIDESYSTRAYICON=1 (0 active la barre d'état système, 1 désactive la barre d'état système)
Pour obtenir la liste des commutateurs .msi de base et des options d'affichage pouvant être utilisés dans la ligne de commande, voir la
section « Installation à l'aide des programmes d'installation enfants ».
•
Le tableau suivant détaille les autres paramètres facultatifs liés à l'activation.
Paramètres
SLOTTEDACTIVATON=1 (0 désactive les activations retardées/planifiées, 1 active les activations retardées/planifiées)
SLOTINTERVAL=30,300 (planifie les activations par la notation x,x où la première valeur est la limite inférieure de la planification et la
deuxième valeur est la limite supérieure, en secondes)
CALREPEAT=300 (doit correspondre à ou dépasser la limite maximale définie dans SLOTINTERVAL. Durée d'attente, en secondes, du
client Encryption avant de générer une tentative d'activation en fonction de SLOTINTERVAL.)
Exemples de ligne de commande
•
L'exemple suivant correspond à l'installation du client avec les paramètres par défaut (client Encryption, Encrypt for Sharing, pas de
boîte de dialogue, pas de barre d'avancement, redémarrage automatique, installation à l'emplacement par défaut : C:\Program Files\Dell
\Dell Data Protection).
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ /qn"
Commande MSI :
msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress"
SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com"
MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/"
•
L'exemple suivant correspond à l'installation du client Encryption et d'Encrypt for Sharing, masquage de l'icône DDP dans la barre d'état
système, masquage des icônes en transparence, pas de boîte de dialogue, pas de barre de progression, suppression du redémarrage,
installation à l'emplacement par défaut : C:\Program Files\Dell\Dell Data Protection.
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ HIDESYSTRAYICON=1 HIDEOVERLAYICONS=1
REBOOT=ReallySuppress /qn"
Commande MSI :
Dell Data Protection | Endpoint Security Suite
Installer à l'aide des programmes d'installation enfants
35
msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress"
SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com"
MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/"
HIDESYSTRAYICON="1" HIDEOVERLAYICONS="1"
REMARQUE :
Il est possible que quelques anciens clients nécessitent des caractères d'échappement \" autour des valeurs de paramètres. Par
exemple :
DDPE_XXbit_setup.exe /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER=
\"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\"
DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn"
Installation des clients Threat Protection
•
Threat Protection et Advanced Threat Prevention ne peuvent pas résider sur le même ordinateur. N'installez pas ces deux
composants sur le même ordinateur, car des problèmes de compatibilité risqueraient de se produire. Si vous souhaitez installer
Advanced Threat Prevention, téléchargez le Guide d'installation d'Endpoint Security Suite Enterprise Advanced.
•
Les programmes d'installation doivent être exécuté dans un ordre spécifique. Si vous ne suivez pas la bonne séquence d'installation des
composants, l'installation échouera. Exécutez les programmes d'installation dans l'ordre suivant :
1
\Security Tools (Threat Protection a besoin du composant Dell Client Security Framework).
2
\Security Tools\Authentication (Security Tools et Auth doivent être installés ensemble)
3
Le client Encryption est requis avec les composants de Threat Protection . Allez à Exemple de ligne de commande pour consulter un
exemple d'installation.
4
Threat Protection Clients, comme illustré dans le document Installation à l'aide d'une ligne de commande.
•
Les programmes d'installation des clients SED et Advanced Authentication peuvent se trouver à l'adresse suivante :
•
•
Le programme d'installation du client Encryption se trouve à l'adresse suivante :
•
•
À partir de votre compte FTP Dell - Repérez le lot d'installation DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, puis suivez la procédure
« Extraction des programmes d'installation enfants depuis le programme d'installation principal ESS ». Après l'extraction, localisez le
fichier dans C:\extracted\Security Tools et C:\extracted\Security Tools\Authentication.
À partir de votre compte FTP Dell - Repérez le lot d'installation DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, puis suivez la procédure
« Extraction des programmes d'installation enfants depuis le programme d'installation principal ESS ». Après l'extraction, localisez le
fichier dans C:\extracted\Encryption.
Vous trouverez les programmes d'installation du client Threat Protection à l'emplacement suivant :
•
À partir de votre compte FTP Dell - Repérez le lot d'installation DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, puis suivez la procédure
« Extraction des programmes d'installation enfants depuis le programme d'installation principal ESS ». Après l'extraction, localisez le
fichier dans C:\extracted\Dell Threat Protection.
Installation de la ligne de commande
•
•
Le tableau suivant indique les paramètres disponibles pour le fichier EnsMgmtSdkInstaller.exe.
Paramètres
Description
LoadCert
Charger le certificat dans le répertoire spécifié.
Le tableau suivant indique les paramètres disponibles pour le fichier setupEP.exe.
Paramètres
Description
ADDLOCAL="tp,fw,wc"
Identifie les modules à installer :
tp=Threat Protection
36
Dell Data Protection | Endpoint Security Suite
Installer à l'aide des programmes d'installation enfants
Paramètres
Description
fw=Client Firewall
wc=Web Protection
REMARQUE : Les trois modules doivent être installés.
•
remplacer "hips"
Ne pas installer Host Intrusion Prevention
INSTALLDIR=
Emplacement d'installation autre que par défaut
/nocontentupdate
Avertit le programme d'installation de ne pas mettre à jour le contenu des fichiers
automatiquement au cours du processus d'installation. Dell recommande la planification d'une
mise à jour dès que l'installation est terminée.
/nopreservesettings
N'enregistre pas les paramètres.
Le tableau suivant indique les paramètres disponibles pour le fichier DellThreatProtection.msi.
Paramètres
Description
Reboot=ReallySuppress
Supprime le redémarrage.
ARP
0=Aucune entrée dans Ajout/Suppression de programmes
1=Entrée dans Ajout/Suppression de programmes
•
Le tableau suivant indique les paramètres disponibles pour le fichier EnsMgmtSdkInstaller.exe.
Paramètres
Description
ProtectProcesses
Indiquez le nom du fichier et l'emplacement des processus à protéger.
InstallSDK
Installe le SDK à l'emplacement spécifié.
RemoveRightClick
Supprime l'option de menu clic droit pour les utilisateurs finals.
RemoveMcTray
Supprime la barre d'état système.
Exemples de ligne de commande
\Dell Threat Protection\SDK
•
La ligne de commande suivante correspond au chargement des paramètres par défaut du certificat.
"Dell Threat Protection\SDK\EnsMgmtSdkInstaller.exe" -LoadCert >"C:\ProgramData\Dell\Dell Data
Protection\Installer Logs\McAfeeSDKInstallerBeforeEndPoint.log"
REMARQUE :
Vous pouvez ignorer ce programme d'installation si vous procédez à une mise à niveau.
Ensuite :
\Dell Threat Protection\EndPointSecurity
•
L'exemple suivant correspond à l'installation de Threat Protection, Web Protection et Client Firewall à l'aide de paramètres par défaut
(mode silencieux, installer Threat Protection, , Client Firewall et Web Protection, remplacer Host Intrusion Prevention, pas de mise à jour
du contenu, pas de paramètres enregistrés).
"Dell Threat Protection\EndPointSecurity\EPsetup.exe" ADDLOCAL="tp,fw,wc" /override"hips" /
nocontentupdate /nopreservesettings /qn
Dell Data Protection | Endpoint Security Suite
Installer à l'aide des programmes d'installation enfants
37
Ensuite :
\Dell Threat Protection\ThreatProtection\WinXXR
•
L'exemple suivant correspond à l'installation du client à l'aide de paramètres par défaut (supprimer le redémarrage, pas de boîte de
dialogue, pas de barre de progression, pas d'entrée dans la liste des programmes du panneau de configuration).
"Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi" /qn
REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1
\Dell Threat Protection\SDK
•
L'exemple suivant permet d'installer le SDK Threat Protection.
"Dell Threat Protection\SDK\EnsMgmtSdkInstaller.exe" -ProtectProcesses "C:\Program Files\Dell
\Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick RemoveMcTray >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs
\McAfeeSDKInstallerAfterEndPoint.log"
Installer les clients de gestion SED et Advanced
Authentication
•
Le client SED est nécessaire à l'authentification avancée dans la version 8.x.
•
Passez en revue les exigences du client SED si votre organisation utilise un certificat signé par une autorité racine telle qu'EnTrust or
Verisign. Une modification de paramètre de registre est nécessaire sur l'ordinateur client pour activer la validation de confiance SSL/
TLS.
•
Les utilisateurs se connectent par l'intermédiaire de l'authentification avant démarrage au moyen de leur mot de passe Windows.
•
Les programmes d'installation des clients SED et Advanced Authentication peuvent se trouver à l'adresse suivante :
•
À partir de votre compte FTP Dell : repérez le lot d'installation DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, puis suivez la procédure
« Extraction des programmes d'installation enfants depuis le programme d'installation principal ESS ». Après l'extraction, localisez le
fichier dans C:\extracted\Security Tools et C:\extracted\Security Tools\Authentication.
Installation de la ligne de commande
•
Le tableau suivant indique les paramètres disponibles dans le cadre de l'installation.
Paramètres
CM_EDITION=1 <gestion à distance>
INSTALLDIR=<modifier le dossier de destination de l'installation>
SERVER=<securityserver.organization.com>
SERVERPORT=8888
SECURITYSERVERHOST=<securityserver.organization.com>
SECURITYSERVERPORT=8443
ARPSYSTEMCOMPONENT=1 <pas d'entrée dans la liste des Programmes du panneau de configuration>
Pour obtenir la liste des commutateurs .msi de base et des options d'affichage pouvant être utilisés dans la ligne de commande, voir la
section « Installation à l'aide des programmes d'installation enfants ».
Exemples de ligne de commande
\Security Tools
38
Dell Data Protection | Endpoint Security Suite
Installer à l'aide des programmes d'installation enfants
•
L'exemple suivant installe SED géré à distance (installation silencieuse, pas de redémarrage, aucune entrée dans la liste Programmes du
Panneau de configuration, installation à l'emplacement par défaut de C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 /
norestart /qn"
Ensuite :
\Security Tools\Authentication
•
L'exemple suivant correspond à l'installation d'Advanced Authentication (installation silencieuse, pas de redémarrage)
setup.exe /s /v"/norestart /qn ARPSYSTEMCOMPONENT=1"
Installer le client BitLocker Manager
•
Passez en revue les conditions requises du client BitLocker Manager si votre organisation utilise un certificat signé par une autorité
racine telle que EnTrust ou Verisign. Une modification de paramètre de registre est nécessaire sur l'ordinateur client pour activer la
validation d'approbation SSL/TLS.
•
Les programmes d'installation du client BtLocker Manager se trouvent à l'adresse suivante :
•
À partir de votre compte FTP de Dell - Localisez le bundle d'installation à DDP-Endpoint-Security-Suite-1.x.x.xxx.zip, puis Extrayez
les programmes d'installation enfants depuis le programme d'installation principal ESS. Après extraction, localisez le fichier dans C:
\extracted\Security Tools.
Installation avec ligne de commande
•
Le tableau suivant indique les paramètres disponibles dans le cadre de l'installation.
Paramètres
CM_EDITION=1 <gestion à distance>
INSTALLDIR=<modifier le dossier de destination de l'installation>
SERVER=<securityserver.organization.com>
SERVERPORT=8888
SECURITYSERVERHOST=<securityserver.organization.com>
SECURITYSERVERPORT=8443
FEATURE=BLM <installer BitLocker Manager uniquement>
FEATURE=BLM,SED <installer BitLocker Manager avec SED>
ARPSYSTEMCOMPONENT=1 <pas d'entrée dans la liste des Programmes du panneau de configuration>
Pour obtenir la liste des commutateurs .msi de base et afficher les options utilisables dans les lignes de commande, reportez-vous à
Installer à l'aide des programmes d'installation enfants.
Exemple de ligne de commande
•
L'exemple suivant correspond à l'installation de BitLocker Manager seulement (installation silencieuse, pas de redémarrage, pas d'entrée
dans la liste des Programmes du panneau de configuration, installation à l'emplacement par défaut C:\Program Files\Dell\Dell Data
Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM /norestart /qn"
Dell Data Protection | Endpoint Security Suite
Installer à l'aide des programmes d'installation enfants
39
•
L'exemple suivant correspond à l'installation de BitLocker Manager avec SED (installation silencieuse, pas de redémarrage, pas d'entrée
dans la liste des Programmes du panneau de configuration, installation à l'emplacement par défaut C:\Program Files\Dell\Dell Data
Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM,SED /
norestart /qn"
40
Dell Data Protection | Endpoint Security Suite
Installer à l'aide des programmes d'installation enfants
7
Désinstaller à l'aide des programme d'installation
enfants
•
Pour désinstaller chaque client individuellement, les fichiers exécutables enfants doivent d'abord être extraits du programme
d'installation principal ESS , tel qu'illustré dans Extraction des programmes d'installation enfants à partir du programme d'installation
principal ESS. Sinon, exécutez une installation administrative pour extraire le fichier .msi.
•
Assurez-vous que la version de client utilisée pour la désinstallation est identique à celle utilisée pour l'installation.
•
Les commutateurs et les paramètres de ligne de commande sont sensibles à la casse.
•
Veillez à inclure une valeur contenant un ou plusieurs caractères spéciaux, tels qu'un espace dans la ligne de commande, entre des
guillemets d'échappement. Les paramètres de ligne de commande sont sensibles à la casse.
•
Utilisez ces programmes d'installation pour désinstaller les clients à l'aide d'une installation avec script, de fichiers de commandes ou de
toute technologie Push disponible dans votre entreprise.
•
Fichiers journaux : Windows crée des fichiers journaux de désinstallation du programme d'installation enfant uniques pour l'utilisateur
connecté à %Temp%, accessibles dans C:\Users\<UserName>\AppData\Local\Temp.
Si vous décidez d'ajouter un fichier journal distinct lorsque vous exécutez le programme d'installation, assurez-vous que le fichier journal
possède un nom unique, car les fichiers journaux de programme d'installation enfant ne s'ajoutent pas. La commande standard .msi peut
être utilisée pour créer un fichier journal à l'aide de /l C:\<tout répertoire>\<tout nom de fichier journal>.log. Dell recommande de ne
pas utiliser la consignation détaillée « /l*v » dans une désinstallation avec ligne de commande, car le nom d'utilisateur/mot de passe est
enregistré dans le fichier journal.
•
Tous les programmes d'installation enfants utilisent les mêmes options d'affichage et commutateurs .msi de base, sauf lorsque cela est
précisé, pour les désinstallations avec ligne de commande. Les commutateurs doivent être indiqués en premier. Le commutateur /v est
requis et nécessite un argument. D'autres paramètres figurent dans un argument transmis au commutateur /v.
Les options d'affichage peuvent être spécifiées en fin d'argument transmis au commutateur /v, pour obtenir le comportement voulu.
N'utilisez pas /q et /qn dans la même ligne de commande. Utilisez uniquement ! et - après /qb.
Commutateur
Signification
/v
Transmission des variables au fichier .msi dans l'élément setup.exe. Le contenu doit
toujours être entouré de guillemets en texte brut.
/s
Mode Silencieux
/x
Mode Désinstallation
/a
Installation administrative (copie tous les fichiers dans le fichier .msi)
REMARQUE :
Avec /v, les options Microsoft par défaut sont disponibles. Pour obtenir la liste des options, voir https://
msdn.microsoft.com/en-us/library/windows/desktop/aa367988(v=vs.85).aspx .
Option
Signification
/q
Boîte de dialogue Aucune progression, se réinitialise après la fin du processus
/qb
Boîte de dialogue de progression dotée du bouton Annuler : vous invite à effectuer un
redémarrage
Dell Data Protection | Endpoint Security Suite
Désinstaller à l'aide des programme d'installation enfants
41
Option
Signification
/qb-
Boîte de dialogue de progression avec bouton Annuler: redémarre automatiquement à la
fin du processus
/qb!
Boîte de dialogue de progression sans bouton Annuler : vous invite à effectuer un
redémarrage
/qb!-
Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement une
fois le processus terminé
/qn
Pas d'interface utilisateur
Désinstallation des clients Threat Protection
Désinstallation de ligne de commande
•
Après son extraction du programme d'installation principal ESS, le programme d'installation client Threat Protection se trouve à C:
\extracted\Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi.
•
Rendez-vous dans la section Ajoute/Supprimer des programmes dans le panneau de configuration et désinstallez les composants
suivants dans cet ordre :
•
McAfee Endpoint Security Firewall
•
Prévention contre les menaces McAfee Endpoint Security
•
McAfee Endpoint Security Web Control
•
McAfee Agent
•
Ensuite :
•
L'exemple suivant désinstalle le client Threat Protection.
MSIEXEC.EXE /x "DellThreatProtection.msi"
Désinstallation du client Encryption et
•
Pour réduire la durée du décryptage, lancez l'Assistant Nettoyage de disque Windows qui supprimera les fichiers temporaires et toute
autre donnée inutile.
•
Dans la mesure du possible, lancez le décryptage la veille au soir.
•
Désactivez le mode Veille pour empêcher la mise en veille lors des périodes d'inactivité. Le décryptage ne peut pas être exécuté sur un
ordinateur en veille.
•
Arrêtez tous les processus et applications afin de minimiser le risque d'échecs de décryptage dus à des fichiers verrouillés.
•
Lorsque la désinstallation est terminée alors que le décryptage est toujours en cours, désactivez toute connectivité réseau. Sinon, de
nouvelles règles peuvent être acquises et réactiver le cryptage.
•
Suivez votre processus actuel de décryptage des données (envoi d'une mise à jour de règle, par exemple).
•
Windows actualisent le EE Server/VE Server pour modifier le statut en Déprotégé au début d'un processus de désinstallation du
Bouclier. Toutefois, lorsque le client ne peut pas contacter le DDP EE Server/VE Server, quelle qu'en soit la raison, le statut ne peut pas
être mis à jour. Dans ce cas, vous devez supprimer le point final manuellement dans la Console de gestion à distance. Si votre
organisation utilise ce flux de travail à des fins de conformité, Dell recommande de vérifier que le statut Non protégé a été défini
correctement, dans la Console de gestion à distance ou dans le Compliance Reporter.
42
Dell Data Protection | Endpoint Security Suite
Désinstaller à l'aide des programme d'installation enfants
Processus
•
Avant de lancer la désinstallation, voir (Facultatif) Créer un fichier journal de Encryption Removal Agent. Ce fichier journal permet de
diagnostiquer les erreurs, si vous rencontrez un problème lors de la désinstallation / du décryptage. Si vous ne souhaitez pas décrypter
les fichiers à la désinstallation, il n'est pas nécessaire de créer un fichier journal Encryption Removal Agent.
•
Le Key Server (et EE Server) doivent être configurés avant de procéder à la désinstallation si on utilise l'option Télécharger les clés
d'Encryption Removal Agent depuis un serveur. Voir Configuration du Key Server pour procéder à la désinstallation du client
Encryption activé par rapport à EE Server pour obtenir les instructions. Aucune action préalable n'est nécessaire si le client à désinstaller
est activé par rapport à un VE Server, car le VE Server n'utilise pas le Key Server.
•
Vous devez utiliser l'utilitaire Dell Administrative Utility (CMGAd) avant de lancer Encryption Removal Agent si vous utilisez l'option
Importer les clés d'Encryption Removal Agent depuis un fichier. Cet utilitaire est utilisé pour l'obtention du paquet de clés de
cryptage. Reportez-vous à Utiliser l'utilitaire de téléchargement administratif (CMGAd) pour obtenir des instructions. L'utilitaire est
disponible sur le support d'installation Dell.
•
Exécutez WSScan pour vous assurer que toutes les données sont décryptéee une fois la désinstallation terminée, mais avant de
redémarrer l'ordinateur. Reportez-vous à Utiliser WSScan pour obtenir des instructions.
•
A intervalles réguliers, Vérifiez l'état de l'agent Encryption Removal. Le décryptage de données est encore en cours si le service
Encryption Removal Agent existe encore dans le volet Services.
Désinstallation de ligne de commande
•
Après son extraction du programme d'installation principal ESS , le programme d'installation du client Encryption est disponible sur C:
\extracted\Encryption\DDPE_XXbit_setup.exe.
•
Le tableau suivant indique les paramètres disponibles dans le cadre de la désinstallation.
Paramètre
Sélection
CMG_DECRYPT
propriété permettant de sélectionner le type d'installation
d'Encryption Removal Agent :
3 - Utiliser le bundle LSARecovery
2 - Utiliser les clés d'analyse approfondie précédemment
téléchargées
1 : télécharger les clés depuis le serveur Dell
0 : ne pas installer Encryption Removal Agent
CMGSILENTMODE
Propriété permettant d'activer la désinstallation silencieuse :
1 : silencieuse
0 : pas silencieuse
Propriétés requises
DA_SERVER
Nom complet de l'hôte de l'EE Server hébergeant la session de
négociation
DA_PORT
Port sur l'EE Server pour requête (la valeur par défaut est 8050)
SVCPN
Nom d'utilisateur au format UPN employé par le service Key
Server pour se connecter comme sur l'EE Server
DA_RUNAS
Nom d'utilisateur dans un format compatible SAM, dans le
contexte duquel la requête d'obtention de clé sera exécutée. Cet
Dell Data Protection | Endpoint Security Suite
Désinstaller à l'aide des programme d'installation enfants
43
Paramètre
Sélection
utilisateur doit être répertorié dans la liste des comptes Key
Server, dans l'EE Server.
DA_RUNASPWD
Mot de passe de l'utilisateur d'exécution
FORENSIC_ADMIN
Compte administrateur d'analyse approfondie sur le serveur Dell,
qui peut être utilisé pour des requêtes d'analyse approfondie, les
désinstallations ou les clés.
FORENSIC_ADMIN_PWD
Mot de passe du compte de l'administrateur d'analyse
approfondie.
Propriétés facultatives
•
SVCLOGONUN
Nom d'utilisateur au format UPN pour le paramètre Connexion en
tant que du service Encryption Removal Agent
SVCLOGONPWD
Mot de passe pour se connecter en tant qu'utilisateur.
L'exemple suivant correspond à la désinstallation silencieuse du client Encryption et au téléchargement des clés de cryptage depuis l'EE
Server.
DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 DA_SERVER=server.organization.com
DA_PORT=8050 SVCPN=administrator@organization.com DA_RUNAS=domain\username
DA_RUNASPWD=password /qn"
Commande MSI :
msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress"
CMG_DECRYPT="1" CMGSILENTMODE="1" DA_SERVER="server.organization.com" DA_PORT="8050"
SVCPN="administrator@domain.com" DA_RUNAS="domain\username" DA_RUNASPWD="password" /qn
Lorsque vous avez terminé, redémarrez l'ordinateur.
•
L'exemple suivant correspond à la désinstallation silencieuse du client Encryption et au téléchargement des clés de cryptage à l'aide d'un
compte de l'administrateur d'analyse approfondie.
DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1
FORENSIC_ADMIN=forensicadmin@organization.com FORENSIC_ADMIN_PWD=tempchangeit /qn"
Commande MSI :
msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn CMG_DECRYPT=1 CMGSILENTMODE=1
FORENSIC_ADMIN=forensicadmin@organization.com FORENSIC_ADMIN_PWD=tempchangeit
REBOOT=REALLYSUPPRESS
Lorsque vous avez terminé, redémarrez l'ordinateur.
