Notes de publication de SafeGuard Easy / Sophos SafeGuard Disk Encryption 5.60.0

Notes de publication de SafeGuard Easy (SGE) / Sophos Safeguard Disk Encryption (SDE) 5.60.0

Connu pour s'appliquer aux produits et aux versions Sophos suivantes

SafeGuard Easy 5.60.0
Sophos SafeGuard Disk Encryption 5.60.0

Sauf spécification contraire, toutes les informations s'appliquent à SafeGuard Easy (SGE)  et Sophos SafeGuard Disk Encryption (SDE).

Configuration requise

*  L'installation a besoin d'au moins 300 Mo d'espace disque disponible. Pour le chiffrement des périphériques, au mmoins 100 Mo d'espace disque doivent figurer dans une zone contiguë. Si vous ne disposez pas de 5 Go d'espace disque disponible ou si votre système d'exploitation n'a pas été installé récemment, défragmentez votre système avant de procéder à l'installation afin de garantir que vous disposez de cette zone contiguë. Sinon, un espace disponible contigu insuffisant risque de provoquer l'échec de l'installation.

** Cet espace mémoire est conseillé pour le PC. Cette mémoire n'est pas toute utilisée par SafeGuard Easy. 

Logiciels requis :

Device Encryption / Data Exchange:
Internet Explorer Version 6.0 ou supérieur

Policy Editor :
.NET Framework 3.0 SP1

Problèmes résolus

• Corriger la vulnérabilité de sécurité potentielle décrite dans l'articleKBA112655

• Le SGNRUNTimeClient a provoqué un BSOD sous Vista 64 bits dans certaines circonstances

• Autres problèmes résolus


Problèmes connus

Data Exchange Client (SafeGuard Easy uniquement)

• L'élévation par utilisateur pour les exécutables chiffrés
Si un exécutable chiffré ou le package d'installation est lancé et exige une élévation par utilisateur dans Windows Vista ou Windows 7, il peut arriver que l'élévation n'ait pas lieu et que l'exécutable ne soit pas démarré.

• Lien SafeGuard Portable sur les supports en lecture seule
Le lien vers l'application SafeGuard Portable créé à la racine d'un support amovible ne fonctionne parfois pas dans certaines conditions (sous Windows 7 seulement). Lorsque le support est inséré dans un périphérique dont la lettre diffère de celle sur laquelle SafeGuard Portable a été copié, le lien ne fonctionne pas si le lecteur portant cette lettre est disponible aussi sur le périphérique. Par exemple : le lien SafeGuard Portable a été créé sur un support présent sur le lecteur D:. Le support est celui utilisé sur une machine différente sur le lecteur E:. Le lien est rompu si cette machine dispose également d'un lecteur D:, autrement le lien fonctionne comme prévu.

• L'accès au jeu de clés après la fermeture d'une session à distance
Le jeu de clés d'un utilisateur n'est plus accessible après qu'une session à distance établie a été fermée. La machine cliente doit être redémarrée afin de rétablir un accès intégral au jeu de clés de l'utilisateur. Il ne suffit pas de se déconnecter puis de se reconnecter pour récupérer l'accès.

Device Encryption Client

• En fonction de la version du BIOS qui est installée, l'option de démarrage en Mode sans échec de Windows, la mise à jour des pilotes graphiques et l'accessibilité depuis Windows PE peuvent être affectées
Il a été constaté que les versions actuelles du BIOS (voir les informations détaillées dans l'article de la base de connaissances mentionné ci-desous) conduisent à un écran noir lorsque la carte graphique est contrôlée par le propre pilote graphique générique de Windows au lieu du pilote dédié du fabricant et lorsque SafeGuard Enterprise est installé. Alors qu'il ne s'agit pas d'une configuration fréquente au cours du fonctionnement normal du système d'exploitation, il s'agit de celle par défaut dans certains scénarios : 

    - Lorsque l'utilisateur a choisi de démarrer Windows en Mode sans échec 
    - Lorsque la machine a été démarrée dans Windows PE à partir d'un support externe 
    - Lorsque le pilote graphique du fabricant est mis à jour lors du fonctionnement de Windows

Lorsque le programme d'installation de SGN détecte que le BIOS de la machine correspond à l'un de ceux connus pour avoir été affectés, 
    - et que le pilote graphique Windows générique est en cours de fonctionnement, il interrompra automatiquement l'installation pour éviter un machine inaccessible.
- et le pilote par défaut de la carte graphique est en cours de fonctionnement, il publie un avertissement indiquant que la version du BIOS doit être changée et demande à l'utilisateur s'il faut continuer l'installation.

