Notes de publication de la version 6.0 de SafeGuard Easy

  • ID de l'article 114139
  • Mis à jour : 10 avr. 2012

Notes de publication de la version 6.0 de SafeGuard Easy (SGE)

Connu pour s'appliquer aux produits et aux versions Sophos suivantes

SafeGuard Easy 6.0

Configuration requise

Plates-formes prises en charge 32 bits 64 bits IA-64 (Itanium)
64 bits
conseillé
espace disque disponible
Minimum
RAM
SafeGuard Easy - Device Encryption / Data Exchange / Cloud Storage
Windows 7, SP1 Entreprise/Édition intégrale/Professionnel/Édition Familiale Premium
Oui Oui  Pas de prise en charge 300 Mo* 1 Go**
Windows Vista SP1, SP2 Entreprise/Édition intégrale/Professionnel Oui Oui  Pas de prise en charge
Windows XP Professionnel SP2, SP3 Oui

 non

 Pas de prise en charge
SafeGuard Easy - Policy Editor
Windows 7, SP1 Entreprise/Édition intégrale/Professionnel

Oui

Oui

 Pas de prise en charge

1 Go 1 Go**
Windows Vista SP1, SP2 Entreprise/Édition intégrale/Professionnel Oui

 Oui

 Pas de prise en charge
Windows XP Professionnel SP2, SP3 Oui

 

non
 Pas de prise en charge
Windows Server 2008 SP1, SP2 Oui Oui  Pas de prise en charge 1 Go

1 Go**

Windows Server 2008 R2, SP1  non Oui  Pas de prise en charge
Windows Server 2003 SP1, SP2 Oui Oui  Pas de prise en charge
Windows Server 2003 R2 SP1, SP2 Oui Oui  Pas de prise en charge
Windows Small Business Server 2003, 2008, 2011 Pas de prise en charge

*  L'installation a besoin d'au moins 300 Mo d'espace disque disponible. Pour le chiffrement des périphériques, au moins 100 Mo d'espace disque doivent figurer dans une zone contiguë. Si vous ne disposez pas de 5 Go d'espace disque disponible ou si votre système d'exploitation n'a pas été installé récemment, défragmentez votre système avant de procéder à l'installation afin de garantir que vous disposez de cette zone contiguë. Sinon, un espace disponible contigu insuffisant risque de provoquer l'échec de l'installation.

** Cet espace mémoire est conseillé pour le PC. Cette mémoire n'est pas toute utilisée par SafeGuard Easy.

Logiciels requis

  • SafeGuard Device Encryption / Data Exchange / Cloud Storage :
    Internet Explorer version 6.0 ou version supérieure
  • SafeGuard Policy Editor :
    .NET Framework 4.0

Changements notables

Les fonctionnalités suivantes ont été changées en ce qui concerne leurs comportements par défaut :

Compteur d'échecs de connexion

Les compteurs d'échecs de connexion distincts pour utilisateur et machine ont été combinés en un seul. Ce qui signifie que le paramètre de stratégie du nombre maximum d'échecs de connexion ("max failed logons") est seulement évalué pour la machine et ne l'est plus pour les utilisateurs individuels. À la suite de cela, l'accès à la machine est bloqué et pas seulement pour un utilisateur individuel si le nombre donné de fausses tentatives de connexion successives est dépassé. Les paramètres de stratégie précédemment définis pour un compteur 'par utilisateur' ne sont plus évalués.

Applications non gérées

Le paramètre de stratégie dans la stratégie 'Protection des périphériques' pour empêcher l'exclusion de certaines applications du chiffrement basé sur fichier (c'est-à-dire DX) a été supprimé de ce type de stratégie. Comme ce paramètre s'applique aussi au module de chiffrement basé sur fichier nouvellement introduit Cloud Storage, ce paramètre a été déplacé dans la stratégie 'Paramètres généraux'. L'ancien paramètre de stratégie n'est plus évalué par les clients les plus récents (SGE 6.0 ou version supérieure) et, par conséquent, ces applications doivent désormais être spécifiées dans une stratégie 'Paramètres généraux' à l'aide du paramètre de stratégie 'Applications ignorées'.

Packages de configuration du client

Dans SafeGuard Easy, avant la version 6.0, il était possible d'installer un package de configuration du client qui était créé avec une version antérieure sur un client plus récent (par exemple, l'installation d'un package qui a été créé dans 5.50.8 sur un client 5.60.1). À partir de la version 6.0, cela ne sera plus possible ! La version du package de configuration du client doit correspondre à la version du client. Les clients mis à niveau, en revanche, n'ont pas besoin d'un nouveau package.

Problèmes connus

SafeGuard Data Exchange

Lors du fonctionnement d'un périphérique en tant que 'Périphérique portable', toutes les options n'apparaissent pas
Lors du fonctionnement d'un support amovible en mode 'Périphérique portable', certaines des options spécifiques à SafeGuard Data Exchange ne sont pas disponibles dans l'Explorateur Windows. Les icônes en chevauchement indiquant le statut de chiffrement d'un fichier et l'option de menu SGN DX dans le menu contextuel d'un fichier n'apparaissent pas. Néanmoins, toute stratégie de chiffrement applicable est appliquée pour les fichiers qui résident sur le périphérique amovible, qu'il soit référencé via l'arborescence 'Périphérique portable' ou par la lettre de lecteur attribuée.
  • Elévation de l'utilisateur pour les exécutables chiffrés
    Si un exécutable chiffré ou un package d'installation est démarré et nécessite une élévation de l'utilisateur dans Windows Vista ou Windows 7, il peut arriver que l'élévation n'ait pas lieu et que l'exécutable ne soit pas exécuté.
  • Accès au jeu de clés après la fermeture d'une session à distance
    Le jeu de clés d'un utilisateur n'est plus accessible suite à la fermeture d'une session à distance. La machine cliente doit être redémarrée afin de rétablir un accès intégral au jeu de clés de l'utilisateur. La fermeture et l'ouverture d'une session ne suffisent pas à récupérer l'accès au jeu de clés.