IMPORTANT:
Dell recommande les actions suivantes lors de l'utilisation d'un mot de passe d'administrateur d'analyse approfondie sur la ligne de
commande :
1
44
crée un compte d'administrateur d'analyse approfondie sur la Console de gestion à distance VE, dans le but d'effectuer la
désinstallation silencieuse ;
2
utilise un mot de passe temporaire, applicable uniquement à ce compte et pendant cette période.
3
retire le compte temporaire de la liste des administrateurs ou en modifie le mot de passe une fois la désinstallation silencieuse
terminée.
Dell Data Protection | Endpoint Security Suite
Désinstaller à l'aide des programme d'installation enfants
REMARQUE :
Il est possible que quelques anciens clients nécessitent des caractères d'échappement \" autour des valeurs de paramètres. Par
exemple :
DDPE_XXbit_setup.exe /x /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER=
\"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\"
DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn"
Désinstaller les clients SED et Advanced
Authentication
•
La désactivation de l'authentification avant démarrage requiert une connexion réseau à EE Server/VE Server.
Processus
•
Désactivation de l'authentification avant démarrage, ce qui supprime toutes les données d'authentification avant démarrage de
l'ordinateur et déverrouille les clés SED.
•
Désinstaller le client SED.
•
Désinstallation du client Advanced Authentication.
Désactiver l'authentification avant démarrage
1
Connectez-vous à la Console de gestion à distance en tant qu'administrateur Dell.
2
Dans le volet de gauche, cliquez sur Protection et gestion > Points finaux.
3
Sélectionnez le type de point final approprié.
4
Sélectionnez Afficher >Visible, Masqué, ou Tout.
5
Si vous connaissez le nom d'hôte de l'ordinateur, saisissez-le dans le champ Nom d'hôte (les jokers sont pris en charge). Pour afficher
tous les ordinateurs, laissez ce champ vide. Cliquez sur Rechercher.
Si vous ne connaissez pas le nom d'hôte, faites défiler la liste des ordinateurs disponibles afin d'identifier celui qui vous intéresse.
Selon le filtre de recherche utilisé, un ordinateur ou une liste d'ordinateurs s'affiche.
6
Sélectionnez l'icône Détails de l'ordinateur souhaité.
7
Cliquez sur Règles de sécurité sur le menu supérieur.
8
Sélectionnez Disques à cryptage automatique à partir du menu déroulant Catégorie de règle.
9
Développez la zone Administration SED et modifiez les règles Activer la gestion SED et Activer l'authentification avant démarrage
de True (Vrai ) à False(Faux).
10
Cliquez sur Enregistrer.
11
Dans le menu de gauche, cliquez sur Actions > Valider les règles.
12
Cliquez sur Appliquer les modifications.
Attendez que la règle se propage du EE Server/VE Server à l'ordinateur ciblé pour la désactivation.
Désinstallez les clients SED et d'authentification après la désactivation de la PBA.
Dell Data Protection | Endpoint Security Suite
Désinstaller à l'aide des programme d'installation enfants
45
Désinstallez le client SED et les clients Advanced
Authentication
Désinstallation avec ligne de commande
•
Après son extraction du programme d'installation principal ESSE , le programme d'installation du client SED est disponible sous C:
\extracted\Security Tools\EMAgent_XXbit_setup.exe.
•
Après son extraction du programme d'installation principal ESS , le programme d'installation du client SED se trouve sous C:\extracted
\Security Tools\Authentication\<x64/x86>\setup.exe.
•
L'exemple suivant correspond à la désinstallation silencieuse du client SED.
EMAgent_XXbit_setup.exe /x /s /v" /qn"
Après avoir terminé, éteignez et redémarrez l'ordinateur.
Ensuite :
•
L'exemple suivant correspond à la désinstallation silencieuse du client Advanced Authentication.
setup.exe /x /s /v" /qn"
Après avoir terminé, éteignez et redémarrez l'ordinateur.
Désinstaller le client BitLocker Manager
Désinstallation avec ligne de commande
•
Après son extraction du programme d'installation principal ESS , le programme d'installation du client BitLocker est disponible sous C:
\extracted\Security Tools\EMAgent_XXbit_setup.exe.
•
L'exemple suivant correspond à la désinstallation silencieuse du BitLocker Manager.
EMAgent_XXbit_setup.exe /x /s /v" /qn"
Lorsque vous avez terminé, redémarrez l'ordinateur.
46
Dell Data Protection | Endpoint Security Suite
Désinstaller à l'aide des programme d'installation enfants
8
Scénarios couramment utilisés
•
Pour installer chaque client individuellement, les fichiers exécutables enfants doivent d'abord être extraits du programme d'installation
principal ESS , tel qu'illustré dans Extraire les programmes d'installation enfants à partir du programme d'installation principal ESS.
•
Le client SED est obligatoire pour Advanced Authentication en v8.x ; c'est la raison pour laquelle il fait partie de la ligne de commande
dans les exemples suivants.
•
Les commutateurs et les paramètres de ligne de commande sont sensibles à la casse.
•
Veillez à inclure une valeur contenant un ou plusieurs caractères spéciaux, tels qu'un espace dans la ligne de commande, entre des
guillemets d'échappement.
•
Utilisez ces programmes d'installation pour installer les clients à l'aide d'une installation avec script, de fichiers séquentiels ou de toute
autre technologie Push disponible dans votre entreprise.
•
Le redémarrage a été supprimé dans les exemples de ligne de commande. Cependant, un redémarrage éventuel est requis. Le cryptage
ne pourra commencer que lorsque l'ordinateur aura redémarré.
•
Fichiers journaux : Windows crée des fichiers journaux d'installation uniques pour l'utilisateur connecté à %Temp%, accessibles dans C:
\Users\<UserName>\AppData\Local\Temp.
Si vous décidez d'ajouter un fichier journal distinct lorsque vous exécutez le programme d'installation, assurez-vous que le fichier journal
possède un nom unique, car les fichiers journaux de programme d'installation enfant ne s'ajoutent pas. La commande .msi standard peut
être utilisée pour créer un fichier journal en utilisant /l*v C:\<any directory>\<any log file name>.log.
•
Tous les programmes d'installation enfants utilisent les mêmes options d'affichage et commutateurs .msi de base, sauf lorsque cela est
précisé, pour les installations avec ligne de commande. Les commutateurs doivent être indiqués en premier. Le commutateur /v est
requis et nécessite un argument. D'autres paramètres figurent dans un argument transmis au commutateur /v.
Les options d'affichage peuvent être spécifiées en fin d'argument transmis au commutateur /v, pour obtenir le comportement voulu.
N'utilisez pas /q et /qn dans la même ligne de commande. Utilisez uniquement ! et - après /qb.
Commutateur
Signification
/v
Transmission des variables au fichier .msi dans le fichier .exe
/s
Mode Silencieux
/i
Mode d'installation
Option
Signification
/q
Boîte de dialogue Aucune progression, se réinitialise après la fin du processus
/qb
Boîte de dialogue de progression dotée du bouton Annuler : vous invite à effectuer un
redémarrage
/qb-
Boîte de dialogue de progression avec bouton Annuler: redémarre automatiquement à la
fin du processus
/qb!
Boîte de dialogue de progression sans bouton Annuler : vous invite à effectuer un
redémarrage
/qb!-
Boîte de dialogue de progression sans le bouton Annuler, redémarre automatiquement une
fois le processus terminé
/qn
Pas d'interface utilisateur
Dell Data Protection | Endpoint Security Suite
Scénarios couramment utilisés
47
•
Dirigez les utilisateurs vers les documents suivants et les fichiers d'aide en cas de besoin au moment de l'application :
•
Pour apprendre à utiliser les fonctions du client Encryption, voir Aide concernant Dell Encrypt. Accédez à l'aide depuis <Install dir>:
\Program Files\Dell\Dell Data Protection\Encryption\Help.
•
Pour apprendre à utiliser les fonctions d'External Media Shield (Bouclier de support externe), voir l'Aide EMS. Accédez à l'aide
depuis <Install dir>:\Program Files\Dell\Dell Data Protection\Encryption\EMS
•
Reportez-vous à l'ndpoint Security Suite,pour savoir comment utiliser les fonctions d'Advanced Authentication et Threat Protection.
Accédez à l'aide à partir de <Install dir>:\Program Files\Dell\Dell Data Protection\Endpoint Security Suite\Threat Protection\Help.
Encryption Client, Threat Protection, et Advanced
Authentication
•
L'exemple suivant installe SED géré à distance (installation silencieuse, pas de redémarrage, aucune entrée dans la liste Programmes du
Panneau de configuration, installation à l'emplacement par défaut de C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 /
norestart /qn"
Ensuite :
•
L'exemple suivant correspond à l'installation d'Advanced Authentication (installation silencieuse, pas de redémarrage, installé à
l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection\Authentication).
setup.exe /s /v"/norestart /qn ARPSYSTEMCOMPONENT=1"
•
L'exemple suivant correspond à l'installation du client avec les paramètres par défaut (client Encryption et Encrypt for Sharing, pas de
boîte de dialogue, pas de barre de progression, pas de redémarrage, installation à l'emplacement par défaut : C:\Program Files\Dell\Dell
Data Protection).
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ /norestart /qn"
•
\Threat Protection\SDK
La ligne de commande suivante correspond au chargement des paramètres par défaut du certificat.
EnsMgmtSdkInstaller.exe -LoadCert >"C:\ProgramData\Dell\Dell Data Protection\Installer Logs
\McAfeeSDKInstallerBeforeEndPoint.log"
REMARQUE :
Vous pouvez ignorer ce programme d'installation si vous procédez à une mise à niveau.
Ensuite :
\Threat Protection\EndPointSecurity
•
L'exemple suivant correspond à l'installation de Threat Protection à l'aide de paramètres par défaut (mode silencieux, installer Threat
Protection, Client Firewall et Web Protection, remplacer Host Intrusion Prevention, pas de mise à jour du contenu, pas de paramètres
enregistrés).
setupEP.exe /qn ADDLOCAL="tp,fw,wc" /override"hips" /nocontentupdate /nopreservesettings /qn
Ensuite :
\Threat Protection\ThreatProtection\WinXXR
•
L'exemple suivant correspond à l'installation du client à l'aide de paramètres par défaut (supprimer le redémarrage, pas de boîte de
dialogue, pas de barre de progression, pas d'entrée dans la liste des programmes du panneau de configuration).
"DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1
48
Dell Data Protection | Endpoint Security Suite
Scénarios couramment utilisés
\Threat Protection\SDK
•
L'exemple suivant permet d'installer le SDK Threat Protection.
EnsMgmtSdkInstaller.exe -ProtectProcesses "C:\Program Files\Dell\Dell Data Protection\Threat
Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >"C:\ProgramData\Dell
\Dell Data Protection\Installer Logs\McAfeeSDKInstallerAfterEndPoint.log"
Encryption Client et Threat Protection
•
L'exemple suivant correspond à l'installation des pilotes Trusted Software Stack (TSS) pour le TPM et des correctifs Microsoft à
l'emplacement spécifié, et ne crée pas d'entrée dans la liste des Programmes du Panneau de configuration et supprime le redémarrage.
Ces pilotes doivent être installés lors de l'installation du client Encryption.
setup.exe /S /z"\"InstallPath=<c:\location>, ARPSYSTEMCOMPONENT=1, SUPPRESSREBOOT=1\""
Ensuite :
•
L'exemple suivant correspond à l'installation du client avec les paramètres par défaut (client Encryption et Encrypt for Sharing, pas de
boîte de dialogue, pas de barre de progression, pas de redémarrage, installation à l'emplacement par défaut : C:\Program Files\Dell\Dell
Data Protection).
DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com MANAGEDDOMAIN=ORGANIZATION DEVICESERVERURL=https://
server.organization.com:8443/xapi/ /norestart /qn"
Ensuite :
•
L'exemple suivant correspond à l'installation du client à l'aide de paramètres par défaut (mode silencieux, installer Threat Protection,
Client Firewall et Web Protection, remplacer Host Intrusion Prevention, pas de mise à jour du contenu, pas de paramètres enregistrés).
setupEP.exe /qn ADDLOCAL="tp,fw,wc" /override"hips" /nocontentupdate /nopreservesettings
Ensuite :
•
L'exemple suivant correspond à l'installation du client Threat Protection à l'aide de paramètres par défaut (supprimer le redémarrage,
pas de boîte de dialogue, pas de barre de progression, installé à l'emplacement par défaut spécifié C:\Program Files\Dell\Dell Data
Protection, pas d'entrée dans la liste des programmes du panneau de configuration).
MSIEXEC.EXE /I "DellThreatProtection.msi" /qn REBOOT=ReallySuppress INSTALLDIR="C:\Program
Files\Dell\Dell Data Protection\" ARPSYSTEMCOMPONENT=1 "
Ensuite :
•
L'exemple suivant correspond à l'installation du client Threat Protection à l'aide des paramètres par défaut.
EnsMgmtSDKInstaller.exe -LoadCert -ProtectProcesses "C:\Program Files\Dell\Dell Data
Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick -RemoveMcTray >
"C:\ProgramData\Dell\Dell Data Protection\Installer Logs\SDKInstaller.log"
Client SED (Advanced Authentication inclus) et
External Media Shield
•
L'exemple suivant installe SED géré à distance (installation silencieuse, pas de redémarrage, aucune entrée dans la liste Programmes du
Panneau de configuration, installation à l'emplacement par défaut de C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 /
norestart /qn"
Ensuite :
•
L'exemple suivant correspond à l'installation d'Advanced Authentication (installation silencieuse, pas de redémarrage, installé à
l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection\Authentication).
setup.exe /s /v"/norestart /qn ARPSYSTEMCOMPONENT=1"
Dell Data Protection | Endpoint Security Suite
Scénarios couramment utilisés
49
Ensuite :
•
L'exemple suivant correspond à l'installation de EMS uniquement (installation silencieuse, pas de redémarrage, installé à l'emplacement
par défaut C:\Program Files\Dell\Dell Data Protection).
DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https://server.organization.com:8443/
xapi/ MANAGEDDOMAIN=ORGANIZATION /norestart /qn"
BitLocker Manager et External Media Shield
•
L'exemple suivant correspond à l'installation de BitLocker Manager (installation silencieuse, pas de redémarrage, pas d'entrée dans la
liste des Programmes du panneau de configuration, installation à l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection).
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888
SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 FEATURE=BLM /norestart /qn"
Ensuite :
•
L'exemple suivant correspond à l'installation d'EMS uniquement (installation silencieuse, pas de redémarrage, installation à
l'emplacement par défaut C:\Program Files\Dell\Dell Data Protection).
DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com
POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https://server.organization.com:8443/
xapi/ MANAGEDDOMAIN=ORGANIZATION /norestart /qn"
50
Dell Data Protection | Endpoint Security Suite
Scénarios couramment utilisés
9
Configuration avant installation pour Mot de
passe à usage unique (OTP), SED UEFI et
BitLocker
Initialiser le module TPM
•
Vous devez être membre du groupe des administrateurs locaux, ou équivalent.
•
L'ordinateur doit être pourvu d'un BIOS compatible et d'un TPM.
Cette tâche est requise si vous utilisez Mot de passe à usage unique (OTP).
•
Suivez les instructions sous http://technet.microsoft.com/en-us/library/cc753140.aspx.
Configuration de la pré-Installation avant démarrage
sur les ordinateurs UEFI
Activez la connectivité réseau au cours de l'authentification
avant démarrage UEFI
Pour que l'authentification avant démarrage réussisse sur un ordinateur équipé du micrologiciel UEFI, l'authentification avant démarrage
(PBA) doit disposer de connectivité réseau. Par défaut, les ordinateurs équipés d'un micrologiciel UEFI ne disposent pas de connectivité
réseau tant que le système d'exploitation n'est pas chargé, ce qui intervient après le mode d'authentification avant démarrage.
La procédure suivante active la connectivité réseau au cours de la PBA pour les ordinateurs activés UEFI. Comme les étapes de
configuration varient d'un modèle d'ordinateur à l'autre, la procédure suivante n'est donnée qu'à titre d'exemple.
1
Démarrez en mode de configuration du micrologiciel UEFI :
2
Appuyez continuellement sur la touche F2 pendant le démarrage, jusqu'à ce qu'un message de type « préparation du menu de
démarrage ponctuel » apparaisse dans l'angle supérieur droit de l'écran.
3
Entrez le mot de passe d'administrateur du BIOS si on vous le demande.
REMARQUE :
Généralement, vous ne verrez pas cette invite s'il s'agit d'un nouvel ordinateur, car le mot de passe du BIOS n'aura pas
encore été configuré.
4
Sélectionnez Configuration système
5
Sélectionnez NIC intégrée.
6
Cochez la case Activer la pile réseau UEFI.
7
Sélectionnez Activé ou Activé avec PXE.
8
Sélectionnez Appliquer
Dell Data Protection | Endpoint Security Suite
Configuration avant installation pour Mot de passe à usage unique (OTP), SED UEFI et BitLocker
51
REMARQUE :
Les ordinateurs ne disposant pas du micrologiciel UEFI n'ont pas besoin de configuration.
Désactiver les ROM de l'option Héritée :
Assurez-vous que le paramètre Activer les ROM de l'option Héritée est désactivé dans le BIOS.
1
Redémarrez l'ordinateur.
2
Au cours du redémarrage, appuyez sur F12 à plusieurs reprises jusqu'à appeler les paramètres d'amorçage de l'ordinateur UEFI.
3
Appuyez sur la flèche vers le bas, mettez en surbrillance l'option Paramètres du BIOS, puis appuyez sur Entrée.
4
Sélectionnez Paramètres > généraux > Options de démarrage avancées.
5
Décochez la case Activer les ROM de l'option Héritée et cliquez sur Appliquer.
Configuration préalable à l'installation d'une partition
d'authentification avant démarrage BitLocker
•
Vous devez créer la partition d'authentification avant démarrage avant d'installer BitLocker Manager.
•
Mettez sous tension et activez le TPM avant d'installer BitLocker Manager. BitLocker Manager s'appropriera le TPM sans nécessiter de
redémarrage. Toutefois, si le TPM a déjà un propriétaire, BitLocker Manager lancera le processus de configuration du cryptage. Ce qui
compte, c'est que le TPM soit « détenu ».
•
Vous devrez peut-être partitionner le disque manuellement. Pour obtenir des informations supplémentaires, reportez-vous à la
description de l'outil de préparation de lecteur BitLocker de Microsoft.
•
Utilisez la commande BdeHdCfg.exe pour créer la partition d'authentification avant démarrage. Avec le paramètre par défaut, l'outil de
ligne de commande suivra le même processus que l'Assistant Configuration BitLocker.
BdeHdCfg -target default
CONSEIL:
Pour plus d'options disponibles pour la commande BdeHdCfg, voir Référence des paramètres de BdeHdCfg.exe de Microsoft.
52
Dell Data Protection | Endpoint Security Suite
Configuration avant installation pour Mot de passe à usage unique (OTP), SED UEFI et BitLocker
10
Définir un objet GPO sur le contrôleur de domaine
pour activer les droits
•
Si vos clients vont bénéficier de droits octroyés par DDD (Dell Digital Delivery), suivez les instructions ci-dessous pour définir le GPO sur
le contrôleur de domaine, afin d'activer les droits en question (il peut s'agir d'un autre serveur que celui qui exécute EE Server/VE
Server).
•
Le poste de travail doit appartenir à l'unité organisationnelle dans laquelle l'objet GPO est appliqué.
REMARQUE :
Assurez-vous que le port sortant 443 est disponible pour communiquer avec le EE Server/VE Server. Si le port 443 est bloqué
(pour quelque raison que ce soit), les droits ne pourront pas être octroyés.
1
Sur le contrôleur de domaine pour la gestion des clients, cliquez sur Démarrer > Outils d'administration > Gestion des règles de
groupe.
2
Cliquez avec le bouton droit sur l'unité organisationnelle à laquelle la règle doit être appliquée, puis sélectionnez Créer un objet GPO
dans ce domaine, et le lier ici....
3
Saisissez le nom du nouvel objet GPO, sélectionnez (aucun) dans le champ Objet GPO Starter source, puis cliquez sur OK.
4
Cliquez-droit sur l'objet GPO créé et sélectionnez Modifier.
5
L'Éditeur de gestion des règles de groupe se charge. Accéder à Configuration de l'ordinateur > Préférences > Paramètres Windows
> Registre.
6
Cliquez avec le bouton droit sur le registre, puis sélectionnez Nouveau > Élément de registre. Renseignez les éléments suivants :
Action : Create
Ruche : HKEY_LOCAL_MACHINE
Chemin d'accès à la clé : SOFTWARE\Dell\Dell Data Protection
Nom de la valeur : Server
Type de valeur : REG_SZ
Données de valeur :<adresse IP du EE Server/VE Server>
7
Cliquez sur OK.
8
Déconnectez-vous, puis reconnectez-vous au poste de travail, ou exécutez gpupdate /force pour appliquer la règle de groupe.
Dell Data Protection | Endpoint Security Suite
Définir un objet GPO sur le contrôleur de domaine pour activer les droits
53
11
Extraction des programmes d'installation enfants
du programme d'installation principal ESS
•
Pour installer chaque client individuellement, vous devez d'abord extraire les fichiers exécutables du programme d'installation.
•
Le programme d'installation principal ESSE n'est pas un programme de désinstallation principal. Chaque client doit être désinstallé
individuellement, avant la désinstallation du programme d'installation principal ESSE . Utilisez ce processus pour extraire les clients du
programme d'installation principal ESS afin de pouvoir les utiliser pour la désinstallation.
1
À partir du support d'installation Dell, copiez le fichier DDPSuite.exe sur l'ordinateur local.
2
Ouvrez une invite de commande dans le même emplacement que le fichier DDPSuite.exe et saisissez :
DDPSuite.exe /z"\"EXTRACT_INSTALLERS=C:\extracted\""
Le chemin d'extraction ne peut pas comporter plus de 63 caractères.
Avant de commencer, vérifiez que toutes les conditions préalables ont été remplies et que tous les logiciels requis ont été installés pour
chaque programme d'installation enfant que vous envisagez d'installer. Reportez-vous à Exigences pour plus de détails.
Les programmes d'installation enfants extraits se trouvent à l'emplacement C:\extracted\.
54
Dell Data Protection | Endpoint Security Suite
Extraction des programmes d'installation enfants du programme d'installation principal ESS
12
Configurer le Key Server pour procéder à la
désinstallation du client Encryption activé par
rapport à EE Server
•
Cette rubrique explique comment configurer les composants requis pour utiliser l'authentification/autorisation Kerberos avec un EE
Server. Le VE Server n'utilise pas le Key Server.
Key Server est un service qui écoute pour savoir quels clients se connectent à un socket. Dès qu'un client est connecté, une connexion
sécurisée est négociée, authentifiée et cryptée à l'aide des API Kerberos (en cas d'échec de la négociation de la connexion sécurisée, le
client est déconnecté).