Solution :
Installez l'une des version du BIOS recommandées présentes dans http://www.sophos.fr/support/knowledgebase/article/113426.html.
Sophos est en contact avec les éditeurs de BIOS et de matériels pour résoudre les problèmes relatifs au BIOS. Par ailleurs, une solution est actuellement recherchée pour contourner ces problèmes dans une version future de SafeGuard Enterprise.
DEF69880

•  La reprise après hibernation échoue sur certaines machines Lenovo utilisant Win 7 SP1
Sophos a récemment identifié un problème avec Windows 7 Service Pack 1 (32 bits et 64 bits) sur les machines Lenovo avec un processeur Core i3/i5/i7 et le jeu de composants correspondant Sur ces machines, la reprise après hibernation ne fonctionne pas lorsque Safeguard Easy est installé. Les machines ne parviennent pas à reprendre et restent avec un écran noir après l'authentification au démarrage. Le problème n'a pas été signalé jusqu'à présent avec les modèles Lenovo suivants : T510, X201, W701ds.

Les machines sans le Service Pack 1 ne sont pas affectées.

ucun problème n'a jusqu'à présent été signalé avec d'autres éditeurs (comme DELL, HP) équipés de processeurs Intel Core Ix. Ce problème se pose non seulement avec la version 5.60 mais a été signalé également avec la version 5.50.8.
Pour plus d'informations, consultez l'article http://www.sophos.fr/support/knowledgebase/article/113546.html.
DEF69434

• Heure de journalisation erronée pour les entrées de connexion automatique POA dans l'Observateur d'événements du Management Center
Tant qu'il n'y a pas eu de connexion initiale à Windows, la POA identifie ces événements avec la marque temporelle disponible depuis le BIOS. Cette marque temporelle est locale à la machine et ne contient pas d'informations sur le fuseau horaire, raison pour laquelle les entrées du journal peuvent ne pas apparaître dans l'ordre chronologique correcte dans le Management Center. Une fois que l'utilisateur a démarré dans Windows, la POA est mise à jour avec les paramètres de fuseau horaire corrects et les événements du journal qui suivent apparaissent avec l'heure de journal correcte.
DEF69645

• Redimensionnement des partitions non pris en charge
Le redimensionnement de toute partition sur une machine où le chiffrement basé sur volume SafeGuard Easy est installé n'est pas pris en charge.

• Local Self Help est désactivé en silence lorsque l'utilisateur change de mot de passe sur une machine différente
Lorsqu'un utilisateur SafeGuard Easy est enregistré sur plus d'une machine avec le Local Self Help activé, le changement de son mot de passe sur une machine désactive cette fonction sur toutes les machines autres que celle sur laquelle le changement a été effectué. Lorsqu'il ouvre une session sur l'une des autres machines, aucune notification n'apparaît pour informer de ce changement.
Solution :
réactivez Local Self Help sur toutes les machines. Ceci nécessite de répondre de nouveau aux questions de l'assistant d'activation LSH.
DEF62926

• Le processus d'installation de SafeGuard Easy exige d'être démarré dans le contexte d'une session d'ouverture de l'administrateur Windows. Le démarrage de l'installation via “Exécuter en tant qu'administrateur” n'est pas pris en charge.

• Installation du package de configuration du client
Après l'installation du package de configuration du client, l'utilisateur doit attendre environ ~5-10 secondes avant d'accepter le redémarrage final. Puis, après le redémarrage, l'utilisateur doit de nouveau attendre pendant environ 3 minutes à l'écran d'ouverture de session Windows avant d'ouvrir la session. Sinon, il est possible que la synchronisation utilisateur initiale ne soit pas terminée tant qu'un nouveau redémarrage n'a pas été réalisé.

• Les périphériques chiffrés par BitLocker To Go peuvent empêcher l'installation de Device Encryption
Si une clé USB chiffrée par BitLocker To Go est reliée à une machine lors de la configuration de SafeGuard Easy, l'installation échoue car Windows signale le système comme étant activé par BitLocker, ce qui est une condition d'échec valide pour l'installation du client DE. La solution consiste à supprimer tout périphérique chiffré par BitLocker to Go avant d'installer SafeGuard Easy DE.

• Temps d'initialisation
Le temps d'initialisation augmente environ d'une minute après l'installation du logiciel client SafeGuard Easy.

• Il est conseillé de redémarrer un PC client SafeGuard Easy au moins une fois après activation de l'authentification au démarrage. SafeGuard Easy exécute une sauvegarde de ses données de noyau à chaque démarrage Windows. Cette sauvegarde ne se produit jamais si le PC est seulement hiberné ou transféré en mode veille.