Dell Key Server vérifie ensuite auprès du Security Server (anciennement dénommé Device Server) si l'utilisateur exécutant le client est
autorisé à accéder aux clés. Cet accès est accordé dans la Console de gestion à distance via des domaines individuels.
•
Pour utiliser l'authentification/autorisation Kerberos, il est nécessaire d'intégrer le serveur qui contient le composant Key Server dans le
domaine concerné.
•
La désinstallation classique est affectée car le VE Server n'utilise pas le Key Server. Lors de la désinstallation d'un client Encryption
activé par rapport à un VE Server, la récupération de la clé d'analyse approfondie standard s'effectue par le biais du Security Server
plutôt que par la méthode Kerberos du Key Server. Voir Désinstallation avec ligne de commande pour plus d'informations.
Écran des services - Ajouter un utilisateur du compte
de domaine
1
Dans le EE Server, naviguez vers le volet Services (Démarrer > Exécuter...> services.msc > OK).
2
Effectuez un clic droit sur Key Server, puis sélectionnez Propriétés.
3
Sélectionnez l'onglet Connexion, puis cochez l'option Ce compte :
Dans le champ « Ce compte : », ajoutez l'utilisateur de compte de domaine. Cet utilisateur de domaine doit au minimum disposer des
droits d'administrateur local sur le dossier Key Server (il doit disposer de droits d'écriture sur le fichier de configuration Key Server ainsi
que sur le fichier log.txt).
Saisissez et confirmez un nouveau mot de passe pour l'utilisateur.
Cliquez sur OK
4
Redémarrez le service Key Server (laissez ouvert le volet Services pour pouvoir y revenir ultérieurement).
5
Naviguez jusqu'au fichier log.txt qui se trouve dans le <rép. d'installation de Key Server> pour vérifier que le service a correctement
démarré.
Fichier de configuration du Serveur de clés - Ajouter
un utilisateur pour la communication avec l'EE Server
1
Naviguez jusqu'au <rép. d'installation de Key Server>.
2
Ouvrez le fichier Credant.KeyServer.exe.config dans un éditeur de texte.
Dell Data Protection | Endpoint Security Suite
Configurer le Key Server pour procéder à la désinstallation du client Encryption activé par rapport à EE Server
55
3
Naviguez jusqu'à <add key="user" value="superadmin" /> et remplacez la valeur « superadmin » par le nom de l'utilisateur concerné
(vous pouvez également laisser la valeur « superadmin »).
Le format « superadmin » peut correspondre à n'importe quelle méthode permettant l'authentification sur l'EE Server. Vous pouvez
utiliser le nom de compte SAM, l'UPN ou le format domaine\nom d'utilisateur. Toutes les méthodes permettant l'authentification sur
l'EE Server sont acceptées, car la validation est requise pour ce compte utilisateur pour l'autorisation par rapport à Active Directory.
Par exemple, dans un environnement à domaines multiples, si vous saisissez uniquement un nom de compte SAM tel que « jdupont »,
l'authentification risque d'échouer, car l'EE Server ne pourra pas authentifier « jdupont », puisque « jdupont » est introuvable. Bien
que le format domaine\nom d'utilisateur soit accepté, nous vous recommandons d'utiliser l'UPN dans un environnement à domaines
multiples. Dans un environnement à domaine unique, vous pouvez utiliser le nom de compte SAM.
4
Accédez à <add key="epw" value="<encrypted value of the password>" /> et remplacez « epw » par « password ». Remplacez
ensuite « <encrypted value of the password> » par le mot de passe de l'utilisateur que vous avez configuré à l'étape 3. Ce mot de
passe est à nouveau crypté au redémarrage de l'EE Server.
Si vous avez utilisé « superadmin » à l'étape 3, et si le mot de passe superadmin n'est pas « changeit », vous devez le modifier ici.
Enregistrez le fichier, puis fermez-le.
Exemple de fichier de configuration
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key="port" value="8050" /> [port TCP sur lequel le Key Server écoutera. La valeur par défaut est 8050.]
<add key="maxConnections" value="2000" /> [nombre de connexions de socket actives que le Key Server autorisera]
<Add key= "url" value= "https://keyserver.domain.com:8443/xapi/" /> [URL du Security Server (anciennement dénommé Device Server)
(le format est 8081/xapi si votre version d'EE Server est antérieure à 7.7)]
<add key="verifyCertificate" value="false" /> [la valeur « vrai » vérifie les certificats ; définissez-la sur « faux » si vous ne souhaitez pas
vérifier les certificats ou si vous utilisez des certificats auto-signés]
<add key="user" value="superadmin" /> [Nom d'utilisateur utilisé pour communiquer avec le Security Server. Le rôle Administrateur doit
être sélectionné pour cet utilisateur dans la Console de gestion à distance. Le format « superadmin » peut correspondre à n'importe quelle
méthode permettant l'authentification sur l'EE Server. Vous pouvez utiliser le nom de compte SAM, l'UPN ou le format domaine\nom
d'utilisateur. Toutes les méthodes permettant l'authentification sur l'EE Server sont acceptées, car la validation est requise pour ce compte
utilisateur pour l'autorisation par rapport à Active Directory. Par exemple, dans un environnement à domaines multiples, si vous saisissez
uniquement un nom de compte SAM tel que « jdupont », l'authentification risque d'échouer, car l'EE Server ne pourra pas authentifier
« jdupont », puisque « jdupont » est introuvable. Bien que le format domaine\nom d'utilisateur soit accepté, nous vous recommandons
d'utiliser l'UPN dans un environnement à domaines multiples. Dans un environnement à domaine unique, vous pouvez utiliser le nom de
compte SAM.]
<add key="cacheExpiration" value="30" /> [Fréquence (en secondes) à laquelle le service doit vérifier les personnes autorisées à demander
des clés. Le service conserve un cache et assure le suivi de son ancienneté. Lorsque l'ancienneté du cache dépasse la valeur définie, le
service établit une nouvelle liste. Lorsqu'un utilisateur se connecte, le Key Server doit télécharger les utilisateurs autorisés à partir du
Security Server. S'il n'existe aucun cache pour ces utilisateurs, ou si la liste n'a pas été téléchargée au cours des « x » dernières secondes, la
liste est alors téléchargée à nouveau. Aucune interrogation n'est exécutée, mais cette valeur permet de configurer le délai d'expiration de la
liste après lequel une actualisation est nécessaire.]
<add key="epw" value="encrypted value of the password" /> [Mot de passe utilisé pour communiquer avec le Security Server. Si vous avez
modifié le mot de passe superadmin, vous devez également le modifier ici.]
56
Dell Data Protection | Endpoint Security Suite
Configurer le Key Server pour procéder à la désinstallation du client Encryption activé par rapport à EE Server
</appSettings>
</configuration>
Écran des services - Redémarrer le service Key Server
1
Retournez au panneau des Services (Démarrer > Exécuter... > services.msc > OK).
2
Redémarrez le service Key Server.
3
Naviguez jusqu'au fichier log.txt qui se trouve dans le <rép. d'installation de Key Server> pour vérifier que le service a correctement
démarré.
4
Fermez le volet Services.
Console de gestion à distance - Ajouter un
administrateur d'analyse approfondie
1
Si nécessaire, connectez-vous à la Console de gestion à distance.
2
Cliquez sur Populations > Domaines.
3
Sélectionnez le Domaine pertinent.
4
Cliquez sur l'onglet Key Server.
5
Dans le champ Comptes, ajoutez l'utilisateur qui exécutera les opérations d'administration. Le format est DOMAINE\nom d'utilisateur.
Cliquez sur Ajouter un compte.
6
Cliquez sur Utilisateurs dans le menu de gauche. Dans la zone de recherche, recherchez le nom d'utilisateur que vous avez ajouté à
l'étape 5. Cliquez sur Rechercher.
7
Une fois que vous avez localisé l'utilisateur approprié, cliquez sur l'onglet Admin.
8
Sélectionnez Administrateur d'analyse approfondie et cliquez sur Mise à jour.
La configuration des composants pour l'authentification/autorisation Kerberos est maintenant terminée.
Dell Data Protection | Endpoint Security Suite
Configurer le Key Server pour procéder à la désinstallation du client Encryption activé par rapport à EE Server
57
13
Utiliser l'utilitaire Administrative Download
(CMGAd)
•
Cet utilitaire permet de télécharger un ensemble de matériel clé à l'utilisation d'un ordinateur non connecté à un EE Server/VE Server.
•
Cet utilitaire utilise l'une des méthodes suivantes pour télécharger un ensemble clé, selon le paramètre de ligne de commande passé à
l'application :
•
Mode d'analyse approfondie : utilisé si -f est passé sur la ligne de commande ou si aucun paramètre de ligne de commande n'est
utilisé.
•
Mode Admin : utilisé si -f est passé sur la ligne de commande.
Les fichiers journaux sont disponibles sous C:\ProgramData\CmgAdmin.log
Utiliser l'utilitaire de téléchargement administratif en
mode d'analyse approfondie
1
Double-cliquez sur cmgad.exe pour lancer l'utilitaire ou ouvrez une invite de commande où se trouve CMGAd et tapez cmgad.exe fcmgad.exe -f (oucmgad.exe cmgad.exe).
2
Entrez les informations suivantes (certains champs peuvent être déjà renseignés).
URL du Device Server : URL complète du Security Server (Device Server). Le format est le suivant https://securityserver.domain.com:
8443/xapi/.
Admin Dell : nom de l'administrateur doté des identifiants d'administrateur d'analyse approfondie (activés dans la console de gestion à
distance), tel que jdupond
Mot de passe : mot de passe d'administrateur d'analyse approfondie
MCID : ID de la machine, tel que IDmachine.domaine.com
DCID : huit premiers caractères de l'ID de Bouclier comportant 16 caractères.
CONSEIL:
Normalement, il suffit de spécifier MCID ou DCID. Cependant, si les deux sont connus, il peut être utile de les entrer tous les
deux. Chaque paramètre contient des informations différentes concernant le client et l'ordinateur client.
Cliquez sur Suivant.
3
Dans le champ Phrase de passe : entrez la phrase de passe afin de protéger le fichier de téléchargement. La phrase de passe doit
contenir au moins huit caractères, au moins un caractère alphabétique et un caractère numérique. Confirmer la phrase de passe.
Acceptez le nom par défaut et l'emplacement auquel le fichier sera enregistré, ou bien cliquez sur.... pour sélectionner un emplacement
différent.
Cliquez sur Suivant.
Le message qui s'affiche indique que le matériel clé a été déverrouillé avec succès. Les fichiers sont désormais accessibles.
4
58
Cliquez sur Terminer lorsque vous avez terminé.
Dell Data Protection | Endpoint Security Suite
Utiliser l'utilitaire Administrative Download (CMGAd)
Utiliser l'utilitaire de téléchargement administratif en
mode Admin
Le mode Admin ne peut pas être utilisé pour l'obtention d'un ensemble de clés depuis un VE Server, car le VE Server n'utilise pas le Key
Server. Utiliser le mode Analyse approfondie pour obtenir l'ensemble de clés si le client est activé par rapport à un VE Server.
1
Ouvrez une invite de commande à l'emplacement de CMGAd et saisissez la commande cmgad.exe -a.
2
Entrez les informations suivantes (certains champs peuvent être déjà renseignés).
Serveur : nom d'hôte complet du Key Server, tel que keyserver.domaine.com
Numéro de port : le port par défaut est 8050.
Compte de serveur : l'utilisateur de domaine sous le nom duquel le Key Server s'exécute. Le format est domaine\nom d'utilisateur.
L'utilisateur de domaine qui exécute l'utilitaire doit être autorisé à effectuer le téléchargement depuis le Key Server
MCID : ID de la machine, tel que IDmachine.domaine.com
DCID : huit premiers caractères de l'ID de Bouclier comportant 16 caractères.
CONSEIL:
Normalement, il suffit de spécifier MCID ou DCID. Cependant, si les deux sont connus, il peut être utile de les entrer tous les
deux. Chaque paramètre contient des informations différentes concernant le client et l'ordinateur client.
Cliquez sur Suivant.
3
Dans le champ Phrase de passe : entrez la phrase de passe afin de protéger le fichier de téléchargement. La phrase de passe doit
contenir au moins huit caractères, au moins un caractère alphabétique et un caractère numérique.
Confirmer la phrase de passe.
Acceptez le nom par défaut et l'emplacement auquel le fichier sera enregistré, ou bien cliquez sur.... pour sélectionner un emplacement
différent.
Cliquez sur Suivant.
Le message qui s'affiche indique que le matériel clé a été déverrouillé avec succès. Les fichiers sont désormais accessibles.
4
Cliquez sur Terminer lorsque vous avez terminé.
Dell Data Protection | Endpoint Security Suite
Utiliser l'utilitaire Administrative Download (CMGAd)
59
14
Dépannage
Tous les clients - Dépannage
•
Les fichiers journaux du programme d'installation principal ESS m sont disponibles sous C:\ProgramData\Dell\Dell Data Protection
\Installer.
•
Windows crée des fichiers journaux d'installation du programme d'installation enfant uniques destinés à l'utilisateur connecté à
%temp%, à l'adresse C:\Users\<UserName>\AppData\Local\Temp.
•
Windows crée des fichiers journaux pour les conditions préalables du client (par exemple, Visual C++), pour l'utilisateur connecté à
%temp%, à l'adresse C:\Users\<UserName>\AppData\Local\Temp. For example, C:\Users\<UserName>\AppData\Local\Temp
\dd_vcredist_amd64_20160109003943.log
•
Suivez les instructions sur http://msdn.microsoft.com pour vérifier la version de Microsoft.Net qui est installée sur l'ordinateur ciblé
pour l'installation.
Pour télécharger la version complète de Microsoft .Net Framework 4.5, consultez https://www.microsoft.com/en-us/download/
details.aspx?id=30653.
•
Reportez-vous à Dell Data Protection | Security Tools - Compatibilité si Dell Access est installé sur l'ordinateur ciblé pour l'installation
(ou l'a été dans le passé). DDP|A n'est compatible avec cette suite de produits.
Dépannage du client Encryption et
Mise à niveau vers la mise à jour Windows 10 Anniversary
Pour effectuer la mise à niveau vers la version Windows 10 Anniversary Update, suivez les instructions consignées dans l'article suivant :
http://www.dell.com/support/article/us/en/19/SLN298382.
Création d'un fichier journal Encryption Removal Agent
(facultatif)
•
Avant de lancer la désinstallation, vous pouvez, si vous le souhaitez, créer un fichier journal Encryption Removal Agent. Ce fichier journal
permet de diagnostiquer les erreurs, si vous rencontrez un problème lors de la désinstallation / du décryptage. Si vous ne souhaitez pas
décrypter les fichiers à la désinstallation, il n'est pas nécessaire de créer ce fichier journal.
•
Le fichier de consignation d'Encryption Removal Agent n'est créé qu'après l'exécution du service Encryption Removal Agent, après le
redémarrage de l'ordinateur. Une fois la désinstallation du client et le décryptage de l'ordinateur terminés, le fichier est définitivement
supprimé.
•
Le chemin du fichier journal est C:\ProgramData\Dell\Dell Data Protection\Encryption.
•
Créez l'entrée de registre suivante sur l'ordinateur cible pour le décryptage.
[HKLM\Software\Credant\DecryptionAgent].
"LogVerbosity"=dword:2
0: aucune consignation
1 : consigne les erreurs qui bloquent l'exécution du service
2 : consigne les erreurs qui bloquent le décryptage complet des données (niveau recommandé)
60
Dell Data Protection | Endpoint Security Suite
Dépannage
3 : consigne des informations sur tous les volumes et fichiers à décrypter
5 : consigne des informations de débogage
Trouver la version de TSS
•
La TSS est un composant qui fait interface au TPM (Trusted Platform Module). Pour identifier la version de la TSS, rendez-vous à
l'emplacement par défaut : C:\Program Files\Dell\Dell Data Protection\Drivers\TSS\bin > tcsd_win32.exe. Cliquez avec le bouton droit
de la souris sur le fichier, puis sélectionnez Propriétés. Vérifiez la version du fichier sur l'onglet Détails .
Interactions EMS et PCS
Pour veiller à ce que le support ne soit pas en lecture seule et que le port ne soit pas bloqué
La règle d'accès EMS aux supports non protégés interagit avec le système de contrôle des ports - Classe de stockage : Règle de contrôle
des lecteurs externes. Si vous avez l'intention de définir la règle d'accès EMS aux supports non blindés sur Accès complet, assurez-vous
que la règle de contrôle de la classe de stockage : lecteur externe est également définie sur Accès complet pour vous assurer que le
support n'est pas en lecture seule et que le port n'est pas bloqué.
Pour chiffrer les données écrites sur CD/DVD, procédez comme suit :
•
Définissez EMS Encrypt External Media (Crypter le support externe EMS) = Vrai
•
Définissez EMS Exclude CD/DVD Encryption (EMS ne prend pas en charge le cryptage de CD/DVD) = Faux
•
Définissez la sous-classe Stockage : Optical Drive Control = UDF Only (Contrôle des lecteurs optiques = UDF uniquement).
Utiliser WSScan
•
WSScan vous permet de vous assurer que toutes les données sont décryptées lorsque vous désinstallez le client Encryption, d'afficher
l'état de chiffrement et d'identifier les fichiers non cryptés qui devraient être décryptés.
•
Des privilèges d'administrateur sont requis pour exécuter cet utilitaire.
Exécutez l'
1
À partir du support d'installation Dell, copiez le fichier WSScan.exe sur l'ordinateur à analyser.
2
Lancez une ligne de commande à l'emplacement spécifié ci-dessus et entrez wsscan.exe à l'invite de commande. WSScan démarre.
3
Cliquez sur Avancé.
4
Sélectionnez le type du lecteur à rechercher dans le menu déroulant : Tous les lecteurs, Lecteurs fixes, Lecteurs amovibles, ou CDROM/ DVDROM.
5
Sélectionnez le Type de rapport de chiffrement dans le menu déroulant : Fichiers cryptés, Fichiers non cryptés, Tous les fichiers, ou
Fichiers non cryptés en violation :
6
•
Fichiers cryptés : pour vérifier que toutes les données sont décryptées lors de la désinstallation du client Encryption. Suivez votre
processus actuel de décryptage des données, par exemple l'envoi d'une mise à jour de règle de décryptage. Une fois les données
décryptées mais avant de redémarrer l'ordinateur en préparation de la désinstallation, exécutez WSScan afin de vous assurer que
toutes les données sont décryptées.
•
Fichiers non cryptés : pour identifier les fichiers qui ne sont pas cryptés, avec une mention indiquant si les fichiers doivent être
cryptés (Y/N).
•
Tous les fichiers : pour répertorier tous les fichiers cryptés et non cryptés, avec une mention indiquant si les fichiers doivent être
cryptés (Y/N).
•
Fichiers non cryptés en violation : pour identifier les fichiers qui ne sont pas cryptés, mais qui devraient l'être.
Cliquez sur Rechercher.
OU
1
Cliquez sur Avancé pour basculer la vue vers Simple afin d'analyser un dossier particulier.
Dell Data Protection | Endpoint Security Suite
Dépannage
61
2
Accédez à Paramètres d'analyse, puis saisissez le chemin du dossier dans le champ Rechercher un chemin d'accès. Si vous utilisez ce
champ, la sélection dans la liste déroulante est ignorée.
3
Si vous ne voulez pas écrire la sortie WSScan dans un fichier, décochez la case Sortie vers un fichier.
4
Si vous le souhaitez, changez le chemin et le nom de fichier par défaut à partir du champ Chemin.
5
Sélectionnez Ajouter au fichier existant si vous ne souhaitez remplacer aucun des fichiers WSScan de sortie existants.
6
Choisissez le format de sortie :
7
•
Sélectionnez l'option Format du rapport, si vous souhaitez que les résultats de l'analyse apparaissent sous forme de liste de
rapport. Il s'agit du format par défaut.
•
Sélectionnez Fichier à valeur délimitée pour que les résultats puissent être exportés dans un tableur. Le séparateur par défaut est
« | », mais il peut être remplacé par un maximum de 9 caractères alphanumériques, espaces ou symboles de ponctuation.
•
Sélectionnez Valeurs désignées pour mettre chaque valeur entre doubles guillemets.
•
Sélectionnez Fichier à largeur fixe si vous souhaitez un fichier cible non délimité contenant une ligne continue d'informations à
longueur fixe sur chaque fichier crypté.
Cliquez sur Rechercher.
Cliquez sur Arrêter la recherche pour arrêter votre recherche. Cliquez sur Effacer pour effacer les messages affichés.
Utilisation de la ligne de commande WSScan
WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o<filepath>] [-a] [-f<format specifier>] [-r] [u[a][-|v]] [-d<delimeter>] [-q] [-e] [-x<exclusion directory>] [-y<sleep time>]
Commutateur
Signification
Lecteur
Disque à analyser. S'il n'est pas défini, tous les disques durs fixes locaux sont utilisés par défaut. Il
peut s'agir d'un lecteur réseau mappé.
-ta
Analyser tous les disques
-tf
Analyser les disques fixes (valeur par défaut)
-tr
Analyser les lecteurs amovibles
-tc
Analyser les CDROM/DVDROM
-s
Opération silencieuse
-o
Chemin d'accès au fichier de sortie.
-a
Ajouter au fichier de sortie . Par défaut, le fichier de sortie est tronqué.
-f
Spécificateur de format de rapport (Rapport, Fixe, Délimité)
-r
Exécutez WSScan dans les privilèges administrateur. Certains fichiers peuvent ne pas être visibles
si ce mode est utilisé.
-u
Inclure les fichiers non cryptés dans le fichier de sortie.
Ce commutateur est sensible à l'ordre : “u” doit être en première position, “a” doit être en deuxième
position (ou omis), “-” ou “v” doit être en dernière position.
-u-
Inclure uniquement les fichiers décryptés dans le fichier de sortie
-ua
Signale également les fichiers non cryptés, mais utilise toutes les règles utilisateur pour afficher le
champ « should ».
62
Dell Data Protection | Endpoint Security Suite
Dépannage
Commutateur
Signification
-ua-
Signale les fichiers non cryptés uniquement, mais utilise toutes les règles utilisateur pour afficher le
champ « should ».
-uv
Signale les fichiers non cryptés qui violent la règle uniquement (Is=No / Should=Y)
-uav
Signale les fichiers non cryptés qui violent la règle uniquement (Is=No / Should=Y), en utilisant
toutes les règles utilisateur.
-d
Spécifie l'élément à utiliser comme séparateur de valeurs pour la sortie délimitée
q
Spécifie les valeurs qui doivent être placées entre guillemets pour la sortie délimitée
-e
Inclure les champs de cryptage étendu dans la sortie délimité
-x
Exclure un répertoire de l'analyse. Plusieurs exclusions sont autorisées.
-y
Inactivité (en millisecondes) entre les répertoires. Ce commutateur ralentit les analyses, mais rend le
processeur plus réactif.
Fichier cible WSScan
Les données WSScan relatives aux fichiers cryptés contiennent les informations suivantes.
Exemple :
[2015-07-28 07:52:33] SysData.7vdlxrsb._SDENCR_: "c:\temp\Dell - test.log" is still AES256 encrypted
Sortie
Signification
Date/heure
Date et heure d'analyse du fichier.
Type de cryptage
Type de cryptage utilisé pour le fichier.
SysData : clé de cryptage SDE.
Utilisateur : clé de chiffrement de l'utilisateur.
Commun : clé de cryptage commune.
Le rapport de cryptage ne prend pas en compte les fichiers cryptés avec l'option Encrypt for
Sharing.
KCID
Identification de l'ordinateur principal.
Dans l'exemple ci-dessus : « 7vdlxrsb »
Si vous analysez un disque réseau mappé, le rapport d'analyse ne comporte pas de KCID.
UCID
ID d'utilisateur.
Comme dans l'exemple ci-dessus , « _SDENCR_ »
Tous les utilisateurs de l'ordinateur partagent le même UCID.
Fichier
Chemin d'accès du fichier crypté.
Comme dans l'exemple ci-dessus, « c:\temp\Dell - test.log »
Algorithme
Algorithme utilisé pour crypter le fichier.
Dell Data Protection | Endpoint Security Suite
Dépannage
63
Sortie
Signification
Dans l'exemple ci-dessus, « cryptage AES 256 toujours en place »
RIJNDAEL 128
RIJNDAEL 256
AES 128
AES 256
3DES
Utiliser WSProbe
L'utilitaire Probing est destiné à être utilisé avec toutes les versions du client de cryptage, à l'exception des politiques EMS. Utilisez cet
utilitaire pour :
•
•
•
Analyser ou planifier l'analyse d'un ordinateur crypté. Il respecte votre règle de priorité d'analyse de poste de travail.
Désactiver ou réactiver temporairement la liste de cryptage des données d'application de l'utilisateur.
Ajouter ou supprimer des noms de processus dans la liste privilégiée.
•
Exécuter les opérations de dépannage indiquées par Dell ProSupport.
Approches du cryptage des données
Si vous définissez des règles pour crypter les données sur des appareils Windows, vous pouvez utiliser n'importe laquelle des approches
suivantes :
•
•
•
La première approche consiste à accepter le comportement par défaut du client. Si vous définissez des dossiers dans Dossiers cryptés
communs ou Dossiers cryptés utilisateur, ou spécifiez Sélectionné pour Crypter « Mes documents », Crypter les dossiers personnels
Outlook, Crypter les fichiers temporaires, Crypter les fichiers Internet temporaires ou Crypter le fichier de pagination Windows, les
fichiers affectés sont cryptés lors de leur création ou (après leur création par un utilisateur non géré) lorsque l'utilisateur se connecte. Le
client analyse également les dossiers d'analyses définis dans ou associés à ces règles pour le cryptage/Décryptage possible lorsqu'un
dossier est renommé ou que le client reçoit des modifications de ces règles.
Vous pouvez aussi affecter la valeur True à Analyser la station de travail à la connexion. Dans ce cas, lorsqu'un utilisateur se connecte, le
client compare la manière dont les fichiers dans les dossiers actuellement et précédemment cryptés sont cryptés par rapport aux règles
utilisateur, et il effectue les modifications appropriées.
Pour crypter les fichiers qui répondent aux critères de cryptage, mais qui ont été créés avant l'entrée en vigueur des règles de cryptage,
vous pouvez utiliser cette règle pour analyser et planifier l'analyse de l'ordinateur si vous ne voulez pas subir l'impact des analyses
fréquentes.
Pré-requis
•
Le périphérique Windows que vous voulez utiliser doit être crypté.
•
L'utilisateur que vous voulez utiliser doit être connecté.
Utilisation de l'utilitaire de détection
WSProbe.exe se trouve dans le support d'installation.
Syntaxe
wsprobe [path]
wsprobe [-h]
wsprobe [-f path]
wsprobe [-u n] [-x process_names] [-i process_names]
64
Dell Data Protection | Endpoint Security Suite
Dépannage
Paramètres
Paramètre
À
Chemin d'accès
Éventuellement, définissez un chemin particulier sur le périphérique à analyser pour un cryptage/
Décryptage possible. Si vous ne définissez pas de chemin, cet utilitaire analyse tous les dossiers
associés aux règles de cryptage.
-h
Afficher l'aide de la ligne de commande.
-f
Exécuter le dépannage comme indiqué par Dell ProSupport
-u
Activer ou réactiver la liste de cryptage des données d'application d'un utilisateur. Cette liste est
effective uniquement si Chiffrement activé est sélectionné pour l'utilisateur en cours. Spécifiez 0
pour désactiver ou 1 pour réactiver. L'état de la règle en cours pour l'utilisateur est restauré lors de
la connexion suivante.
-x
Ajouter des noms de processus à la liste privilégiée. L'ordinateur et les noms de processus
d'installation dans cette liste, et ceux que vous ajoutez en utilisant ce paramètre ou HKLM
\Software\CREDANT\CMGShield\EUWPrivilegedList, sont ignorés s'ils se trouvent dans la liste
de cryptage des données d'application. Séparez les noms de processus avec une virgule. Si la liste
contient un ou plusieurs espaces, placez-la entre des guillemets doubles.
-i
Supprimez les noms de processus précédemment ajoutés à la liste des privilèges (vous ne pouvez
pas supprimer les noms de processus codés en dur). Séparez les noms de processus avec une
virgule. Si la liste contient un ou plusieurs espaces, placez-la entre des guillemets doubles.
Vérification de l'état d'Encryption Removal Agent.
Le statut de l'agent Encryption Removal s'affiche dans la zone de description du volet Services (Démarrer > Exécuter...> services.msc >
OK) comme suit. Actualisez régulièrement le service (mettez-le en surbrillance > clic droit de la souris > Actualiser) pour mettre à jour son
statut.
•
Attente de la désactivation SDE - Le client Encryption est toujours installé, toujours configuré ou les deux. Le déchiffrement ne
démarrera pas tant que le client Encryption ne sera pas désinstallé.
•
Balayage initial - Le service procède à un premier balayage en calclant le nombre de fichiers cryptés et les octets. L'analyse initiale n'a
lieu qu'une seule fois.
•
Balayage de décryptage - Le service décrypte les fichiers et demande peut-être à décrypter des fichiers verrouillés.
•
Decrypter au redémarrage (partiel) - Le balayage de décryptage est terminé et certains fichiers verrouillés (mais pas tous) devront
être décryptés au prochain redémarrage.
•
Décrypter au redémarrage - Le balayage de décryptage est terminé et tous les fichiers verrouillés devront être décryptés au prochain
redémarrage.
•
Tous les fichiers n'ont pas pu être décryptés - Le balayage de décryptage est terminé, mais tous les fichiers n'ont pas pu être
décryptés. Cet état signifie que l'une des situations suivantes s'applique :
•
•
Les fichiers verrouillés n'ont pas pu être programmés pour être décryptés, en raison d'une taille trop importante ou du fait qu'une
erreur s'est produite lors de la requête de déverrouillage.
•
Une erreur au niveau de la source / de la cible s'est produite lors du décryptage des fichiers.
•
Les fichiers n'ont pas pu être décryptés par la règle.
•
Les fichiers ont le statut « devraient être cryptés ».
•
Une erreur s'est produite lors de l'analyse de décryptage.
•
Dans tous les cas, un fichier de consignation est créé (si vous avez configuré la consignation) si la valeur LogVerbosity est
supérieure ou égale à 2. Pour résoudre le problème, choisissez la valeur de verbosité de consignation 2, puis relancez le service
Encryption Removal Agent pour forcer l'exécution d'un nouveau balayage de décryptage. Voir Création d'un fichier journal
Encryption Removal Agent (facultatif) pour obtenir des instructions.
Terminé : l'analyse de déchiffrage est terminée. Le service, le fichier exécutable, le pilote et l'exécutable du pilote seront supprimés au
prochain redémarrage.
Dell Data Protection | Endpoint Security Suite
Dépannage
65
Dépannage du client SED
Utiliser la règle Code d'accès initial
•
Cette règle permet la connexion à un ordinateur lorsqu'il est impossible de se connecter au réseau, Cela signifie que EE Server/VE
Server/VE Server et AD ne sont pas disponibles. Utilisez la règle Code d'accès initial uniquement en cas de nécessité absolue. Dell ne
conseille pas d'utiliser cette méthode pour se connecter. L'utilisation de la règle Code d'accès initial n'assure pas le même degré de
sécurité que la méthode de connexion usuelle à l'aide d'un nom d'utilisateur, domaine et mot de passe.
C'est une méthode de connexion moins sécurisée et en outre, si un utilisateur est activé à l'aide de la règle Code d'accès initial,
l'activation de cet utilisateur sur cet ordinateur n'est pas consignée sur le EE Server/VE Server. Il n'existe alors aucun moyen de générer
un code de réponse depuis EE Server/VE Server pour l'utilisateur final s'il oublie son mot de passe et ne répond pas correctement aux
questions d'assistance autonome.
•
Le Code d'accès initial ne peut être utilisé qu'une seule fois, immédiatement après l'activation. Dès lors qu'un utilisateur s'est connecté,
le Code d'accès initial n'est plus disponible. La première connexion au domaine survenant après saisie du Code d'accès initial
occasionnera une mise en cache, et le champ de saisie du Code d'accès initial ne sera plus affiché.
•
Le Code d'accès initial s'affichera uniquement dans les circonstances suivantes :
•
L'utilisateur n'a jamais été activé dans l'authentification avant démarrage.
•
Le client n'est pas connecté au réseau ou EE Server/VE Server.
Utiliser le code d'accès initial
1
Définissez une valeur pour la règle du Code d'accès initial dans la Console de gestion à distance.
2
Enregistrez et validez la règle.
3
Démarrez l'ordinateur local.
4
Lorsque l'écran Code d'accès s'affiche, saisissez le Code d'accès initial.
5
Cliquez sur la flèche bleue.
6
Lorsque la fenêtre d'avertissement légal s'affiche, cliquez sur OK.
7
Connectez-vous à Windows avec les identifiants d'utilisateur de cet ordinateur. Ces identifiants doivent faire partie du domaine.
8
Une fois connecté, ouvrez la console de sécurité et vérifiez que l'utilisateur avec authentification avant démarrage a bien été créé.
Cliquez sur Journal dans le menu supérieur et recherchez le message Utilisateur avec authentification avant démarrage créé pour
<domaine\nom d'utilisateur>, qui indique que le processus a abouti.
9
Éteignez et redémarrez l'ordinateur.
10
Sur l'écran de connexion, saisissez le nom d'utilisateur, le domaine et le mot de passe que vous avez utilisés précédemment pour vous
connecter à Windows.
Vous devez appliquer le même format de nom d'utilisateur que pour la création de l'utilisateur avec authentification avant démarrage.
Ainsi, si vous avez utilisé le format domaine/nom d'utilisateur, vous devez saisir domaine/nom d'utilisateur dans Nom d'utilisateur.
11
(Gestionnaire Credant uniquement) Répondez aux invites des questions et réponses.
Cliquez sur la flèche bleue.
12
Lorsque la fenêtre d'avertissement légal s'affiche, cliquez sur Connexion.
Windows démarre et l'ordinateur peut être utilisé comme d'habitude.
66
Dell Data Protection | Endpoint Security Suite
Dépannage
Créer un fichier journal d'authentification avant démarrage
dans une optique de dépannage
•
Dans certains cas, un fichier journal PBA est nécessaire pour résoudre les problèmes PBA, notamment :
•
L'icône de connexion réseau ne s'affiche pas, alors que la connectivité réseau fonctionne. Le fichier journal contient des informations
DHCP permettant de résoudre le problème.
•
L'icône de connexion de EE Server/VE Server ne s'affiche pas. Le fichier journal contient des informations permettant de
diagnostiquer les problèmes de connectivité EE Server/VE Server.
•
L'authentification échoue même si les bons identifiants ont été saisis. Le fichier de consignation utilisé avec les journaux EE
Server/VE Server peut vous aider à diagnostiquer le problème.
Capturer les journaux lors du démarrage dans l'authentification avant démarrage (Hérité)
1
Créez un dossier sur un lecteur USB en le nommant\CredantSED au niveau de la racine du lecteur USB.
2
Créez un fichier nommé actions.txt et placez-le dans le dossier \CredantSED folder.
3
Dans actions.txt, ajoutez la ligne :
get environment
4
Enregistrez le fichier, puis fermez-le.
N'insérez pas le lecteur USB lorsque l'ordinateur est hors tension. Si le lecteur USB est déjà inséré quand l'ordinateur est à l'arrêt,
retirez-le.
5
Mettez l'ordinateur sous tension et connectez-vous via l'authentification avant démarrage. Insérez le lecteur USB dans l'ordinateur
d'où les journaux doivent être collectés au cours de cette étape.
6
Après l'insertion du lecteur USB, patientez 5 à 10 secondes, puis retirez-le.
Un fichier credpbaenv.tgz est créé dans le dossier \CredantSED contenant les fichiers journaux nécessaires.
Capturer les journaux lors du démarrage dans l'authentification avant démarrage (UEFI)
1
Créez un fichier appelé PBAErr.log au niveau de la racine du lecteur USB.
2
Insérez le lecteur USB avant la mise sous tension de l'ordinateur.
3
Retirez le lecteur USB après avoir reproduit le problème nécessitant les journaux.
Le fichier PBAErr.log sera mis à jour et écrit sur en temps réel.
Pilotes Dell ControlVault
Mettre à jour les pilotes et le micrologiciel Dell ControlVault
Les pilotes et le micrologiciel Dell ControlVault installés en usine sur les ordinateurs Dell sont obsolètes et doivent être mis à jour à l'aide
de la procédure suivante dans l'ordre indiqué.
Si, pendant l'installation du client, un message d'erreur vous invite à quitter le programme d'installation afin de mettre à jour les pilotes
Dell ControlVault, vous pouvez ignorer ce message en toute sécurité et poursuivre l'installation du client. Les pilotes (et le micrologiciel)
Dell ControlVault peuvent être mis à jour une fois l'installation du client terminée.
Télécharger les derniers pilotes
1
Rendez-vous sur le site support.dell.com.
2
Sélectionnez le modèle de votre ordinateur.
3
Sélectionnez Pilotes et téléchargements.
Dell Data Protection | Endpoint Security Suite
Dépannage
67
4
Sélectionnez le système d'exploitation de l'ordinateur cible.
5
Développez la catégorie Sécurité.
6
Téléchargez, puis enregistrez les pilotes Dell ControlVault.
7
Téléchargez, puis enregistrez le micrologiciel Dell ControlVault.
8
Copiez les pilotes et le micrologiciel sur les ordinateurs cibles, le cas échéant.
Installation du pilote Dell ControlVault
Accédez au dossier dans lequel vous avez téléchargé le fichier d'installation du pilote.
Double-cliquez sur le pilote Dell ControlVault pour lancer le fichier exécutable à extraction automatique.
:
Assurez-vous d'installer le pilote en premier. Le nom de fichier du pilote au moment de la création de ce document est
ControlVault_Setup_2MYJC_A37_ZPE.exe.
Cliquez sur Continuer pour commencer.
Cliquez sur Ok pour décompresser les fichiers de pilote dans l'emplacement par défaut de C:\Dell\Drivers\<New Folder>.
Cliquez sur Oui pour permettre la création d'un nouveau dossier.
Cliquez sur OK lorsque le message décompression réussie s'affiche.
Le dossier contenant les fichiers s'affiche après l'extraction. Sinon, naviguez vers le dossier dans lequel vous avez extrait les fichiers.
Dans ce cas, le dossier est JW22F.
Double-cliquez sur CVHCI64.MSI pour lancer le programme d'installation du pilote. [CVHCI64.MSI dans cet exemple, (CVHCI pour un
ordinateur 32 bits)].
Cliquez sur Suivant sur l'écran d'accueil.
Cliquez sur Suivant pour installer les pilotes dans l'emplacement par défaut de C:\Program Files\Broadcom Corporation\Broadcom
USH Host Components\.
Sélectionnez l'option Terminer, puis cliquez sur Suivant.
Cliquez sur Installer pour démarrer l'installation des pilotes.
Facultativement, cochez la case permettant d'afficher le fichier journal du programme d'installation. Cliquez sur Terminer pour fermer
l'Assistant.
Vérifiez l'installation du pilote.
Le Gestionnaire de périphérique disposera d'un périphérique Dell ControlVault (et d'autres périphériques) en fonction du système
d'exploitation et de la configuration matérielle.
Installer le micrologiciel Dell ControlVault
1
Accédez au dossier dans lequel vous avez téléchargé le fichier d'installation du micrologiciel.
2
Double-cliquez sur le micrologiciel Dell ControlVault pour lancer le fichier exécutable à extraction automatique.
3
Cliquez sur Continuer pour commencer.
4
Cliquez sur Ok pour décompresser les fichiers de pilote dans l'emplacement par défaut de C:\Dell\Drivers\<New Folder>.
5
Cliquez sur Oui pour permettre la création d'un nouveau dossier.
6
Cliquez sur OK lorsque le message décompression réussie s'affiche.
7
Le dossier contenant les fichiers s'affiche après l'extraction. Sinon, naviguez vers le dossier dans lequel vous avez extrait les fichiers.
Sélectionnez le dossier micrologiciel.
8
Double-cliquez sur ushupgrade.exe pour lancer le programme d'installation du micrologiciel.
9
Cliquez sur Démarrer pour commencer la mise à niveau du micrologiciel.
68
Dell Data Protection | Endpoint Security Suite
Dépannage
:
Vous devrez peut-être saisir le mot de passe admin lors d'une mise à niveau à partir d'une version antérieure du
micrologiciel. Entrez Broadcom en tant que le mot de passe et cliquez sur Entrée en présence de cette boîte de
dialogue.
Plusieurs messages d'état s'affichent.
10
Cliquez sur Redémarrer pour terminer la mise à niveau du micrologiciel.
La mise à jour des pilotes et du micrologiciel Dell ControlVault est terminée.
Ordinateurs UEFI
Résolution des problèmes de réseau
•
Pour que l'authentification avant démarrage réussisse sur un ordinateur équipé du micrologiciel UEFI, le mode d'authentification avant
démarrage (PBA) doit disposer de connectivité réseau. Par défaut, les ordinateurs équipés d'un micrologiciel UEFI ne disposent pas de
connectivité réseau tant que le système d'exploitation n'est pas chargé, ce qui intervient après le mode d'authentification avant
démarrage. Lorsque la procédure informatique décrite dans Configuration préalable à l'installation pour les ordinateurs UEFI aboutit et
qu'elle est correctement configurée, l'icône de connexion réseau apparaît dans l'écran d'authentification avant démarrage lorsque
l'ordinateur est connecté au réseau.
•
Vérifiez le câble réseau pour vous assurer qu'il est connecté à l'ordinateur si l'icône de connexion réseau ne s'affiche toujours pas
pendant l'authentification avant le démarrage. Redémarrez l'ordinateur pour relancer le mode PBA s'il n'était connecté ou s'il était ///
désactivé.
TPM et BitLocker
Codes d'erreur TPM et BitLocker
Constante/Valeur
Description
TPM_E_ERROR_MASK
Il s'agit d'un masque d'erreurs pour convertir les erreurs du module
de plateforme sécurisée (TPM) en erreurs win.
0x80280000
TPM_E_AUTHFAIL
Échec d'authentification.
0x80280001
TPM_E_BADINDEX
L'index d'un registre PCR, DIR ou autre est incorrect.
0x80280002
TPM_E_BAD_PARAMETER
Au moins un paramètre n'est pas valide
0x80280003
Dell Data Protection | Endpoint Security Suite
Dépannage
69
Constante/Valeur
Description
TPM_E_AUDITFAILURE
Une opération s'est déroulée correctement, mais son audit a
échoué.
0x80280004
TPM_E_CLEAR_DISABLED
0x80280005
TPM_E_DEACTIVATED
L'indicateur de désactivation de l'effacement est défini et toutes les
opérations de suppression nécessitent à présent un accès physique.
Activer le module de plateforme sécurisée (TPM).
0x80280006
TPM_E_DISABLED
Activer le module de plateforme sécurisée (TPM).
0x80280007
TPM_E_DISABLED_CMD
La commande cible a été désactivée.
0x80280008
TPM_E_FAIL
L'opération a échoué.
0x80280009
TPM_E_BAD_ORDINAL
L'ordinal était inconnu ou incohérent.
0x8028000A
TPM_E_INSTALL_DISABLED
La fonction d'installation d'un propriétaire est désactivée.
0x8028000B
TPM_E_INVALID_KEYHANDLE
Impossible d'interpréter le descripteur de clé.
0x8028000C
TPM_E_KEYNOTFOUND
Le descripteur de clé pointe vers une clé non valide.
0x8028000D
TPM_E_INAPPROPRIATE_ENC
Schéma de cryptage inacceptable.
0x8028000E
TPM_E_MIGRATEFAIL
Échec de l'autorisation de migration.
0x8028000F
TPM_E_INVALID_PCR_INFO
Impossible d'interpréter les informations PCR.
0x80280010
TPM_E_NOSPACE
Aucun espace pour charger la clé.
0x80280011
TPM_E_NOSRK
0x80280012
70
Dell Data Protection | Endpoint Security Suite
Dépannage
Aucune clé racine de stockage (Storage Root Key, SRK) n'est
définie.
Constante/Valeur
Description
TPM_E_NOTSEALED_BLOB
Un objet blob crypté n'est pas valide ou n'a pas été créé par ce
module TPM.
0x80280013
TPM_E_OWNER_SET
Le module TPM a déjà un propriétaire.
0x80280014
TPM_E_RESOURCES
0x80280015
TPM_E_SHORTRANDOM
Le module TPM ne dispose pas des ressources suffisantes pour
exécuter l'action demandée.
Une chaîne aléatoire était trop courte.
0x80280016
TPM_E_SIZE
0x80280017
TPM_E_WRONGPCRVAL
Le module TPM ne dispose pas de l'espace approprié pour exécuter
l'opération.
La valeur PCR nommée ne correspond pas à la valeur PCR actuelle.
0x80280018
TPM_E_BAD_PARAM_SIZE
L'argument paramSize dans la commande a une valeur incorrecte.
0x80280019
TPM_E_SHA_THREAD
Il n'existe pas d'unité d'exécution SHA-1 existante
0x8028001A
TPM_E_SHA_ERROR
0x8028001B
TPM_E_FAILEDSELFTEST
0x8028001C
TPM_E_AUTH2FAIL
0x8028001D
TPM_E_BADTAG
Le calcul ne peut pas être exécuté, car une erreur s'est déjà
produite sur l'unité d'exécution SHA-1.
Le périphérique matériel du Module de plateforme sécurisée (TPM)
a signalé une erreur lors de son auto-test interne. Essayez de
redémarrer l’ordinateur pour résoudre le problème. Si le problème
persiste, vous devrez peut-être remplacer le matériel du Module de
plateforme sécurisée (TPM) ou la carte mère.
Échec de l'autorisation pour la seconde clé d'une fonction à deux
clés.
La valeur d'indicateur envoyée pour une commande n'est pas valide.
0x8028001E
TPM_E_IOERROR
0x8028001F
TPM_E_ENCRYPT_ERROR
Une erreur d'E/S sortie s'est produite lors de la transmission des
informations au module TPM.
Un problème est apparu dans le processus de cryptage.
0x80280020
TPM_E_DECRYPT_ERROR
Le processus de cryptage ne s'est pas terminé.