Encryption

• Sur certains disques OPAL Toshiba, le chiffrement en mode OPAL peut échouer si la première parition n'est pas placée au début du disque
La spécification TCG Storage OPAL pour les disques à chiffrement automatique (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) requiert une zone MBR d'au moins 128 Mo en taille. Si cette zone n'est pas complètement accessible pour la lecture et l'écriture, ce qui est le cas pour les disques OPAL Toshiba avec une version MGT00A de firmware, et si le secteur de démarrage de la partition de démarrage du disque tombe dans la fourchette des numéros de secteurs de la zone inaccessible, SafeGuard Easy ne pourra pas activer le chiffrement OPAL pour un tel disque.
Ce problème a été signalé à Toshiba et est censé être corrigé dans une version de firmware à venir pour ces disques.
Solution : replacez la partition de démarrage au début du disque
DEF69429

• Restrictions OPAL
À partir de la version 5.60, la prise en charge des lecteurs à chiffrement automatique OPAL par SafeGuard Easy a les limitations suivantes : 
   - Le chiffrement en mode OPAL peut seulement être activé pour un disque OPAL par machine.
- Si plus d'un lecteur OPAL est présent et si une stratégie de chiffrement est affectée à l'un de ses volumes, ceux-ci feront l'objet d'un chiffrement logiciel tout comme sur un lecteur autre qu'à chiffrement automatique.
Ceci signifie qu'une configuration RAID avec plus d'un lecteur OPAL sera toujours chiffré par le logiciel.
- Si un lecteur OPAL contient plus d'un volume, l'état d'activation du chiffrement OPAL s'applique simultanément à tous les volumes.
- Le premier secteur de la partition de démarrage du disque doit être placée dans les premiers 128 Mo.
DEF69695

• N'utilisez pas le paramètre "Veille mode hybride" de Windows sur les machines OPAL
Sur les ordinateurs équipés d'un lecteur à chiffrement automatique OPAL géré par SGN, l'activation de l'option “Autoriser la veille hybride” dans les Options d'alimentation avancées peuvent conduire à des erreurs lors du passage du mode veille à l'éveil automatique (reprise). Ceci implique la perte de toutes les données qui n'ont pas été enregistrées sur le disque avant que l'ordinateur n'a été mis en veille.
DEF70019

• Les lecteurs à chiffrement automatique OPAL deviennent inutilisables en cas de perte d'une clé de chiffrement
D'après la spécification TCG Storage OPAL pour les lecteurs à chiffrement automatique (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal), il n'existe aucun moyen d'accéder à un lecteur activé en cas de perte des informations d'identification pour déverrouiller le lecteur.
Ceci signifie que le disque devient complètement inutilisable, ce qui fait contraste avec un disque qui a été chiffré via le logiciel, où les données sont également perdues, mais où le matériel peut être réutilisé après reformatage.
Soit SafeGuard Easy stockera automatiquement les clés de chiffrement dans sa base de données dès qu'une stratégie de chiffrement aura été appliquée (pour les clients administrés), soit il invitera l'utilisateur à sauvegarder le fichier de clés (pour les clients autonomes), mais en cas de perte de ces données, le scénario décrit s'appliquera.
DEF69207

• Les lecteurs à chiffrement automatique OPAL doivent être en permanence déverrouillés avant d'être reformatés/réimagés
Les lecteurs à chiffrement automatique doivent être rétablis à leur état usine avant qu'ils ne puissent être reformatés ou réimagés. Pour ces scénarios où ceci ne peut pas être accompli par un déchiffrement "régulier" ou par la désinstallation de SafeGuard Easy, un outil (OPALEmergencyDecrypt.exe) est disponible pour réinitialiser en permanence un lecteur OPAL géré par SafeGuard Easy. Pour des raisons de sécurité, cet outil n'est pas inclus dans le dossier Outils mais disponible auprès du service clients de Sophos.
DEF69207

• La reprise à partir du mode Veille échoue lorsque le pilote MSAHCI de Windows est installé sur une machine avec un lecteur OPAL activé
Lorsqu'une machine est maintenue en mode Veille, la reprise échoue si le pilote du disque dur MSAHCI de Microsoft est installé. MSAHCI a été introduit avec Windows Vista, le problème concerne donc Windows Vista et Windows 7, mais pas Windows XP.

Solutions : 
- Si cela est applicable pour la configuration matérielle, utilisez à la place le pilote IAStore approprié. Le "package du pilote Intel RST v10.1.0.1008" a été testé avec succès.
- Changez le paramètre du contrôleur de disques durs du BIOS (mode SATA, mode Contrôleur ATA, mode Contrôleur IDE, ...) en mode compatibilité. Dans la plupart des BIOS, ceci revient à sélectionner une valeur autre que AHCI (par exemple, IDE, Compatibilité, ...)
DEF66126

• Soucis de sécurité lors de l'utilisation de disques SSD (Solid State Drives)
Sur les SSD actuels, aucun logiciel (y compris le système d'exploitation) ne peut déterminer l'emplacement physique exact où les données sont stockées. Un contrôleur, composant essentiel de tout SSD, simule le comportement externe d'un lecteur sur plateau tout en effectuant quelque chose de complètement différent en interne.
Ceci a plusieurs implications sur la sécurité des données stockées, les détails desquelles figurent dans l'article 112334 de la base de connaissances. La plus importante est la suivante :
Seules les données qui ont été écrites sur un volume SSD après l'activation d'une stratégie de chiffrement sont sûres au niveau cryptographique. Ceci signifie qu'il n'est pas garanti que toutes les données déjà présentes sur le SSD avant le démarrage du processus de chiffrement initial de SafeGuard Easy ont été complètement effacées physiquement du SSD une fois que le chiffrement initial est terminé.
À noter que ce problème n'est pas spécifique à SafeGuard Easy, il s'applique à tout système de chiffrement logiciel intégral du disque.
DEF68440

• Le chiffrement à base de volume pour les lecteurs eSATA amovibles ne fonctionne pas comme prévu
Actuellement, la plupart des lecteurs eSATA externes ne s'affichent pas comme des périphériques amovibles. Ce qui conduit SafeGuard Easy à considérer ces lecteurs comme des lecteurs internes, auxquels s'appliquent toutes les stratégies correspondantes. Nous ne conseillons pas d'utiliser des lecteurs eSATA dans un environnement de chiffrement intégral du disque SafeGuard Easy à moins que les stratégies de chiffrement appliquées prennent explicitement en compte la situation.
DEF65729, DEF66438, DEF58796

• Le chiffrement des périphériques peut échouer pour certaines clés USB
Certains rares modèles de clés USB signalent une capacité de stockage incorrecte (généralement plus importante que leur véritable capacité physiquement disponible). Sur ces modèles, un chiffrement initial à base de volumes échouera et les données contenues dans la clé seront perdues. Sophos recommande généralement d'utiliser un chiffrement à base de fichiers (module DX) pour le chiffrement des supports amovibles.

• Chiffrement des "Lecteurs virtuels"
Les lecteurs virtuels montés sur la station de travail cliente (par exemple, le fichier VHD dans Windows utilisant le monteur MS Virtual Server) sont considérés comme des lecteurs de disque dur locaux. Leurs contenus seront donc chiffrés aussi si une stratégie de chiffrement est définie pour d'autres volumes.

• Lors du chiffrement initial de la partition système (c'est-à-dire la partition où est placé le fichier hiberfil.sys), "suspend-to-disk" peut échouer et doit donc être évité. Après le chiffrement initial de la partition système, un redémarrage est requis avant que la suspension sur disque ne fonctionne de nouveau correctement.


General

• SafeGuard Easy désactive la fonction AutoAdminLogon de Windows
Pour des raisons de sécurité, le client SafeGuard Enterprise désactive activement la fonction AutoAdminLogon dans Windows.

• Après la mise à jour d'un client SafeGuard Easy ou Sophos Disk Encryption, un redémarrage est requis avant qu'un nouveau package de configuration puisse être appliqué
La mise à jour du client vers une nouvelle version et l'application d'un package de configuration en une fois n'est pas prise en charge. Après une mise à jour, un redémarrage est obligatoire avant d'appliquer un nouveau package de configuration de client. Sinon, les changements de configuration souhaités seront ignorés.
DEF68409

• Client Novell
Pour utiliser le client SGE conjointement avec un client Novell, certaines adaptations spécifiques aux projets sont nécessaires. Pour plus d'informations, veuillez contacter le support technique Sophos.

• Le changement rapide d'utilisateur n'est pas pris en charge et doit être désactivé.

• Lecteur de disquette
Après installation de SafeGuard Device Encryption sous Windows Vista, le lecteur de disquette intégré n'est plus disponible. Cette restriction ne s'applique pas aux lecteurs de disquette externes connectés via le bus USB.

L'application de la stratégie d'historique des mots de passe SafeGuard Easy peut être évitée par l'utilisateur lors de l'exécution du changement de mot de passe due à l'application de l'administrateur système.