Dell Data Protection | Endpoint Security Suite
Dépannage
71
Constante/Valeur
Description
0x80280021
TPM_E_INVALID_AUTHHANDLE
Un handle non valide a été utilisé.
0x80280022
TPM_E_NO_ENDORSEMENT
Le module TPM n'a pas de clé EK (Endorsement Key) installée.
0x80280023
TPM_E_INVALID_KEYUSAGE
L'utilisation d'une clé n'est pas autorisée.
0x80280024
TPM_E_WRONG_ENTITYTYPE
Le type d'entité envoyé n'est pas autorisé.
0x80280025
TPM_E_INVALID_POSTINIT
0x80280026
TPM_E_INAPPROPRIATE_SIG
0x80280027
TPM_E_BAD_KEY_PROPERTY
0x80280028
TPM_E_BAD_MIGRATION
La commande a été reçue dans la séquence inappropriée par
rapport à TPM_Init et à une commande TPM_Startup subséquente.
Les données signées ne peuvent pas contenir des informations DER
supplémentaires.
Les propriétés de clé dans TPM_KEY_PARMs ne sont pas
compatibles avec ce module TPM.
Les propriétés de migration de cette clé sont incorrectes.
0x80280029
TPM_E_BAD_SCHEME
0x8028002A
TPM_E_BAD_DATASIZE
0x8028002B
TPM_E_BAD_MODE
0x8028002C
TPM_E_BAD_PRESENCE
0x8028002D
TPM_E_BAD_VERSION
0x8028002E
TPM_E_NO_WRAP_TRANSPORT
0x8028002F
72
Dell Data Protection | Endpoint Security Suite
Dépannage
La signature ou le schéma de cryptage de cette clé sont incorrects
ou non autorisés dans ce cas.
La taille du paramètre de données (ou blob) est incorrecte ou
incohérente avec la clé référencée.
Un paramètre de mode est incorrect, par exemple capArea ou
subCapArea pour TPM_GetCapability ; physicalPresence pour
TPM_PhysicalPresence ou migrationType pour
TPM_CreateMigrationBlob.
La valeur de bits physicalPresence ou physicalPresenceLock est
erronée.
Le module TPM ne peut pas exécuter cette version de la
fonctionnalité.
Le module de plateforme sécurisée (TPM) ne tient pas compte des
sessions de transport encapsulées.
Constante/Valeur
Description
TPM_E_AUDITFAIL_UNSUCCESSFUL
La construction de l'audit du module de plateforme sécurisée
(TPM) a échoué ; la commande sous-jacente renvoyait également
un code d'échec.
0x80280030
TPM_E_AUDITFAIL_SUCCESSFUL
0x80280031
TPM_E_NOTRESETABLE
0x80280032
TPM_E_NOTLOCAL
La construction de l'audit du module de plateforme sécurisée TPM a
échoué et la commande sous-jacente a retourné un succès.
Tentative de réinitialisation d'un registre PCR dépourvu de l'attribut
réinitialisable.
0x80280033
Tentative de réinitialiser un registre PCR qui nécessite une localité,
et le modificateur de localité de fait pas partie du transport de
commande.
TPM_E_BAD_TYPE
Rendre la saisie de l'objet BLOB d'identité incorrecte.
0x80280034
TPM_E_INVALID_RESOURCE
0x80280035
TPM_E_NOTFIPS
0x80280036
TPM_E_INVALID_FAMILY
Lors de l'enregistrement du contexte, la ressource identifiée ne
correspond pas à la ressource réelle.
Le module TPM tente d'exécuter une commande uniquement
disponible en mode iFIPS.
La commande tente d'utiliser un ID de famille non valide.
0x80280037
TPM_E_NO_NV_PERMISSION
L'autorisation de manipuler le stockage NV n'est pas disponible.
0x80280038
TPM_E_REQUIRES_SIGN
L'opération nécessite une commande signée.
0x80280039
TPM_E_KEY_NOTSUPPORTED
Opération erronée pour charger une clé NV.
0x8028003A
TPM_E_AUTH_CONFLICT
0x8028003B
TPM_E_AREA_LOCKED
L'objet blob NV_LoadKey nécessite un propriétaire et une
autorisation blob.
La zone NV est verrouillée et non inscriptible.
0x8028003C
TPM_E_BAD_LOCALITY
La localité est incorrecte pour l'opération tentée.
0x8028003D
TPM_E_READ_ONLY
0x8028003E
La zone NV est en lecture seule et aucune donnée ne peut y être
écrite.
Dell Data Protection | Endpoint Security Suite
Dépannage
73
Constante/Valeur
Description
TPM_E_PER_NOWRITE
Aucune protection d'écriture dans la zone NV.
0x8028003F
TPM_E_FAMILYCOUNT
La valeur du compteur de familles ne correspond pas.
0x80280040
TPM_E_WRITE_LOCKED
Des données ont déjà été écrites dans la zone NV.
0x80280041
TPM_E_BAD_ATTRIBUTES
Conflit d'attributs de zone NV.
0x80280042
TPM_E_INVALID_STRUCTURE
0x80280043
TPM_E_KEY_OWNER_CONTROL
0x80280044
TPM_E_BAD_COUNTER
L'indicateur et la version de structure ne sont pas valides ou sont
incohérents.
La clé demeure sous le contrôle du propriétaire du module de
plateforme sécurisée (TPM), il est le seul à pouvoir l'expulser.
Le handle du compteur est incorrect.
0x80280045
TPM_E_NOT_FULLWRITE
L'écriture ne représente pas l'écriture complète de la zone.
0x80280046
TPM_E_CONTEXT_GAP
0x80280047
TPM_E_MAXNVWRITES
L'écart entre les nombres de contextes enregistrés est trop
important.
Le nombre maximum d'écritures NV sans propriétaire a été atteint.
0x80280048
TPM_E_NOOPERATOR
Aucune valeur AuthData d'opérateur n'est définie.
0x80280049
TPM_E_RESOURCEMISSING
La ressource désignée par le contexte n'est pas chargée.
0x8028004A
TPM_E_DELEGATE_LOCK
L'administration de délégation est verrouillée.
0x8028004B
TPM_E_DELEGATE_FAMILY
Tentative de gestion d'une famille autre que la famille déléguée.
0x8028004C
TPM_E_DELEGATE_ADMIN
0x8028004D
74
Dell Data Protection | Endpoint Security Suite
Dépannage
Gestion de table de délégation non activée.
Constante/Valeur
Description
TPM_E_TRANSPORT_NOTEXCLUSIVE
Une commande a été exécutée en dehors d'une session de
transport exclusive.
0x8028004E
TPM_E_OWNER_CONTROL
0x8028004F
TPM_E_DAA_RESOURCES
0x80280050
TPM_E_DAA_INPUT_DATA0
0x80280051
TPM_E_DAA_INPUT_DATA1
0x80280052
TPM_E_DAA_ISSUER_SETTINGS
Tentative d'enregistrer en contexte une clé dont l'expulsion est
contrôlée par le propriétaire.
La commande DAA n'a pas de ressources disponibles pour exécuter
la commande.
La vérification de cohérence sur le paramètre DAA inputData0 a
échoué.
La vérification de cohérence sur le paramètre DAA inputData1 a
échoué.
La vérification de cohérence sur DAA_issuerSettings a échoué.
0x80280053
TPM_E_DAA_TPM_SETTINGS
La vérification de cohérence sur DAA_tpmSpecific a échoué.
0x80280054
TPM_E_DAA_STAGE
0x80280055
TPM_E_DAA_ISSUER_VALIDITY
Le processus automatique indiqué par la commande DAA soumise
n'est pas le processus attendu.
La vérification de validité de l'émetteur a détecté une incohérence.
0x80280056
TPM_E_DAA_WRONG_W
La vérification de cohérence sur w a échoué.
0x80280057
TPM_E_BAD_HANDLE
Le gestionnaire n'est pas correct.
0x80280058
TPM_E_BAD_DELEGATE
La délégation n'est pas correcte.
0x80280059
TPM_E_BADCONTEXT
L'objet blob de contexte n'est pas valide.
0x8028005A
TPM_E_TOOMANYCONTEXTS
Trop de contextes détenus par le module TPM.
0x8028005B
TPM_E_MA_TICKET_SIGNATURE
La validation de la signature de migration a échoué.
0x8028005C
Dell Data Protection | Endpoint Security Suite
Dépannage
75
Constante/Valeur
Description
TPM_E_MA_DESTINATION
Destination de migration non authentifiée.
0x8028005D
TPM_E_MA_SOURCE
Source de migration incorrecte.
0x8028005E
TPM_E_MA_AUTHORITY
Autorité de migration incorrecte.
0x8028005F
TPM_E_PERMANENTEK
Tentative de révocation de EK alors qu'EK n'est pas révocable.
0x80280061
TPM_E_BAD_SIGNATURE
Signature incorrecte du ticket CMK.
0x80280062
TPM_E_NOCONTEXTSPACE
Aucune place dans la liste de contextes pour d'autres contextes.
0x80280063
TPM_E_COMMAND_BLOCKED
La commande a été bloquée.
0x80280400
TPM_E_INVALID_HANDLE
Le descripteur défini est introuvable.
0x80280401
TPM_E_DUPLICATE_VHANDLE
0x80280402
TPM_E_EMBEDDED_COMMAND_BLOCKED
Le module TPM a retourné un descripteur en double, et la
commande doit être resoumise.
La commande a été bloquée dans le transport.
0x80280403
TPM_E_EMBEDDED_COMMAND_UNSUPPORTED
La commande dans le transport n'est pas prise en charge.
0x80280404
TPM_E_RETRY
0x80280800
Le module de plateforme sécurisée (TPM) est trop occupé pour
répondre immédiatement à la commande, mais celle-ci pourra de
nouveau être soumise ultérieurement.
TPM_E_NEEDS_SELFTEST
SelfTestFull n'a pas été exécuté.
0x80280801
TPM_E_DOING_SELFTEST
Le module TPM exécute un autotest complet.
0x80280802
TPM_E_DEFEND_LOCK_RUNNING
0x80280803
76
Dell Data Protection | Endpoint Security Suite
Dépannage
Le module de plateforme sécurisée (TPM) se défend actuellement
contre les attaques par dictionnaire et il observe un délai d'attente.
Constante/Valeur
Description
TBS_E_INTERNAL_ERROR
Une erreur logicielle interne a été détectée.
0x80284001
TBS_E_BAD_PARAMETER
Au moins un paramètre d'entrée n'est pas valide.
0x80284002
TBS_E_INVALID_OUTPUT_POINTER
Un pointeur de sortie défini est incorrect.
0x80284003
TBS_E_INVALID_CONTEXT
0x80284004
TBS_E_INSUFFICIENT_BUFFER
Le handle de contexte défini ne fait pas référence à un contexte
valide.
Une mémoire tampon de sortie définie est trop petite.
0x80284005
TBS_E_IOERROR
Erreur de communication avec le module TPM.
0x80284006
TBS_E_INVALID_CONTEXT_PARAM
Au moins un paramètre de contexte n'est pas valide
0x80284007
TBS_E_SERVICE_NOT_RUNNING
Le service TBS n'est pas actif ou n'a pas pu démarrer.
0x80284008
TBS_E_TOO_MANY_TBS_CONTEXTS
0x80284009
TBS_E_TOO_MANY_RESOURCES
0x8028400A
TBS_E_SERVICE_START_PENDING
Aucun contexte n'a pu être créé, car un trop grand nombre de
contextes sont ouverts.
Aucune ressource n'a pu être créée, car un trop grand nombre de
ressources virtuelles sont ouvertes.
Le service TBS a été démarré, mais il n'est pas actif.
0x8028400B
TBS_E_PPI_NOT_SUPPORTED
L'interface de présence physique n'est pas prise en charge.
0x8028400C
TBS_E_COMMAND_CANCELED
La commande a été annulée.
0x8028400D
TBS_E_BUFFER_TOO_LARGE
Le tampon d'entrée ou de sortie est trop volumineux.
0x8028400E
TBS_E_TPM_NOT_FOUND
0x8028400F
Aucun périphérique de sécurité TPM n'a été trouvé sur cet
ordinateur.
Dell Data Protection | Endpoint Security Suite
Dépannage
77
Constante/Valeur
Description
TBS_E_SERVICE_DISABLED
Le service TBS a été désactivé.
0x80284010
TBS_E_NO_EVENT_LOG
Aucun journal d'événements TCG disponible.
0x80284011
TBS_E_ACCESS_DENIED
0x80284012
TBS_E_PROVISIONING_NOT_ALLOWED
0x80284013
TBS_E_PPI_FUNCTION_UNSUPPORTED
0x80284014
TBS_E_OWNERAUTH_NOT_FOUND
0x80284015
TBS_E_PROVISIONING_INCOMPLETE
L'appelant ne dispose pas des droits appropriés pour exécuter
l'opération demandée
L’action de configuration du module de plateforme sécurisée (TPM)
n’est pas autorisée par les indicateurs. Pour que la configuration soit
prise en compte, l’une des nombreuses actions peut être requise.
L’action de la console de gestion du module de plateforme sécurisée
(tpm.msc) permettant de préparer le module de plateforme
sécurisée (TPM) peut s’avérer utile. Pour plus d’informations,
consultez la documentation relative à la méthode WMI Win32_Tpm
« Provision ». (Parmi les actions qui peuvent être nécessaires
figurent l’importation de la valeur d’autorisation du propriétaire du
module de plateforme sécurisée dans le système, l’appel de la
méthode Win32_Tpm WMI pour la configuration du module de
plateforme sécurisée (TPM) et la spécification de la valeur TRUE
pour « ForceClear_Allowed » ou
« PhysicalPresencePrompts_Allowed » (comme indiqué par la
valeur retournée dans les Informations supplémentaires), ou
l’activation du module de plateforme sécurisée (TPM) dans le BIOS
du système.)
L’interface de présence physique de ce microprogramme ne prend
pas en charge la méthode demandée.
La valeur d’autorisation du propriétaire du module de plateforme
sécurisée (TPM) demandée est introuvable.
0x80284016
Impossible de terminer la configuration du module de plateforme
sécurisée (TPM). Pour plus d’informations sur l’exécution de la
configuration, appelez la méthode WMI Win32_Tpm pour configurer
le module de plateforme sécurisée (« Provision »), puis vérifiez les
informations retournée.
TPMAPI_E_INVALID_STATE
Le tampon de la commande n'est pas en état correct.
0x80290100
TPMAPI_E_NOT_ENOUGH_DATA
0x80290101
TPMAPI_E_TOO_MUCH_DATA
0x80290102
TPMAPI_E_INVALID_OUTPUT_POINTER
Les données contenues dans le tampon de commande ne sont pas
suffisantes pour satisfaire la demande.
Les données contenues dans le tampon de commande ne sont pas
suffisantes pour satisfaire la demande.
Au moins un paramètre de sortie était de valeur NULL ou incorrect.
0x80290103
TPMAPI_E_INVALID_PARAMETER
78
Dell Data Protection | Endpoint Security Suite
Dépannage
Au moins un paramètre d'entrée n'est pas valide
Constante/Valeur
Description
0x80290104
TPMAPI_E_OUT_OF_MEMORY
Mémoire insuffisante pour satisfaire la demande.
0x80290105
TPMAPI_E_BUFFER_TOO_SMALL
Le tampon spécifié était trop petit.
0x80290106
TPMAPI_E_INTERNAL_ERROR
Une erreur interne a été détectée.
0x80290107
TPMAPI_E_ACCESS_DENIED
0x80290108
TPMAPI_E_AUTHORIZATION_FAILED
L'appelant ne dispose pas des droits appropriés pour exécuter
l'opération demandée
Les informations d'autorisation spécifiées étaient inexactes.
0x80290109
TPMAPI_E_INVALID_CONTEXT_HANDLE
Le handle de contexte spécifié était incorrect.
0x8029010A
TPMAPI_E_TBS_COMMUNICATION_ERROR
Erreur de communication avec le TBS.
0x8029010B
TPMAPI_E_TPM_COMMAND_ERROR
La plateforme sécurisée (TPM) a renvoyé un résultat imprévu.
0x8029010C
TPMAPI_E_MESSAGE_TOO_LARGE
Le message était trop volumineux pour le schéma de codage.
0x8029010D
TPMAPI_E_INVALID_ENCODING
Le codage de l'objet BLOB n'a pas été reconnu.
0x8029010E
TPMAPI_E_INVALID_KEY_SIZE
La taille de clé n'est pas valide.
0x8029010F
TPMAPI_E_ENCRYPTION_FAILED
L'opération de cryptage a échoué.
0x80290110
TPMAPI_E_INVALID_KEY_PARAMS
La structure des paramètres de clé n'était pas valide
0x80290111
TPMAPI_E_INVALID_MIGRATION_AUTHORIZATION_BLOB
0x80290112
TPMAPI_E_INVALID_PCR_INDEX
Les données requises fournies ne semblent pas correspondre à un
objet BLOB d'autorisation de migration valide.
L'index PCR spécifié était incorrect.
Dell Data Protection | Endpoint Security Suite
Dépannage
79
Constante/Valeur
Description
0x80290113
TPMAPI_E_INVALID_DELEGATE_BLOB
0x80290114
TPMAPI_E_INVALID_CONTEXT_PARAMS
Les données en question ne semblent pas correspondre à un objet
BLOB de délégation valide.
Au moins un paramètre de contexte n'était pas valide.
0x80290115
TPMAPI_E_INVALID_KEY_BLOB
0x80290116
TPMAPI_E_INVALID_PCR_DATA
Les données en question ne semblent pas correspondre à un objet
BLOB de clé valide.
Les données PCR définies n'étaient pas corrects.
0x80290117
TPMAPI_E_INVALID_OWNER_AUTH
Le format des données auth du propriétaire n'étaient pas valides.
0x80290118
TPMAPI_E_FIPS_RNG_CHECK_FAILED
0x80290119
TPMAPI_E_EMPTY_TCG_LOG
Le nombre aléatoire généré n'a pas passé avec succès le contrôle
FIPS RNG.
Le journal des événements TCG ne contient pas de données.
0x8029011A
TPMAPI_E_INVALID_TCG_LOG_ENTRY
Une entrée du journal d'événements TCG n'était pas valide.
0x8029011B
TPMAPI_E_TCG_SEPARATOR_ABSENT
Un séparateur TCG est introuvable.
0x8029011C
TPMAPI_E_TCG_INVALID_DIGEST_ENTRY
0x8029011D
TPMAPI_E_POLICY_DENIES_OPERATION
Une valeur digest contenue dans une entrée du journal TCG ne
correspond pas aux données hachées.
0x8029011E
L’opération demandée a été bloquée par la stratégie actuelle du
module de plateforme sécurisée (TPM). Contactez votre
administrateur système pour obtenir de l’aide.
TBSIMP_E_BUFFER_TOO_SMALL
Le tampon spécifié était trop petit.
0x80290200
TBSIMP_E_CLEANUP_FAILED
Le contexte n'a pas pu être nettoyé.
0x80290201
TBSIMP_E_INVALID_CONTEXT_HANDLE
Le handle de contexte spécifié est incorrect.
0x80290202
TBSIMP_E_INVALID_CONTEXT_PARAM
80
Dell Data Protection | Endpoint Security Suite
Dépannage
Un paramètre de contexte incorrect a été spécifié.
Constante/Valeur
Description
0x80290203
TBSIMP_E_TPM_ERROR
Erreur de communication avec la plateforme sécurisée (TPM).
0x80290204
TBSIMP_E_HASH_BAD_KEY
Aucune entrée avec la clé spécifiée n'a été trouvée.
0x80290205
TBSIMP_E_DUPLICATE_VHANDLE
Le handle virtuel spécifié correspond à un handle virtuel déjà utilisé.
0x80290206
TBSIMP_E_INVALID_OUTPUT_POINTER
0x80290207
TBSIMP_E_INVALID_PARAMETER
La valeur du pointeur vers l'emplacement de handle spécifié était
NUL ou incorrecte.
Au moins un paramètre est incorrect.
0x80290208
TBSIMP_E_RPC_INIT_FAILED
L'initialisation du sous-système RPC était impossible.
0x80290209
TBSIMP_E_SCHEDULER_NOT_RUNNING
Le planificateur TBS ne s'exécute pas.
0x8029020A
TBSIMP_E_COMMAND_CANCELED
La commande a été annulée.
0x8029020B
TBSIMP_E_OUT_OF_MEMORY
Mémoire insuffisante pour répondre à la demande
0x8029020C
TBSIMP_E_LIST_NO_MORE_ITEMS
La liste spécifiée est vide ou l'itération a atteint la fin de la liste.
0x8029020D
TBSIMP_E_LIST_NOT_FOUND
L'élément spécifié est introuvable dans la liste.
0x8029020E
TBSIMP_E_NOT_ENOUGH_SPACE
0x8029020F
TBSIMP_E_NOT_ENOUGH_TPM_CONTEXTS
0x80290210
TBSIMP_E_COMMAND_FAILED
L'espace offert par le module de plateforme sécurisée (TPM) est
insuffisant pour charger la ressource demandée.
Les contextes du module TPM en cours d'utilisation sont trop
nombreux.
La commande de plateforme sécurisée (TPM) a échoué.
0x80290211
TBSIMP_E_UNKNOWN_ORDINAL
Le service TBS ne reconnaît pas l'ordinal spécifié.
Dell Data Protection | Endpoint Security Suite
Dépannage
81
Constante/Valeur
Description
0x80290212
TBSIMP_E_RESOURCE_EXPIRED
La ressource demandée n'est plus disponible.
0x80290213
TBSIMP_E_INVALID_RESOURCE
Le type de ressource ne correspondait pas.
0x80290214
TBSIMP_E_NOTHING_TO_UNLOAD
Aucune ressource ne peut être déchargée.
0x80290215
TBSIMP_E_HASH_TABLE_FULL
Aucune nouvelle entrée ne peut être ajoutée à la table de hachage.
0x80290216
TBSIMP_E_TOO_MANY_TBS_CONTEXTS
0x80290217
TBSIMP_E_TOO_MANY_RESOURCES
0x80290218
TBSIMP_E_PPI_NOT_SUPPORTED
Impossible de créer un nouveau contexte TBS, car il y a trop de
contextes ouverts.
Aucune ressource n'a pu être créée, car un trop grand nombre de
ressources virtuelles sont ouvertes.
L'interface de présence physique n'est pas prise en charge.
0x80290219
TBSIMP_E_TPM_INCOMPATIBLE
0x8029021A
TBSIMP_E_NO_EVENT_LOG
TBS non compatible avec la version du TPM qui figure sur le
système.
Aucun journal d'événements TCG disponible.
0x8029021B
TPM_E_PPI_ACPI_FAILURE
0x80290300
TPM_E_PPI_USER_ABORT
0x80290301
TPM_E_PPI_BIOS_FAILURE
0x80290302
TPM_E_PPI_NOT_SUPPORTED
Une erreur générale a été détectée lors de l'acquisition de la réponse
du BIOS à la commande Physical Presence.
L'utilisateur n'a pas pu confirmer la demande d'opération du module
de plateforme sécurisée (TPM).
L'exécution de l'opération TPM demandée n'a pu se dérouler
correctement en raison de l'échec du BIOS (par ex. demande
d'opération TPM non valide, erreur de communication BIOS avec le
module TPM).