• Les modifications directes apportées aux packages d'installation MSI du produit Sophos original ne sont pas prises en charge. Si vous avez besoin de modifier des options particulières, veuillez le faire en appliquant un Microsoft Transform File (MST). Une liste des changements pris en charge est disponible dans la base de connaissances Sophos. Les modifications déviantes ne sont pas prises en charge et peuvent conduire à un comportement non spécifié du produit.

Windows XP

• Le système d'exploitation Windows XP jusqu'au Service Pack 2 présente un problème sur certaines machines où une reprise après la veille n'affiche pas le bureau verrouillé mais ouvre directement le bureau de l'utilisateur. Le problème s'applique aussi aux machines avec SafeGuard Easy. Ceci doit être corrigé sous Windows XP SP3.

• Microsoft Windows XP a une restriction technique de sa pile de noyau. Si plusieurs pilotes de filtres du système de fichiers (par exemple, le logiciel antivirus) sont installés, il est possible que la mémoire ne soit pas suffisante. Dans ce cas, vous pouvez prendre un BSOD. Sophos ne peut être tenu pour responsable de cette restriction Windows et ne peut pas résoudre ce problème.


Compatibilité

• SafeGuard LanCrypt a besoin d'être réparé lors de la déinstallation du client SafeGuard Enterprise sur la même machine
La désinstallation de SafeGuard Enterprise 5.60 sur un PC sur lequel le client SafeGuard LanCrypt (SGLC) est installé conduit à une erreur de pilote interne lorsque l'utilisateur essaie de charger son jeu de clés SGLC.
Solution :
Exécutez une installation de réparation sur le package du client SafeGuard LanCrypt.
DEF69644

• SafeGuard Removable Media et SafeGuard Easy ne peuvent pas être exécutés sur la même machine
Le produit SafeGuard Removable Media doit être désinstallé avant d'utiliser tout composant SafeGuard Easy sur la même machine.
DEF69092

• Empirum Security Suite Agent
Si le logiciel du client SafeGuard Easy 5.50 est installé et fonctionne conjointement au logiciel Empirum Security Suite Agent, le système peut s'arrêter avec le BSOD suivant :

BSOD au démarrage du système avec code d'arrêt 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS

Ce problème est provoqué par l'un des composants Empirum Software. Une correction pour ce problème sera incluse dans Empirum Security Suite.
Pour obtenir les derniers détails/mises à jour sur ce problème, veuillez contacter le support technique Matrix42.

• Lenovo Rescue and Recovery
Pour plus d'informations sur la compatibilité des versions de Rescue and Recovery avec les versions de SafeGuard Easy, consultez : http://www.sophos.fr/support/knowledgebase/article/108383.html

• La compatibilité aux outils d'imagerie n'a pas été testée et n'est donc pas prise en charge.

Clé cryptographique/carte à puce (SafeGuard Easy uniquement)

• • La reprise après hibernation sur un client Windows XP peut parfois conduire à un BSOD si un Aladdin eToken 72k (Java) est utilisé pour l'authentification. Par conséquent, l'hibernation sous Windows XP en combinaison avec Aladdin eToken 72k (Java) n'est actuellement pas prise en charge car les données non sauvegardées pourraient être perdues lorsque le BSOD se produit.
DEF66421

• La déconnexion d'un lecteur de carte à puce USB n'est pas détectée correctement lors de l'utilisation d'un middleware de carte à puce Gemalto .NET
Dans ce cas, le bureau n'est pas verrouillé automatiquement. Ceci ne s'applique pas au retrait de la carte à puce du lecteur, opération qui fonctionne comme prévu.
DEF66637

• Lors de l'utilisation du middleware Gemalto Classic, le mode de connexion non-cryptographique ne fonctionne pas dans la POA
DEF67495

• Les cartes à puce TCOS ne sont pas prises en charge sous Windows Vista
DEF67397, DEF67386

• Les notifications ActivIdentity entraînent le plantage de Winlogon.exe
Sur certains systèmes Windows XP, Winlogon.exe peut planter si les notifications dans ActivClient sont activées.
Solution :
désactivez les notifications ActivClient dans l'option “Advanced Configuration Manager” d'ActivIdentity sous “Notifications Management”
DEF60040

Produits antivirus testés avec SafeGuard Device Encryption
Le chiffrement à base de volumes SGE/SDE a été testé avec succès par Sophos sur des installations de produits antivirus concurrents ainsi que les suivants :

Retour à la page des notes de publication de Sophos SafeGuard