Le BIOS ne prend pas en charge l'interface de présence physique?
0x80290303
TPM_E_PPI_BLOCKED_IN_BIOS
0x80290304
82
Dell Data Protection | Endpoint Security Suite
Dépannage
La commande de présence physique a été bloquée par les
paramètres du BIOS actuels. Le propriétaire du système peut être
en mesure de reconfigurer les paramètres du BIOS pour autoriser la
commande.
Constante/Valeur
Description
TPM_E_PCP_ERROR_MASK
Il s’agit d’un masque d’erreurs destiné à convertir les erreurs du
fournisseur de cryptage de plateforme en erreurs win.
0x80290400
TPM_E_PCP_DEVICE_NOT_READY
0x80290401
TPM_E_PCP_INVALID_HANDLE
0x80290402
TPM_E_PCP_INVALID_PARAMETER
0x80290403
TPM_E_PCP_FLAG_NOT_SUPPORTED
0x80290404
TPM_E_PCP_NOT_SUPPORTED
0x80290405
TPM_E_PCP_BUFFER_TOO_SMALL
0x80290406
TPM_E_PCP_INTERNAL_ERROR
0x80290407
TPM_E_PCP_AUTHENTICATION_FAILED
Le périphérique de cryptage de plateforme n’est pas prêt pour le
moment. Il doit être entièrement déployé pour être opérationnel.
Le handle communiqué au fournisseur de cryptage de plateforme
n’est pas valide.
Un paramètre communiqué au fournisseur de cryptage de
plateforme n’est pas valide.
Un indicateur communiqué au fournisseur de cryptage de
plateforme n’est pas pris en charge.
L'opération demandée n'est pas prise en charge par ce fournisseur
de cryptage de plateforme.
Le tampon est trop petit pour contenir toutes les données. Aucune
information écrite dans le tampon.
Une erreur interne imprévue s'est produite dans le fournisseur de
cryptage de plateforme.
Échec de l’autorisation d’utiliser un objet fournisseur.
0x80290408
TPM_E_PCP_AUTHENTICATION_IGNORED
0x80290409
Le périphérique de cryptage de plateforme a ignoré l’autorisation
accordée à l’objet fournisseur de se défendre contre une attaque
par dictionnaire.
TPM_E_PCP_POLICY_NOT_FOUND
La règle référencée est introuvable.
0x8029040A
TPM_E_PCP_PROFILE_NOT_FOUND
Le profil référencé est introuvable.
0x8029040B
TPM_E_PCP_VALIDATION_FAILED
La validation n'a pas réussi.
0x8029040C
PLA_E_DCS_NOT_FOUND
Ensemble Data Collector introuvable.
0x80300002
PLA_E_DCS_IN_USE
0x803000AA
L'ensemble de collecteurs de données ou l'une des ses dépendances
est déjà utilisé.
Dell Data Protection | Endpoint Security Suite
Dépannage
83
Constante/Valeur
Description
PLA_E_TOO_MANY_FOLDERS
Impossible de démarrer l'ensemble de collecteurs de données car le
nombre de dossiers est trop important.
0x80300045
PLA_E_NO_MIN_DISK
0x80300070
PLA_E_DCS_ALREADY_EXISTS
L'espace disque disponible est insuffisant pour lancer l'ensemble de
collecteurs de données.
Le collecteur de données existe déjà.
0x803000B7
PLA_S_PROPERTY_IGNORED
La valeur de propriété sera ignorée.
0x00300100
PLA_E_PROPERTY_CONFLICT
Conflit de valeur de propriété.
0x80300101
PLA_E_DCS_SINGLETON_REQUIRED
0x80300102
PLA_E_CREDENTIALS_REQUIRED
0x80300103
PLA_E_DCS_NOT_RUNNING
0x80300104
PLA_E_CONFLICT_INCL_EXCL_API
0x80300105
PLA_E_NETWORK_EXE_NOT_VALID
0x80300106
PLA_E_EXE_ALREADY_CONFIGURED
0x80300107
PLA_E_EXE_PATH_NOT_VALID
0x80300108
PLA_E_DC_ALREADY_EXISTS
La configuration actuelle de cet ensemble de collecteurs de
données spécifie qu'il ne peut contenir qu'un seul collecteur de
données.
Un compte d'utilisateur est nécessaire pour valider les propriétés de
l'actuel ensemble de collecteurs de données.
L'ensemble de collecteurs de données ne fonctionne pas
actuellement.
Un conflit a été détecté dans les listes d'inclusion et d'exclusion des
API. Ne spécifiez pas la même API dans ces deux listes.
Le chemin d'accès de l'exécutable spécifié fait référence à un
partage réseau ou à un chemin d'accès UNC.
Le chemin d'accès de l'exécutable que vous avez spécifié est déjà
configuré pour le suivi de l'API.
Le chemin d'accès de l'exécutable que vous avez spécifié n'existe
pas. Vérifiez que ce chemin est correct.
Le collecteur de données existe déjà.
0x80300109
PLA_E_DCS_START_WAIT_TIMEOUT
0x8030010A
PLA_E_DC_START_WAIT_TIMEOUT
0x8030010B
84
Dell Data Protection | Endpoint Security Suite
Dépannage
Le délai d'attente avant que l'ensemble de collecteurs de données
lance les notifications a expiré.
Le délai d'attente avant que l'ensemble de collecteurs de données
démarre a expiré.
Constante/Valeur
Description
PLA_E_REPORT_WAIT_TIMEOUT
Le délai d'attente avant que l'outil de génération de rapport se
termine a expiré.
0x8030010C
PLA_E_NO_DUPLICATES
Les doublons ne sont pas autorisés.
0x8030010D
PLA_E_EXE_FULL_PATH_REQUIRED
0x8030010E
Lorsque vous spécifiez l'exécutable à suivre, vous devez indiquer un
chemin d'accès complet vers cet exécutable et pas seulement un
nom de fichier.
PLA_E_INVALID_SESSION_NAME
Le nom de session fourni n'est pas valide.
0x8030010F
PLA_E_PLA_CHANNEL_NOT_ENABLED
0x80300110
PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED
0x80300111
PLA_E_RULES_MANAGER_FAILED
Le canal Microsoft-Windows-Diagnosis-PLA/Operational du journal
des événements doit être activé pour effectuer cette opération.
Le canal Microsoft-Windows-TaskScheduler du journal des
événements doit être activé pour effectuer cette opération.
Échec de l'exécution du Gestionnaire de messages.
0x80300112
PLA_E_CABAPI_FAILURE
0x80300113
FVE_E_LOCKED_VOLUME
Une erreur s'est produite lors de la tentative de compression ou
d'extraction des données.
0x80310000
Ce disque est verrouillé par le cryptage de disque de BitLocker.
Vous devez déverrouiller ce disque depuis le Panneau de
configuration.
FVE_E_NOT_ENCRYPTED
Le disque n'est pas crypté.
0x80310001
FVE_E_NO_TPM_BIOS
0x80310002
FVE_E_NO_MBR_METRIC
0x80310003
FVE_E_NO_BOOTSECTOR_METRIC
0x80310004
FVE_E_NO_BOOTMGR_METRIC
0x80310005
Le BIOS n'a pas communiqué correctement avec le module de
plateforme sécurisée (TPM). Contactez le fabricant de l'ordinateur
pour obtenir des instructions de mise à niveau du BIOS.
Le BIOS n'a pas communiqué correctement avec le secteur de
démarrage principal. Contactez le fabricant de l'ordinateur pour
obtenir des instructions de mise à niveau du BIOS.
Une mesure TPM requise est manquante. Si un CD/DVD de
démarrage est présent dans l’ordinateur, retirez-le, redémarrez
l’ordinateur, puis activez de nouveau BitLocker. Si le problème
persiste, assurez-vous que l’enregistrement de démarrage principal
est à jour.
Le secteur de démarrage de ce lecteur n’est pas compatible avec le
cryptage de lecteur BitLocker. Utilisez l’outil bootrec.exe de
l’environnement de récupération Windows pour mettre à jour ou
réparer le gestionnaire de démarrage (BOOTMGR).
Dell Data Protection | Endpoint Security Suite
Dépannage
85
Constante/Valeur
Description
FVE_E_WRONG_BOOTMGR
Le gestionnaire de démarrage de ce système d’exploitation n’est pas
compatible avec le cryptage de lecteur BitLocker. Utilisez l’outil
bootrec.exe de l’environnement de récupération Windows pour
mettre à jour ou réparer le gestionnaire de démarrage (BOOTMGR).
0x80310006
FVE_E_SECURE_KEY_REQUIRED
0x80310007
FVE_E_NOT_ACTIVATED
0x80310008
FVE_E_ACTION_NOT_ALLOWED
0x80310009
FVE_E_AD_SCHEMA_NOT_INSTALLED
0x8031000A
FVE_E_AD_INVALID_DATATYPE
0x8031000B
FVE_E_AD_INVALID_DATASIZE
0x8031000C
FVE_E_AD_NO_VALUES
0x8031000D
FVE_E_AD_ATTR_NOT_SET
0x8031000E
FVE_E_AD_GUID_NOT_FOUND
0x8031000F
FVE_E_BAD_INFORMATION
0x80310010
FVE_E_TOO_SMALL
0x80310011
FVE_E_SYSTEM_VOLUME
0x80310012
86
Dell Data Protection | Endpoint Security Suite
Dépannage
Au moins un protecteur de clé sécurisée est requis pour réaliser
cette opération.
Le cryptage de lecteur BitLocker n’est pas activé sur ce lecteur.
Activez le cryptage de lecteur.
Le cryptage de lecteur BitLocker ne peut pas exécuter l'action
demandée. Cette erreur peut se produire lorsque deux demandes
sont effectuées en même temps. Patientez quelques instants, puis
réessayez.
La forêt des services de domaine Active Directory ne contient pas
les attributs et les classes nécessaires pour héberger les
informations de cryptage de lecteur BitLocker ou celles du module
de plateforme sécurisée TPM. Contactez votre administrateur de
domaine pour vérifier que toutes les extensions de schéma Active
Directory BitLocker requises ont été installées.
Le type de donnée obtenu à partir d'Active Directory était inattendu.
Il est possible que les informations de récupération BitLocker soient
manquantes ou endommagées.
La taille des données obtenues à partir d'Active Directory était
inattendue. Il est possible que les informations de récupération
BitLocker soient manquantes ou endommagées.
L’attribut lu à partir d’Active Directory ne contient aucune valeur. Il
est possible que les informations de récupération BitLocker soient
manquantes ou endommagées.
L'attribut n'a pas été défini. L’attribut n’était pas défini. Vérifiez que
vous êtes connecté à l’aide d’un compte de domaine autorisé à
écrire des informations dans les objets Active Directory.
L'attribut défini est introuvable dans les services de domaine Active
Directory. Contactez votre administrateur de domaine pour vérifier
que toutes les extensions de schéma Active Directory BitLocker
requises ont été installées.
Les métadonnées BitLocker du lecteur crypté ne sont pas valides.
Vous pouvez essayer de réparer le lecteur pour restaurer l’accès.
Le lecteur ne peut pas être crypté car il ne contient pas
suffisamment d’espace libre. Supprimez toutes données inutiles
pour libérer de l’espace, puis réessayez.
Le lecteur ne peut pas être crypté car il contient les informations de
démarrage du système. Créez une première partition contenant les
informations de démarrage qui sera utilisée comme lecteur système
et une seconde qui sera utilisée comme lecteur du système
d’exploitation, puis chiffrez le lecteur du système d’exploitation.
Constante/Valeur
Description
FVE_E_FAILED_WRONG_FS
Impossible de crypter le disque, car le système de fichiers n'est pas
pris en charge.
0x80310013
FVE_E_BAD_PARTITION_SIZE
0x80310014
FVE_E_NOT_SUPPORTED
La taille du système de fichiers dépasse celle des partitions dans la
table de partitions. Ce disque peut être corrompu ou a peut-être été
altéré. Pour l'utiliser avec BitLocker, vous devez reformater la
partition.
Ce disque ne peut pas être crypté.
0x80310015
FVE_E_BAD_DATA
Les données ne sont pas valides.
0x80310016
FVE_E_VOLUME_NOT_BOUND
0x80310017
FVE_E_TPM_NOT_OWNED
0x80310018
FVE_E_NOT_DATA_VOLUME
0x80310019
FVE_E_AD_INSUFFICIENT_BUFFER
0x8031001A
FVE_E_CONV_READ
0x8031001B
FVE_E_CONV_WRITE
0x8031001C
FVE_E_KEY_REQUIRED
0x8031001D
FVE_E_CLUSTERING_NOT_SUPPORTED
0x8031001E
FVE_E_VOLUME_BOUND_ALREADY
0x8031001F
FVE_E_OS_NOT_PROTECTED
0x80310020
FVE_E_PROTECTION_DISABLED
0x80310021
Le lecteur de données spécifié n’est pas configuré pour le
déverrouillage automatique sur l’ordinateur actuel et ne peut donc
pas être déverrouillé automatiquement.
Vous devez initialiser le module de plateforme sécurisée (TPM) pour
pouvoir utiliser le cryptage de lecteur BitLocker.
Impossible d'effectuer l'opération tentée sur un disque du système
d'exploitation.
La mémoire tampon dédiée à une fonction était insuffisante pour
contenir les données renvoyées. Augmentez la taille de la mémoire
tampon avant d’exécuter de nouveau cette fonction.
Une opération de lecture a échoué lors de la conversion du disque.
Le disque n'a pas été converti. Veuillez réactiver BitLocker.
Une opération d'écriture a échoué lors de la conversion du disque.
Le disque n'a pas été converti. Veuillez réactiver BitLocker.
Au moins un protecteur de clé BitLocker est requis. Vous ne pouvez
pas supprimer la dernière clé sur ce lecteur.
Les configurations de cluster ne sont pas prises en charge par le
cryptage de lecteur BitLocker.
Le lecteur spécifié est déjà configuré pour être automatiquement
déverrouillé sur l’ordinateur actuel.
Le lecteur du système d’exploitation n’est pas protégé par le
cryptage de lecteur BitLocker.
Le cryptage de lecteur BitLocker a été suspendu sur ce lecteur.
Tous les protecteurs de clés BitLocker configurés pour ce lecteur
Dell Data Protection | Endpoint Security Suite
Dépannage
87
Constante/Valeur
Description
sont désactivés et le lecteur sera automatiquement déverrouillé à
l’aide d’une clé non cryptée (claire).
FVE_E_RECOVERY_KEY_REQUIRED
0x80310022
FVE_E_FOREIGN_VOLUME
0x80310023
FVE_E_OVERLAPPED_UPDATE
0x80310024
FVE_E_TPM_SRK_AUTH_NOT_ZERO
0x80310025
FVE_E_FAILED_SECTOR_SIZE
0x80310026
FVE_E_FAILED_AUTHENTICATION
0x80310027
FVE_E_NOT_OS_VOLUME
Aucun protecteur de clé pour le chiffrage n’est disponible pour le
lecteur que vous essayez de verrouiller car la protection BitLocker
est actuellement suspendue. Activez de nouveau BitLocker pour
verrouiller ce lecteur.
BitLocker ne peut pas utiliser le module de plateforme sécurisée
(TPM) pour protéger un lecteur de données. La protection du
module de plateforme sécurisée ne peut être utilisée qu’avec le
lecteur du système d’exploitation.
Les métadonnées BitLocker du lecteur crypté ne peuvent pas être
mises à jour car elles ont été verrouillées pour mise à jour par un
autre processus. Veuillez réessayer.
Les données d'autorisation de la clé de racine de stockage (SRK) du
module de plateforme sécurisée (TPM) n´ayant pas la valeur zéro,
sont incompatibles avec BitLocker. Veuillez initialiser le TPM avant
de tenter de l'utiliser avec BitLocker.
L’algorithme de cryptage du lecteur ne peut pas être utilisé avec
cette taille de secteur.
Impossible de déverrouiller le lecteur avec la clé fournie. Vérifiez que
la clé est correcte, puis réessayez.
Le lecteur spécifié ne contient pas le système d’exploitation.
0x80310028
FVE_E_AUTOUNLOCK_ENABLED
0x80310029
FVE_E_WRONG_BOOTSECTOR
0x8031002A
FVE_E_WRONG_SYSTEM_FS
0x8031002B
FVE_E_POLICY_PASSWORD_REQUIRED
0x8031002C
FVE_E_CANNOT_SET_FVEK_ENCRYPTED
0x8031002D
FVE_E_CANNOT_ENCRYPT_NO_KEY
0x8031002E
88
Dell Data Protection | Endpoint Security Suite
Dépannage
Le cryptage de lecteur BitLocker ne peut pas être désactivé sur le
lecteur du système d’exploitation tant que la fonction de
déverrouillage automatique n’a pas été désactivée pour les lecteurs
de données fixes et amovibles associés à cet ordinateur.
Le secteur de démarrage de la partition système n'effectue pas de
mesures TPM. Utilisez l’outil bootrec.exe de l’environnement de
récupération Windows pour mettre à jour ou réparer le secteur de
démarrage.
Les lecteurs du système d’exploitation doivent être formatés avec le
système de fichiers NTFS pour pouvoir être cryptés avec le
cryptage de lecteur BitLocker. Convertissez le lecteur en NTFS, puis
activez BitLocker.
Les paramètres de stratégie de groupe exigent qu’un mot de passe
de récupération soit spécifié avant de crypter le lecteur.
L’algorithme et la clé de cryptage du volume ne peuvent pas être
définis sur un lecteur déjà crypté. Pour crypter ce lecteur avec le
cryptage de lecteur BitLocker, retirez le cryptage précédent, puis
activez BitLocker.
Le cryptage de lecteur BitLocker ne peut pas crypter le lecteur
spécifié car aucune clé de cryptage n’est disponible. Ajoutez un
protecteur de clé pour crypter ce lecteur.
Constante/Valeur
Description
FVE_E_BOOTABLE_CDDVD
Le cryptage de lecteur BitLocker a détecté la présence d’un média
de démarrage amovible (CD ou DVD) dans l’ordinateur. Retirez le
média, puis redémarrez l’ordinateur avant de configurer BitLocker.
0x80310030
FVE_E_PROTECTOR_EXISTS
0x80310031
FVE_E_RELATIVE_PATH
0x80310032
FVE_E_PROTECTOR_NOT_FOUND
0x80310033
FVE_E_INVALID_KEY_FORMAT
0x80310034
FVE_E_INVALID_PASSWORD_FORMAT
0x80310035
FVE_E_FIPS_RNG_CHECK_FAILED
Impossible d’ajouter ce protecteur de clé. Un seul protecteur de clé
de ce type est autorisé pour ce lecteur.
Le fichier de mot de passe de récupération est introuvable car un
chemin d’accès relatif a été spécifié. Les mots de passe de
récupération doivent être enregistrés dans un chemin d’accès
complet. Les variables d’environnement configurées sur l’ordinateur
peuvent être utilisées dans le chemin d’accès.
Le protecteur de clé spécifié est introuvable sur le lecteur. Essayezen un autre.
La clé de récupération fournie est endommagée et ne peut pas être
utilisée pour accéder au lecteur. Une autre méthode de récupération
comme un mot de passe de récupération, un agent de récupération
de données ou une version de sauvegarde de la clé de récupération
doit être utilisée pour retrouver l’accès au lecteur.
Le format du mot de passe de récupération n’est pas valide. Les
mots de passe de récupération BitLocker sont formés de 48
chiffres. Vérifiez que le mot de passe de restauration est correct,
puis réessayez.
Échec du test de contrôle du générateur de nombres aléatoires.
0x80310036
FVE_E_FIPS_PREVENTS_RECOVERY_PASSWORD
0x80310037
FVE_E_FIPS_PREVENTS_EXTERNAL_KEY_EXPORT
0x80310038
FVE_E_NOT_DECRYPTED
0x80310039
FVE_E_INVALID_PROTECTOR_TYPE
0x8031003A
FVE_E_NO_PROTECTORS_TO_TEST
0x8031003B
Le paramètre de stratégie de groupe qui nécessite la compatibilité
FIPS empêche la génération ou l’utilisation d’un mot de passe de
récupération local par le cryptage de lecteur BitLocker. En mode de
compatibilité FIPS, les options de récupération BitLocker peuvent
être une clé de récupération stockée sur un disque USB ou un agent
de récupération de données.
Le paramètre de stratégie de groupe qui nécessite la compatibilité
FIPS empêche l’enregistrement du mot de passe de récupération
dans Active Directory. En mode de compatibilité FIPS, les options de
récupération BitLocker peuvent être une clé de récupération
stockée sur un disque USB ou un agent de récupération de
données. Vérifiez la configuration des paramètres de stratégie de
groupe.
Pour terminer l’opération, le lecteur doit être intégralement
décrypté.
Le protecteur de clé spécifié ne peut pas être utilisé pour cette
opération.
Aucun protecteur de clé n’existe sur le lecteur pour effectuer le test
du matériel.
Dell Data Protection | Endpoint Security Suite
Dépannage
89
Constante/Valeur
Description
FVE_E_KEYFILE_NOT_FOUND
Impossible de trouver la clé de démarrage ou le mot de passe de
récupération BitLocker sur le périphérique USB. Assurez-vous que le
périphérique USB correct est connecté à un port USB actif de
l’ordinateur, redémarrez l’ordinateur, puis réessayez. Si le problème
persiste, demandez au fabricant de l’ordinateur comment mettre à
niveau le BIOS.
0x8031003C
FVE_E_KEYFILE_INVALID
0x8031003D
FVE_E_KEYFILE_NO_VMK
0x8031003E
FVE_E_TPM_DISABLED
0x8031003F
FVE_E_NOT_ALLOWED_IN_SAFE_MODE
0x80310040
FVE_E_TPM_INVALID_PCR
0x80310041
FVE_E_TPM_NO_VMK
0x80310042
FVE_E_PIN_INVALID
0x80310043
FVE_E_AUTH_INVALID_APPLICATION
0x80310044
FVE_E_AUTH_INVALID_CONFIG
0x80310045
FVE_E_FIPS_DISABLE_PROTECTION_NOT_ALLOWED
0x80310046
FVE_E_FS_NOT_EXTENDED
0x80310047
90
Dell Data Protection | Endpoint Security Suite
Dépannage
La clé de démarrage ou le fichier de mot de passe de récupération
BitLocker est endommagé ou non valide. Vérifiez que vous disposez
de la bonne clé de démarrage ou du bon fichier de mot de passe de
restauration, puis réessayez.
Impossible d’obtenir la clé de cryptage BitLocker à partir de la clé de
démarrage ou du mot de passe de récupération. Vérifiez que la clé
de démarrage ou le mot de passe de récupération correct sont
utilisés, puis réessayez.
Le module TPM est désactivé. Le module de plateforme sécurisée
(TPM) est désactivé. Celui-ci doit être activé, initialisé et avoir un
propriétaire valide pour pouvoir être utilisé avec le cryptage de
lecteur BitLocker.
La configuration BitLocker du lecteur spécifié ne peut pas être
gérée car cet ordinateur fonctionne en mode sans échec. En mode
sans échec, le cryptage de lecteur BitLocker ne peut être utilisé
qu’à des fins de récupération.
Le module de plateforme sécurisée (TPM) n’a pas réussi à
déverrouiller le lecteur car les informations de démarrage système
ont été modifiées ou le code confidentiel fourni est incorrect.
Vérifiez que le lecteur n’a pas été falsifié et que les informations de
démarrage système ont été modifiées par une source approuvée.
Après avoir vérifié que l’accès au lecteur est sécurisé, utilisez la
console de récupération BitLocker pour déverrouiller le lecteur, puis
suspendez et reprenez BitLocker pour mettre à jour les informations
de démarrage système que BitLocker associe à ce lecteur.
Impossible d’obtenir la clé de cryptage BitLocker du module de
plateforme sécurisée (TPM).
Impossible d'obtenir la clé de cryptage du module de plateforme
sécurisée et de PIN.
Une application de démarrage a changé depuis l’activation du
cryptage de lecteur BitLocker.
Les paramètres des données de configuration de démarrage (BCD)
ont changé depuis l’activation du cryptage de lecteur BitLocker.
Le paramètre de stratégie de groupe qui nécessite la compatibilité
FIPS interdit l’utilisation de clés non cryptées, ce qui empêche la
suspension de BitLocker sur ce lecteur. Pour en savoir plus,
contactez l'administrateur de domaine.
Ce disque ne peut pas être crypté par le cryptage de disque
BitLocker, car le système de fichiers ne s'étend pas jusqu'à
l'extrémité du disque. Repartitionnez ce lecteur et réessayez.
Constante/Valeur
Description
FVE_E_FIRMWARE_TYPE_NOT_SUPPORTED
Impossible d'activer le cryptage de disque BitLocker sur un disque
du système d'exploitation. Contactez le fabricant de l'ordinateur
pour obtenir des instructions de mise à niveau du BIOS.
0x80310048
FVE_E_NO_LICENSE
0x80310049
FVE_E_NOT_ON_STACK
0x8031004A
FVE_E_FS_MOUNTED
0x8031004B
FVE_E_TOKEN_NOT_IMPERSONATED
0x8031004C
FVE_E_DRY_RUN_FAILED
0x8031004D
FVE_E_REBOOT_REQUIRED
0x8031004E
FVE_E_DEBUGGER_ENABLED
0x8031004F
FVE_E_RAW_ACCESS
0x80310050
FVE_E_RAW_BLOCKED
0x80310051
FVE_E_BCD_APPLICATIONS_PATH_INCORRECT
0x80310052
FVE_E_NOT_ALLOWED_IN_VERSION
0x80310053
FVE_E_NO_AUTOUNLOCK_MASTER_KEY
0x80310054
FVE_E_MOR_FAILED
0x80310055
Cette version de Windows ne comprend pas BitLocker Drive
Encryption. Pour utiliser BitLocker Drive Encryption, veuillez mettre
à niveau le système d'exploitation.
Le cryptage de lecteur BitLocker ne peut pas être utilisé car les
fichiers système BitLocker sont manquants ou endommagés.
Restaurez-les sur votre ordinateur à l’aide de l’outil de redémarrage
système Windows.
Le disque ne peut pas être verrouillé lorsqu'il est en cours
d'utilisation.
Le jeton d'accès associé au thread en cours n'est pas un jeton
représenté.
Impossible d’obtenir la clé de cryptage BitLocker. Vérifiez que le
module de plateforme sécurisée (TMP) est activé et que la
propriété a été acquise. Si cet ordinateur n’a pas de module TPM,
vérifiez que le lecteur USB est inséré et disponible.
Vous devez redémarrer votre ordinateur pour continuer d'utiliser
BitLocker Drive Encryption.
Le lecteur ne peut pas être crypté tant que le débogage de
démarrage est activé. Utilisez l’outil de ligne de commande bcdedit
pour le désactiver.
Aucune action n'a été prise car le cryptage de lecteur BitLocker est
en mode d'accès brut.
Le cryptage de lecteur BitLocker ne peut pas adopter le mode
d’accès RAW pour ce lecteur car ce dernier est en cours
d’utilisation.
Le chemin d'accès spécifié dans les données de configuration de
démarrage (BCD) pour une application à intégrité protégée par
cryptage de lecteur BitLocker est incorrect. Veuillez vérifier et
corriger vos paramètre BCD et réessayer.
Le cryptage de lecteur BitLocker peut uniquement être utilisé à des
fins d’approvisionnement limité ou de récupération lorsque
l’ordinateur s’exécute dans des environnements de préinstallation ou
de récupération Windows.
La clé principale de déverrouillage automatique n’est pas disponible
à partir du volume du système d’exploitation.
Le microprogramme du système n’a pas pu libérer la mémoire
système au redémarrage de l’ordinateur.
Dell Data Protection | Endpoint Security Suite
Dépannage
91
Constante/Valeur
Description
FVE_E_HIDDEN_VOLUME
Le lecteur masqué ne peut pas être crypté.
0x80310056
FVE_E_TRANSIENT_STATE
0x80310057
FVE_E_PUBKEY_NOT_ALLOWED
0x80310058
FVE_E_VOLUME_HANDLE_OPEN
0x80310059
FVE_E_NO_FEATURE_LICENSE
0x8031005A
FVE_E_INVALID_STARTUP_OPTIONS
0x8031005B
FVE_E_POLICY_RECOVERY_PASSWORD_NOT_ALLOWED
0x8031005C
FVE_E_POLICY_RECOVERY_PASSWORD_REQUIRED
0x8031005D
FVE_E_POLICY_RECOVERY_KEY_NOT_ALLOWED
0x8031005E
FVE_E_POLICY_RECOVERY_KEY_REQUIRED
0x8031005F
FVE_E_POLICY_STARTUP_PIN_NOT_ALLOWED
0x80310060
FVE_E_POLICY_STARTUP_PIN_REQUIRED
0x80310061
FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED
0x80310062
FVE_E_POLICY_STARTUP_KEY_REQUIRED
0x80310063
FVE_E_POLICY_STARTUP_PIN_KEY_NOT_ALLOWED0x8031006
4
92
Dell Data Protection | Endpoint Security Suite
Dépannage
Les clés de cryptage BitLocker ont été ignorées du fait de l’état
transitoire du lecteur.
Les protecteurs basés sur une clé publique ne sont pas autorisés sur
ce lecteur.
Le cryptage de lecteur BitLocker exécute déjà une opération sur ce
lecteur. Veuillez terminer toutes les opérations avant de continuer.
Cette version de Windows ne prend pas en charge cette fonction
de BitLocker Drive Encryption. Pour utiliser cette fonction, mettez à
niveau le système d'exploitation.
Les paramètres de stratégie de groupe pour les options de
démarrage BitLocker sont en conflit et ne peuvent pas être
appliqués. Pour plus d’informations, contactez votre administrateur
système.
Les paramètres de stratégie de groupe ne permettent pas la
création d’un mot de passe de récupération.
Les paramètres de règle de groupe exigent la création d'un mot de
passe de restauration.
Les paramètres de stratégie de groupe ne permettent pas la
création d’une clé de récupération.
Les paramètres de règle de groupe exigent la création d'une clé de
restauration.
Les paramètres de stratégie de groupe ne permettent pas
l’utilisation d’un code confidentiel au démarrage. Veuillez choisir une
autre option de démarrage de BitLocker.
Les paramètres de règle de groupe exigent l'utilisation d'un code
confidentiel au démarrage. Veuillez choisir cette option de
démarrage de BitLocker.
Les paramètres de règle de groupe ne permettent pas l'utilisation
d'une clé de démarrage. Veuillez choisir une autre option de
démarrage de BitLocker.
Les paramètres de règle de groupe exigent l'utilisation d'une clé de
démarrage. Veuillez choisir cette option de démarrage de BitLocker.
Les paramètres de règle de groupe ne permettent pas l'utilisation
d'une clé de démarrage et d'un code confidentiel. Veuillez choisir
une autre option de démarrage de BitLocker.
Constante/Valeur
Description
FVE_E_POLICY_STARTUP_PIN_KEY_REQUIRED
Les paramètres de règle de groupe exigent l'utilisation d'une clé de
démarrage et d'un code personnel. Veuillez choisir cette option de
démarrage de BitLocker.
0x80310065
FVE_E_POLICY_STARTUP_TPM_NOT_ALLOWED
0x80310066
FVE_E_POLICY_STARTUP_TPM_REQUIRED
0x80310067
FVE_E_POLICY_INVALID_PIN_LENGTH
0x80310068
FVE_E_KEY_PROTECTOR_NOT_SUPPORTED
0x80310069
FVE_E_POLICY_PASSPHRASE_NOT_ALLOWED
0x8031006A
FVE_E_POLICY_PASSPHRASE_REQUIRED
0x8031006B
FVE_E_FIPS_PREVENTS_PASSPHRASE
0x8031006C
FVE_E_OS_VOLUME_PASSPHRASE_NOT_ALLOWED
0x8031006D
FVE_E_INVALID_BITLOCKER_OID
0x8031006E
FVE_E_VOLUME_TOO_SMALL
0x8031006F
FVE_E_DV_NOT_SUPPORTED_ON_FS
0x80310070
FVE_E_DV_NOT_ALLOWED_BY_GP
0x80310071
FVE_E_POLICY_USER_CERTIFICATE_NOT_ALLOWED
0x80310072
FVE_E_POLICY_USER_CERTIFICATE_REQUIRED
0x80310073
La stratégie de groupe ne permet pas l’utilisation exclusive d’un
module de plateforme sécurisée au démarrage. Veuillez choisir une
autre option de démarrage de BitLocker.
Les paramètres de règle de groupe exigent l'utilisation d'un module
TPM uniquement au démarrage. Veuillez choisir cette option de
démarrage de BitLocker.
Le code confidentiel fourni ne respecte pas les exigences de
longueurs minimale ou maximale.
Le protecteur de clé n’est pas pris en charge par la version du
cryptage de lecteur BitLocker actuellement présent sur le lecteur.
Mettez à niveau le lecteur pour ajouter le protecteur de clé.
Les paramètres de règle de groupe ne permettent pas la création
d'un mot de passe.
Les paramètres de règle de groupe exigent la création d'un mot de
passe.
Le paramètre de stratégie de groupe nécessitant la conformité FIPS
n'a pas permis de générer ou d'utiliser le mot de passe. Pour en
savoir plus, contactez l'administrateur de domaine.
Impossible d’ajouter un mot de passe au lecteur du système
d’exploitation.
L’identificateur d’objet (OID) BitLocker sur le lecteur n’est pas valide
ou est endommagé. Utilisez manage-BDE pour réinitialiser l’OID sur
ce lecteur.
Le lecteur est trop exigu pour être protégé à l’aide du cryptage de
lecteur BitLocker.
Le type de lecteur de détection sélectionné est incompatible avec le
système de fichiers du lecteur. Les lecteurs de détection BitLocker
To Go doivent être créés sur des lecteurs au format FAT.
Le type de lecteur de détection sélectionné n'est pas autorisé par
les paramètres de stratégie de groupe de l'ordinateur. Vérifiez que
les paramètres de stratégie de groupe autorisent la création de
lecteurs de détection qui seront utilisés avec BitLocker To Go
Les paramètres de stratégie de groupe ne permettent pas d’utiliser
les certificats utilisateur, tels que les cartes à puce, avec le cryptage
de lecteur BitLocker.
Les paramètres de stratégie de groupe exigent l’utilisation d’un
certificat utilisateur valide, tel qu’une carte à puce, avec le cryptage
de lecteur BitLocker.
Dell Data Protection | Endpoint Security Suite
Dépannage
93
Constante/Valeur
Description
FVE_E_POLICY_USER_CERT_MUST_BE_HW
Les paramètres de stratégie de groupe exigent l’utilisation d’un
protecteur de clé de type carte à puce avec le cryptage de lecteur
BitLocker.
0x80310074
FVE_E_POLICY_USER_CONFIGURE_FDV_AUTOUNLOCK_NOT_ Les paramètres de stratégie de groupe ne permettent pas le
ALLOWED
déverrouillage automatique des lecteurs de données fixes protégés
par BitLocker.
0x80310075
FVE_E_POLICY_USER_CONFIGURE_RDV_AUTOUNLOCK_NOT_ Les paramètres de stratégie de groupe ne permettent pas le
ALLOWED
déverrouillage automatique des lecteurs de données amovibles
protégés par BitLocker.
0x80310076
FVE_E_POLICY_USER_CONFIGURE_RDV_NOT_ALLOWED
0x80310077
FVE_E_POLICY_USER_ENABLE_RDV_NOT_ALLOWED
0x80310078
FVE_E_POLICY_USER_DISABLE_RDV_NOT_ALLOWED
0x80310079
FVE_E_POLICY_INVALID_PASSPHRASE_LENGTH
0x80310080
FVE_E_POLICY_PASSPHRASE_TOO_SIMPLE
0x80310081
FVE_E_RECOVERY_PARTITION
0x80310082
FVE_E_POLICY_CONFLICT_FDV_RK_OFF_AUK_ON
0x80310083
FVE_E_POLICY_CONFLICT_RDV_RK_OFF_AUK_ON
0x80310084
94
Dell Data Protection | Endpoint Security Suite
Dépannage
Les paramètres de stratégie de groupe ne permettent pas la
configuration du cryptage de lecteur BitLocker sur les lecteurs de
données amovibles.
Les paramètres de stratégie de groupe ne permettent pas
l’activation du cryptage de lecteur BitLocker sur les lecteurs de
données amovibles. Veuillez contacter l'administrateur du système si
vous avez besoin d'activer BitLocker.
Les paramètres de stratégie de groupe n’autorisent pas la
désactivation du cryptage de lecteur BitLocker sur des lecteurs de
données amovibles. Veuillez contacter l'administrateur du système si
vous avez besoin de désactiver BitLocker.
Votre mot de passe ne respecte pas les exigences de longueur
minimale. Par défaut, les mots de passe doivent comprendre au
moins 8 caractères. Votre mot de passe ne répond pas aux
exigences de longueur minimale.
Votre mot de passe ne répond pas aux exigences de complexité
définies par votre administrateur système. Ajoutez des caractères
majuscules et minuscules, des nombres et des symboles.
Le lecteur ne peut pas être crypté car il est réservé pour les options
de récupération système de Windows.
Le cryptage de lecteur BitLocker ne peut pas être appliqué à ce
lecteur en raison de paramètres de stratégie de groupe en conflit.
BitLocker ne peut pas être configuré pour déverrouiller
automatiquement les lecteurs de données fixes lorsque les options
de récupération utilisateur sont désactivées. Si vous souhaitez que
les lecteurs de données fixes protégés par BitLocker soient
automatiquement déverrouillés après validation de la clé, demandez
à votre administrateur système de résoudre les conflits de
paramètres avant d’activer BitLockerBit.
Le cryptage de lecteur BitLocker ne peut pas être appliqué à ce
lecteur en raison de paramètres de stratégie de groupe en conflit.
BitLocker ne peut pas être configuré pour déverrouiller
automatiquement les lecteurs de données fixes lorsque les options
de récupération utilisateur sont désactivées. Si vous souhaitez que
les lecteurs de données amovibles protégés par BitLocker soient
automatiquement déverrouillés après validation de la clé, demandez
à votre administrateur système de résoudre les conflits de
paramètres avant d’activer BitLocker.
Constante/Valeur
Description
FVE_E_NON_BITLOCKER_OID
L’attribut d’utilisation avancée de la clé du certificat spécifié ne
permet pas au certificat spécifié d’être utilisé pour le cryptage de
lecteur BitLocker. BitLocker n’exige pas qu’un certificat possède un
attribut d’utilisation avancée de la clé. Toutefois, si un tel attribut est
configuré, il doit être égal à un identificateur d’objet correspondant à
l’identificateur d’objet configuré pour BitLocker.
0x80310085
FVE_E_POLICY_PROHIBITS_SELFSIGNED
0x80310086
Le cryptage de lecteur BitLocker tel qu’il est configuré ne peut pas
être appliqué à ce lecteur en raison des paramètres de la stratégie
de groupe. Le certificat fourni pour le cryptage de lecteur est autosigné. Les paramètres actuels de la stratégie de groupe n’autorisent
pas l’utilisation de certificats auto-signés. Obtenez un nouveau
certificat auprès de l’autorité de certification avant d’essayer
d’activer BitLocker.
FVE_E_POLICY_CONFLICT_RO_AND_STARTUP_KEY_REQUIRED Le cryptage de lecteur BitLocker ne peut pas être appliqué à ce
lecteur en raison de paramètres de stratégie de groupe en conflit.
0x80310087
Lorsque l’accès en lecture aux lecteurs non protégés par BitLocker
est refusé, l’utilisation d’une clé de démarrage USB ne peut pas être
exigée. Demandez à votre administrateur système de résoudre ces
conflits de stratégie avant d’essayer d’activer BitLocker.
FVE_E_CONV_RECOVERY_FAILED
0x80310088
FVE_E_VIRTUALIZED_SPACE_TOO_BIG
Le cryptage de lecteur BitLocker ne peut pas être appliqué à ce
lecteur en raison de paramètres de stratégie de groupe en conflit
pour les options de récupération sur les lecteurs du système
d’exploitation. Le stockage des informations de récupération dans
les services de domaine Active Directory ne peut pas être requis
lorsque la génération de mots de passe de récupération n’est pas
autorisée. Demandez à votre administrateur système de résoudre
ces conflits de stratégie avant d’essayer d’activer BitLocker.
La taille de virtualisation demandée est trop grande.
0x80310089
FVE_E_POLICY_CONFLICT_OSV_RP_OFF_ADB_ON
0x80310090
FVE_E_POLICY_CONFLICT_FDV_RP_OFF_ADB_ON
0x80310091
FVE_E_POLICY_CONFLICT_RDV_RP_OFF_ADB_ON
0x80310092
Le cryptage de lecteur BitLocker ne peut pas être appliqué à ce
lecteur en raison de paramètres de stratégie de groupe en conflit
pour les options de récupération sur les lecteurs du système
d’exploitation. Le stockage des informations de récupération dans
les services de domaine Active Directory ne peut pas être requis
lorsque la génération de mots de passe de récupération n’est pas
autorisée. Demandez à votre administrateur système de résoudre
ces conflits de stratégie avant d’essayer d’activer BitLocker.
Le cryptage de lecteur BitLocker ne peut pas être appliqué à ce
lecteur en raison de paramètres de stratégie de groupe en conflit
pour les options de récupération sur les lecteurs de données fixes.
Le stockage des informations de récupération dans les services de
domaine Active Directory ne peut pas être requis lorsque la
génération de mots de passe de récupération n’est pas autorisée.
Demandez à votre administrateur système de résoudre ces conflits
de stratégie avant d’essayer d’activer BitLocker.
Le cryptage de lecteur BitLocker ne peut pas être appliqué à ce
lecteur en raison de paramètres de stratégie de groupe en conflit
pour les options de récupération sur les lecteurs de données
amovibles. Le stockage des informations de récupération dans les
services de domaine Active Directory ne peut pas être requis
lorsque la génération de mots de passe de récupération n’est pas
autorisée. Demandez à votre administrateur système de résoudre
ces conflits de stratégie avant d’essayer d’activer BitLocker.
Dell Data Protection | Endpoint Security Suite
Dépannage
95
Constante/Valeur
Description
FVE_E_NON_BITLOCKER_KU
L’attribut d’utilisation de la clé ne permet pas au certificat spécifié
d’être utilisé pour le cryptage de lecteur BitLocker. BitLocker n’exige
pas qu’un certificat possède un attribut d’utilisation de la clé.
Toutefois, si un tel attribut est configuré, il doit avoir la valeur
Chiffrement de la clé ou Accord de la clé.
0x80310093
FVE_E_PRIVATEKEY_AUTH_FAILED
0x80310094
FVE_E_REMOVAL_OF_DRA_FAILED
0x80310095
FVE_E_OPERATION_NOT_SUPPORTED_ON_VISTA_VOLUME
0x80310096
FVE_E_CANT_LOCK_AUTOUNLOCK_ENABLED_VOLUME
0x80310097
FVE_E_FIPS_HASH_KDF_NOT_ALLOWED
0x80310098
FVE_E_ENH_PIN_INVALID
Impossible d’autoriser la clé privée associée au certificat spécifié.
L’autorisation de la clé privée n’a pas été fournie ou l’autorisation
fournie n’est pas valide.
La suppression du certificat de l’agent de récupération de données
doit être effectuée à l’aide du composant logiciel enfichable
Certificats.
Ce lecteur a été crypté à l’aide de la version de cryptage de lecteur
BitLocker fournie avec Windows Vista et Windows Server 2008, et
qui ne prend pas en charge les identificateurs d’organisation. Pour
spécifier les identificateurs d’organisation de ce lecteur, mettez à
niveau le cryptage du lecteur à la dernière version, à l’aide de la
commande « manage-bde -upgrade ».
Le lecteur ne peut pas être verrouillé parce qu’il est
automatiquement déverrouillé sur cet ordinateur. Supprimez le
protecteur de déverrouillage automatique pour verrouiller ce lecteur.
La fonction de dérivation de clés BitLocker par défaut SP800-56A
pour les cartes à puces ECC n’est pas prise en charge par votre
carte à puce. Le paramètre Stratégie de groupe, qui nécessite la
compatibilité FIPS, empêche BitLocker d’utiliser toute autre fonction
de dérivation de clés pour le cryptage. Vous devez utiliser une carte
à puce compatible FIPS dans les environnements limités à FIPS.
0x80310099
Impossible d'obtenir la clé de cryptage du module de plateforme
sécurisée et du code confidentiel étendu. Utilisez un code
confidentiel contenant uniquement des chiffres.
FVE_E_INVALID_PIN_CHARS
Le PIN TPM demandé contient des caractères non valides.
0x8031009A
FVE_E_INVALID_DATUM_TYPE
0x8031009B
Les informations de gestion stockées sur le disque contenaient un
type inconnu. Si vous utilisez une version plus ancienne de
Windows, accédez au disque à partir de la dernière version.
FVE_E_EFI_ONLY
Cette fonction n'est prise en charge que sur les systèmes EFI.
0x8031009C
FVE_E_MULTIPLE_NKP_CERTS
0x8031009D
FVE_E_REMOVAL_OF_NKP_FAILED
0x8031009E
FVE_E_INVALID_NKP_CERT
0x8031009F
FVE_E_NO_EXISTING_PIN
96
Dell Data Protection | Endpoint Security Suite
Dépannage
Plusieurs certificats de protecteur de clé réseau ont été trouvés sur
le système.
La suppression du certificat de protecteur de clé réseau doit être
effectuée à l’aide du composant logiciel enfichable Certificats.
Un certificat non valide a été trouvé dans le magasin de certificats
de protecteur de clé réseau.
Ce disque n'est pas protégé par un PIN.
Constante/Valeur
Description
0x803100A0
FVE_E_PROTECTOR_CHANGE_PIN_MISMATCH
Veuillez enter le code confidentiel correct actuel.
0x803100A1
FVE_E_PROTECTOR_CHANGE_BY_STD_USER_DISALLOWED
0x803100A2
FVE_E_PROTECTOR_CHANGE_MAX_PIN_CHANGE_ATTEMPT
S_REACHED
0x803100A3
FVE_E_POLICY_PASSPHRASE_REQUIRES_ASCII
0x803100A4
Vous devez vous connecter avec un compte d'administrateur pour
pouvoir changer le code confidentiel ou le mot de passe. Cliquez sur
le lien pour réinitialiser le code confidentiel ou le mot de passe en
tant qu'administrateur.
BitLocker a désactivé les modifications de code confidentiel et de
mot de passe après un trop grand nombre d'échecs de demande.
Cliquez sur le lien pour réinitialiser le code confidentiel ou le mot de
passe en tant qu'administrateur.
Votre administrateur système requiert que les mots de passe
contiennent uniquement des caractères ASCII imprimables. Cela
inclut les lettres non accentuées (A-Z, a-z), les nombres (0-9),
l’espace, les signes arithmétiques, la ponctuation courante, les
séparateurs et les symboles suivants : # $ & @ ^ _ ~ .
FVE_E_FULL_ENCRYPTION_NOT_ALLOWED_ON_TP_STORAGE Le cryptage de lecteur BitLocker ne prend en charge que le
cryptage d’espace utilisé uniquement sur un stockage alloué
0x803100A5
dynamiquement.
FVE_E_WIPE_NOT_ALLOWED_ON_TP_STORAGE
0x803100A6
FVE_E_KEY_LENGTH_NOT_SUPPORTED_BY_EDRIVE
0x803100A7
FVE_E_NO_EXISTING_PASSPHRASE
Le cryptage de lecteur BitLocker ne prend pas en charge
l’effacement d’espace libre sur un stockage alloué dynamiquement.
La longueur de la clé d’authentification requise n’est pas prise en
charge par le lecteur.
Ce disque n'est pas protégé par un mot de passe.
0x803100A8
FVE_E_PROTECTOR_CHANGE_PASSPHRASE_MISMATCH
Veuillez enter le bon mot de passe actuel.
0x803100A9
FVE_E_PASSPHRASE_TOO_LONG
0x803100AA
FVE_E_NO_PASSPHRASE_WITH_TPM
0x803100AB
FVE_E_NO_TPM_WITH_PASSPHRASE
0x803100AC
FVE_E_NOT_ALLOWED_ON_CSV_STACK
0x803100AD
FVE_E_NOT_ALLOWED_ON_CLUSTER
Les mots de passe ne doivent pas comporter plus de 256
caractères.
Impossible d’ajouter un protecteur de clé de mot de passe car un
protecteur de module de plateforme sécurisée (TPM) existe sur le
lecteur.
Impossible d’ajouter un protecteur de module de plateforme
sécurisée (TPM) car un protecteur de mot de passe existe sur le
lecteur.
Cette commande ne peut être exécutée qu’à partir du nœud
coordinateur du volume CSV spécifié.
Impossible d’exécuter cette commande sur un volume lorsque celuici fait partie d’un cluster.
Dell Data Protection | Endpoint Security Suite
Dépannage
97
Constante/Valeur
Description
0x803100AE
FVE_E_EDRIVE_NO_FAILOVER_TO_SW
0x803100AF
FVE_E_EDRIVE_BAND_IN_USE
0x803100B0
FVE_E_EDRIVE_DISALLOWED_BY_GP
0x803100B1
FVE_E_EDRIVE_INCOMPATIBLE_VOLUME
0x803100B2
FVE_E_NOT_ALLOWED_TO_UPGRADE_WHILE_CONVERTING
0x803100B3
FVE_E_EDRIVE_DV_NOT_SUPPORTED
0x803100B4
FVE_E_NO_PREBOOT_KEYBOARD_DETECTED
0x803100B5
FVE_E_NO_PREBOOT_KEYBOARD_OR_WINRE_DETECTED
0x803100B6
BitLocker n’a pas rétabli le cryptage au niveau logiciel BitLocker en
raison de la stratégie de groupe.
Le lecteur ne peut pas être géré par BitLocker, car la fonction de
cryptage matériel du lecteur est déjà en cours d'utilisation.
Les paramètres de stratégie de groupe ne permettent pas
l'utilisation du cryptage matériel.
Le lecteur spécifié ne prend pas en charge le cryptage au niveau
matériel.
Impossible de mettre à niveau BitLocker lors du cryptage ou du
décryptage d’un disque.
Les volumes de découverte ne sont pas pris en charge pour les
volumes utilisant le cryptage au niveau matériel.
Aucun clavier préalable au démarrage détecté. Il se peut que
l’utilisateur ne puisse pas fournir l’entrée requise pour déverrouiller le
volume.
Aucun clavier préalable au démarrage ou environnement de
récupération Windows détecté. Il se peut que l’utilisateur ne puisse
pas fournir l’entrée requise pour déverrouiller le volume.
FVE_E_POLICY_REQUIRES_STARTUP_PIN_ON_TOUCH_DEVICE Les paramètres de stratégie de groupe nécessitent de créer un
code confidentiel de démarrage, mais aucun clavier préalable au
0x803100B7
démarrage n'est disponible sur ce périphérique. Il se peut que
l’utilisateur ne puisse pas fournir l’entrée requise pour déverrouiller le
volume.
FVE_E_POLICY_REQUIRES_RECOVERY_PASSWORD_ON_TOUC Les paramètres de stratégie de groupe nécessitent de créer un mot
H_DEVICE
de passe de récupération, mais aucun clavier préalable au
démarrage ou environnement de récupération Windows n'est
0x803100B8
disponible sur ce périphérique. Il se peut que l’utilisateur ne puisse
pas fournir l’entrée requise pour déverrouiller le volume.
FVE_E_WIPE_CANCEL_NOT_APPLICABLE
Aucun effacement d’espace libre n’a lieu actuellement.
0x803100B9
FVE_E_SECUREBOOT_DISABLED
0x803100BA
FVE_E_SECUREBOOT_CONFIGURATION_INVALID
0x803100BB
FVE_E_EDRIVE_DRY_RUN_FAILED
98
Dell Data Protection | Endpoint Security Suite
Dépannage
BitLocker ne peut pas utiliser le démarrage sécurisé pour l’intégrité
de la plateforme car le démarrage sécurisé est désactivé.
BitLocker ne peut pas utiliser le démarrage sécurisé pour l’intégrité
de la plateforme car la configuration du démarrage sécurisé ne
répond pas aux conditions requises pour BitLocker.
Votre ordinateur ne prend pas en charge le cryptage au niveau
matériel BitLocker. Contactez le fabricant de votre ordinateur afin
de savoir si des mises à jour du microprogramme sont disponibles.
Constante/Valeur
Description
0x803100BC
FVE_E_SHADOW_COPY_PRESENT
0x803100BD
FVE_E_POLICY_INVALID_ENHANCED_BCD_SETTINGS
0x803100BE
FVE_E_EDRIVE_INCOMPATIBLE_FIRMWARE
0x803100BF
FVE_E_PROTECTOR_CHANGE_MAX_PASSPHRASE_CHANGE_
ATTEMPTS_REACHED
0x803100C0
FVE_E_PASSPHRASE_PROTECTOR_CHANGE_BY_STD_USER_
DISALLOWED
0x803100C1
FVE_E_LIVEID_ACCOUNT_SUSPENDED
0x803100C2
FVE_E_LIVEID_ACCOUNT_BLOCKED
0x803100C3
FVE_E_NOT_PROVISIONED_ON_ALL_VOLUMES
0x803100C4
FVE_E_DE_FIXED_DATA_NOT_SUPPORTED
0x803100C5
FVE_E_DE_HARDWARE_NOT_COMPLIANT
0x803100C6
FVE_E_DE_WINRE_NOT_CONFIGURED
0x803100C7
FVE_E_DE_PROTECTION_SUSPENDED
0x803100C8
FVE_E_DE_OS_VOLUME_NOT_PROTECTED
0x803100C9
FVE_E_DE_DEVICE_LOCKEDOUT
BitLocker ne peut pas activer le volume car il contient un cliché
instantané de volume. Supprimez tous les clichés instantanés de
volumes avant de crypter le volume.
Impossible d’appliquer le cryptage de lecteur BitLocker à ce lecteur
car le paramètre de stratégie de groupe pour les données de
configuration de démarrage améliorées contient des données non
valides. Demandez à votre administrateur système de corriger cette
configuration non valide avant de tenter d’activer BitLocker.
Le micrologiciel du PC ne prend pas en charge le cryptage au niveau
matériel.
BitLocker a désactivé les modifications de mot de passe après un
trop grand nombre d’échecs de demandes. Cliquez sur le lien pour
réinitialiser le mot de passe en tant qu’administrateur.
Vous devez avoir ouvert une session avec un compte
d'administrateur pour pouvoir modifier le mot de passe. Cliquez sur
le lien pour réinitialiser le mot de passe en tant qu’administrateur.
BitLocker ne peut pas enregistrer le mot de passe de récupération,
car le compte Microsoft spécifié est suspendu.
BitLocker ne peut pas enregistrer le mot de passe de récupération,
car le compte Microsoft spécifié est bloqué.
Ce PC n’est pas configuré pour prendre en charge le cryptage de
l’appareil. Activez BitLocker sur l’ensemble des volumes afin de vous
conformer à la stratégie de cryptage de l’appareil.
Ce PC ne peut pas prendre en charge le cryptage de l’appareil en
raison de la présence de volumes de données fixes non cryptés.
Ce PC ne possède pas la configuration matérielle requise pour la
prise en charge du cryptage de l’appareil.
Ce PC ne peut pas prendre en charge le cryptage de l’appareil, car
WinRE n’est pas configuré correctement.
La protection est activée sur le volume, mais elle a été interrompue
vraisemblablement en raison d’une mise à jour en cours d’application
sur votre système. Veuillez réessayer après un redémarrage.
Ce PC n’est pas configuré pour prendre en charge le cryptage de
l’appareil.
Le verrouillage appareil a été déclenché en raison d’un nombre trop
élevé d’entrées de mots de passe incorrects.
Dell Data Protection | Endpoint Security Suite
Dépannage
99
Constante/Valeur
Description
0x803100CA
FVE_E_DE_PROTECTION_NOT_YET_ENABLED
0x803100CB
FVE_E_INVALID_PIN_CHARS_DETAILED
La protection n'a pas été activée sur le volume. L’activation de la
protection requiert un compte connecté. Si vous possédez déjà un
compte connecté et que vous obtenez cette erreur, référez-vous au
journal des événements pour plus d’informations.
Votre PIN ne peut contenir que des chiffres allant de 0 à 9.
0x803100CC
FVE_E_DEVICE_LOCKOUT_COUNTER_UNAVAILABLE
0x803100CD
FVE_E_DEVICELOCKOUT_COUNTER_MISMATCH
0x803100CE
FVE_E_BUFFER_TOO_LARGE
0x803100CF
100
Dell Data Protection | Endpoint Security Suite
Dépannage
BitLocker ne peut pas utiliser la protection de la relecture matérielle
car aucun compteur n’est disponible sur l’ordinateur.
Échec de validation de l’état de verrouillage du périphérique en
raison d’une incohérence de comptage.
Le tampon d'entrée est trop volumineux.
15
Glossaire
Activer : l'activation se produit lorsque l'ordinateur a été inscrit sur Dell Enterprise Server/VE et qu'il a reçu au moins un jeu de règles initial.
Active Directory (AD) : service de répertoire créé par Microsoft pour les réseaux de domaine Windows.
Advanced Authentication : le produit Advanced Authentication fournit des options totalement intégrées de lecture d'empreintes digitales, de
carte à puce et de carte à puce sans contact. Advanced Authentication aide à la gestion de ces nombreuses méthodes d'authentification
matérielles, prend en charge la connexion aux lecteurs à encryptage automatique, SSO et gère l'utilisation des identifiants et des mots de
passe. De plus, Advanced Authentication peut-être utilisé pour accéder non seulement aux ordinateurs mais à n'importe quel site Internet,
SaaS ou application. Lorsque les utilisateurs enregistrent leurs identifiants, Advanced Authentication permet l'utilisation de ces identifiants
pour la connexion au périphérique et pour effectuer le remplacement du mot de passe.
Cryptage des données d'application : crypte tous les fichiers écrits par une application protégée, à l'aide d'un remplacement de catégorie 2.
Cela signifie que, dans tous les répertoires dotés d'une protection de catégorie 2 ou supérieure, ainsi que dans tous les dossiers où des
extensions spécifiques sont protégées avec la catégorie 2 ou supérieure, ADE ne crypte aucun fichier.
BitLocker Manager : Windows BitLocker est conçu pour aider à la protection des ordinateurs Windows en cryptant à la fois les données et
les fichiers du système d'exploitation. Afin d'améliorer la sécurité des déploiements de BitLocker, de simplifier et de réduire le coût de
propriété, Dell fournit une console de gestion centrale qui traite de nombreux problèmes relevant de la sécurité et offre une approche
intégrée à la gestion du cryptage sur d'autres plateformes autres que BitLocker, quelles soient physiques, virtuelles, ou sur le cloud.
BitLocker Manager prend en charge le cryptage BitLocker des systèmes d'exploitation, des lecteurs fixes et de BitLocker To Go. BitLocker
Manager vous permet d'intégrer facilement BitLocker à vos besoins existants en terme de cryptage et de gérer BitLocker à moindre effort
lors de la rationalisation de la conformité et de la sécurité BitLocker Manager fournit la gestion intégrée de la récupération de clé, la gestion
des règles et leur application, la gestion automatisée du TPM, la conformité à FIPS et des rapports de conformité.
Identifiants mis en cache : les identifiants mis en cache sont les identifiants qui sont ajoutés à la base de données d'authentification avant
démarrage lorsqu'un utilisateur s'authentifie pour accéder à Active Directory. Ces informations relatives à l'utilisateur sont conservées afin
qu'il puisse accéder à l'ordinateur lorsqu'il n'est pas connecté à Active Directory (lorsqu'il emporte son ordinateur portable chez lui, par
exemple).
Cryptage Courant : la clé Courant rend les fichiers accessibles à tous les utilisateurs gérés sur leur périphérique de création.
Désactiver : la désactivation se produit lorsque vous désactivez la gestion SED dans la Console de gestion à distance. Une fois que
l'ordinateur est désactivé, la base de données d'authentification avant démarrage est supprimée et il n'y a plus aucun enregistrement des
utilisateurs en mémoire cache.
EMS - External Media Shield : ce service du client Dell Encryption applique les règles aux supports amovibles et aux périphériques de
stockage externes.
Code d'accès EMS : ce service de Dell Enterprise Server/VE permet d'effectuer une opération de récupération des périphériques protégés
par External Media Shield lorsque l'utilisateur oublie son mot de passe et ne peut plus se connecter. Cette manipulation permet à l'utilisateur
de réinitialiser le mot de passe défini sur le support amovible ou le périphérique de stockage externe.
Client Encryption : le client Encryption est un composant du périphérique qui permet d'appliquer les règles de sécurité, qu'un point final soit
connecté au réseau, déconnecté du réseau, perdu ou volé. En créant un environnement de calcul de confiance pour les points finaux, le
client Encryption opère à un niveau supérieur du système d'exploitation du périphérique et fournit une authentification, un cryptage et une
autorisation constamment renforcés qui permettent d'optimiser la protection des informations sensibles.
Point de terminaison : ordinateur ou périphérique matériel mobile géré par Dell Enterprise Server/VE.
Dell Data Protection | Endpoint Security Suite
Glossaire
101
Clés de cryptage : dans la plupart des cas, le client Encryption utilise la clé Utilisateur et deux clés de cryptage supplémentaires. Cependant,
il y a des exceptions : toutes les règles SDE et la règle Identifiants Windows sécurisés utilisent la clé SDE. La règle Crypter le fichier de
pagination Windows et la règle Fichier de mise en veille prolongée Windows utilisent leur propre clé, la clé General Purpose Key (GPK).
Cryptage commun : la clé « Commun » rend les fichiers accessibles à tous les utilisateurs gérés sur leur périphérique de création. La clé
« Utilisateur » rend les fichiers accessibles uniquement à l'utilisateur qui les a créés, uniquement sur le périphérique où ils ont été créés. La
clé « Utilisateur itinérant » rend les fichiers accessibles uniquement à l'utilisateur qui les a créés sur le périphérique Windows (ou Mac)
protégé.
Balayage de cryptage : un balayage de cryptage est un processus d'analyse des dossiers à crypter sur un point de terminaison géré afin de
s'assurer que les fichiers contenus se trouvent en état de cryptage adéquat. Les opérations de création de fichier et de renommage ne
déclenchent pas de balayage de cryptage. Il est important de savoir à quel moment un balayage de cryptage peut avoir lieu et ce qui risque
d'affecter les temps de balayage résultants et ce de la manière suivante : un balayage de cryptage se produira à la réception initiale d'une
règle pour laquelle le cryptage est activé. Ceci peut se produire immédiatement après l'activation si le cryptage a été activé sur votre règle. Si la règle Balayage de la station de travail lors de la connexion est activée, les dossiers à crypter seront balayés à chaque connexion de
l'utilisateur. - Un balayage peut être déclenché à nouveau en raison de certaines modifications ultérieures apportées à des règles. Toute
modification de règle en relation avec la définition des dossiers de cryptage, les algorithmes de cryptage, l'utilisation de clés de cryptage
(communes par rapport à celles de l'utilisateur), déclencheront un balayage. De plus, le basculement entre l'activation et la désactivation du
cryptage déclenchera un balayage de cryptage.
Protection contre les programmes malveillants (Analyse complète) : l'analyse complète analyse les emplacements suivants pour détecter les
menaces :
•
•
•
La mémoire de l'ordinateur pour rechercher des rootkits installés.
Les processus cachés, ainsi que d'autres comportements pouvant suggérer que des logiciels malveillants tentent de se cacher.
La mémoire de tous les processus en cours, tous les lecteurs et leurs sous-dossiers sur l'ordinateur.
Protection contre les programmes malveillants (Analyse rapide) : l'analyse rapide analyse les emplacements suivants pour détecter les
menaces :
•
•
•
•
La mémoire de tous les processus en cours.
Les fichiers référencés par le registre Windows.
Le contenu du dossier Windows.
Le contenu du dossier Temp.
Protection contre les programmes malveillants à l'accès : lorsqu'un utilisateur accède à des fichiers, dossiers et programmes, l'analyse à
accès intercepte l'opération et analyse l'élément.
Mot de passe à usage unique (OTP – One-Time Password) : un mot de passe à usage unique est un mot de passe qui ne peut être utilisé
qu'une seule fois et n'est valide que pendant une période limitée. OTP exige que le TPM soit présent, activé et détenu. Pour activer OTP, un
terminal mobile doit être associé à l'ordinateur utilisant la Security Console et l'application Security Tools Mobile. L'application Security Tools
Mobile génère le mot de passe sur le terminal mobile utilisé pour se connecter à l'ordinateur dans l'écran de connexion Windows. En
fonction de cette règle, la fonction OTP peut être utilisée pour récupérer l'accès à l'ordinateur si un mot de passe a expiré ou été oublié, si
OTP n'a pas été utilisé pour se connecter à l'ordinateur. La fonction OTP peut être utilisée pour l'authentification ou pour la récupération,
mais pas pour les deux. La sécurité OTP est supérieure à celle de quelques autres méthodes d'authentification car le mot de passe généré
ne peut être utilisé qu'une seule fois et expire rapidement.
Authentification avant démarrage : l'authentification avant démarrage (PBA – Preboot Authentication) joue le rôle d'extension du BIOS ou
du micrologiciel de démarrage et garantit un environnement sécurisé inviolable extérieur au système d'exploitation sous forme de couche
d'authentification fiable. L'authentification avant démarrage empêche toute lecture sur le disque dur, par exemple du système d'exploitation,
tant que l'utilisateur n'a pas confirmé les identifiants corrects.
Gestion SED : la gestion SED fournit une plateforme permettant de gérer les disques à auto-cryptage de manière sécurisée. Les disques à
auto-cryptage assurent leur propre cryptage, mais ils ont besoin d'une plate-forme pour gérer le cryptage et les règles disponibles. SED
Management est un élément de gestion centrale évolutif, qui vous permet de protéger et de gérer vos données plus efficacement. SED
Management vous permet d'administrer votre entreprise plus rapidement et plus facilement.
Cryptage des données système (SDE) : SDE est conçu pour crypter le système d'exploitation et les fichiers programmes. Pour ce faire, SDE
doit pouvoir ouvrir sa clé lorsque le système d'exploitation démarre sans que l'utilisateur n'ait à saisir de mot de passe. Ceci a pour but
102
Dell Data Protection | Endpoint Security Suite
Glossaire
d'empêcher les altérations ou les attaques hors ligne du système d'exploitation. SDE n'est pas conçu pour être utilisé pour les données
utilisateur. Les clés de cryptage commun et utilisateur sont destinées aux données utilisateur sensibles, car elles exigent l'utilisation d'un mot
de passe pour déverrouiller les clés de cryptage. Les règles SDE ne cryptent pas les fichiers nécessaires au démarrage du système
d'exploitation. Elles ne nécessitent pas d'authentification avant démarrage et n'affectent en rien l'enregistrement de démarrage principal. Au
démarrage de l'ordinateur, les fichiers cryptés sont disponibles avant l'identification de l'utilisateur (pour permettre la gestion des correctifs,
les SMS et l'utilisation des outils de sauvegarde et de récupération). La désactivation du cryptage SDE déclenche le décryptage
automatique de tous les fichiers et répertoires SDE cryptés pour les utilisateurs pertinents, quelles que soient les autres règles SDE, par
exemple les règles de cryptage SDE.
Threat Protection : le produit Threat Protection (Protection contre les menaces) est basé sur des règles gérées de manière centrale et
protège les ordinateurs de l'entreprise contre tout risque d'atteinte à la sécurité. Threat Protection consiste en une protection contre les
logiciels malveillants : il détecte les virus, logiciels espions, programmes indésirables et autres menaces en analysant automatiquement les
éléments au moment où vous y accédez ou bien à tout moment, selon les planifications définies. Pare-feu client : surveille la communication
entre l'ordinateur et les ressources du réseau et d'Internet et intercepte les communications potentiellement malveillantes. Web Protection :
bloque les sites Web et les téléchargements dangereux lors des consultations et des recherches, selon les rapports et cotes se sécurité des
sites Web.
TPM (Trusted Platform Module) : TPM est une puce de sécurité assurant trois fonctions majeures : stockage sécurisé, mesure et
attestation. Le client Encryption utilise TPM pour assurer sa fonction de stockage sécurisé. Le TPM peut également fournir les conteneurs
cryptés pour le coffre de logiciels. Le module TPM est également nécessaire pour une utilisation avec BitLocker Manager et la fonction de
mot de passe à usage unique (OTP).
Cryptage utilisateur : la clé utilisateur ne rend les fichiers accessibles qu'à l'utilisateur qui les a créés et uniquement sur le périphérique
d'origine. Lors de l'exécution de Dell Server Encryption, le cryptage Utilisateur est converti en cryptage Courant. Il existe cependant une
exception pour les périphériques de support ; lorsque des fichiers sont insérés dans un serveur sur lequel est installé Encryption, les fichiers
sont cryptés à l'aide de la clé Utilisateur itinérant.
Dell Data Protection | Endpoint Security Suite
Glossaire
103

Manuels associés