SafeGuard Device Encryption

  • (DEF69645) Heure de journalisation erronée pour les entrées de connexion automatique POA dans l'Observateur d'événements du Management Center
    Tant qu'il n'y a pas eu de connexion initiale à Windows, la POA identifie ces événements avec la marque temporelle disponible depuis le BIOS. Cette marque temporelle est locale à la machine et ne contient pas d'informations sur le fuseau horaire, raison pour laquelle les entrées du journal peuvent ne pas apparaître dans l'ordre chronologique correcte dans le Management Center. Une fois que l'utilisateur a démarré dans Windows, la POA est mise à jour avec les paramètres de fuseau horaire corrects et les événements du journal qui suivent apparaissent avec l'heure de journal correcte.
  • Redimensionnement des partitions non pris en charge
    Le redimensionnement de toute partition sur une machine où le chiffrement basé sur volume SafeGuard Easy est installé n'est pas pris en charge.
  • (DEF62926) Local Self Help est désactivé en silence lorsque l'utilisateur change de mot de passe sur une machine différente
    Lorsqu'un utilisateur SafeGuard Easy est enregistré sur plus d'une machine avec le Local Self Help activé, le changement de son mot de passe sur une machine désactive cette fonction sur toutes les machines autres que celle sur laquelle le changement a été effectué. Lorsqu'il ouvre une session sur l'une des autres machines, aucune notification n'apparaît pour informer de ce changement.
    Solution :
    réactivez Local Self Help sur toutes les machines. Ceci nécessite de redémarrer l'assistant d'activation LSH et de répondre de nouveau à toutes les questions.
  • Le processus d'installation de SafeGuard Easy exige d'être démarré dans le contexte d'une session d'ouverture de l'administrateur Windows. Le démarrage de l'installation via “Exécuter en tant qu'administrateur” n'est pas pris en charge.
  • Installation du package de configuration du client
    Après l'installation du package de configuration du client, l'utilisateur doit attendre ~5-10 secondes avant de valider le redémarrage final. Puis, après le redémarrage, l'utilisateur doit de nouveau attendre pendant environ 3 minutes à l'écran d'ouverture de session Windows avant d'ouvrir la session. Sinon, il se peut que la synchronisation de l'utilisateur initial ne soit pas terminée tant que le nouveau redémarrage n'a pas eu lieu.
  • Les périphériques chiffrés BitLocker To Go peuvent empêcher l'installation de Device Encryption
    Si une clé USB chiffrée par BitLocker To Go est connectée à une machine lors de la configuration de SafeGuard Easy, l'installation échouera car Windows signale le système comme étant activé par BitLocker, ce qui entraîne l'échec de l'installation du client Device Encryption. La solution consiste à supprimer tout périphérique chiffré par BitLocker to Go avant d'installer SafeGuard Device Encryption.
  • Durée de démarrage
    La durée de démarrage augmente d'à peu près une minute après l'installation du logiciel client SafeGuard Easy Client.
  • Il est conseillé de redémarrer un PC client SafeGuard Easy Client au moins une fois après avoir activé l'authentification au démarrage. SafeGuard Easy exécute une sauvegarde de ses données de noyau à chaque démarrage Windows. Cette sauvegarde ne se produira jamais si le PC est seulement paramétré sur hibernation ou sur le mode d'attente.
  • Rarement, il peut arriver que l'accès aux clés USB formatées exFAT ne soit pas régulièrement bloqué lors de l'application d'une stratégie de chiffrement basé sur volume en combinaison avec une "clé définie par l'utilisateur". Dans environ 2 sessions sur 10 de retrait sécurisé/reconnexion USB, SafeGuard Easy n'applique pas correctement la stratégie "accès refusé" (DEF54324).

Chiffrement

  • (DEF69429) Sur certains disques OPAL Toshiba, le chiffrement en mode OPAL peut échouer si la première partition n'est pas placée au début du disque
    La spécification TCG Storage OPAL pour les disques à chiffrement automatique (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) requiert une zone MBR d'au moins 128 Mo en taille. Si cette zone n'est pas complètement accessible pour la lecture et l'écriture, ce qui est le cas pour les disques OPAL Toshiba avec une version MGT00A de firmware, et si le secteur de démarrage de la partition de démarrage du disque tombe dans la fourchette des numéros de secteurs de la zone inaccessible, SafeGuard Easy ne pourra pas activer le chiffrement OPAL pour un tel disque.
    Ce problème a été signalé à Toshiba et est censé être corrigé dans une version de firmware à venir pour ces disques.
    Solution : replacez la partition de démarrage au début du disque
  • (DEF69695) Restrictions OPAL
    À partir de la version 5.60, la prise en charge des lecteurs à chiffrement automatique OPAL par SafeGuard Easy a les limitations suivantes :
    • Le chiffrement en mode OPAL peut seulement être activé pour un disque OPAL par machine.
    • Si plus d'un lecteur OPAL est présent et si une stratégie de chiffrement est affectée à l'un de ses volumes, ceux-ci feront l'objet d'un chiffrement logiciel tout comme sur un lecteur autre qu'à chiffrement automatique.
      Ceci signifie qu'une configuration RAID avec plus d'un lecteur OPAL sera toujours chiffré par le logiciel.
    • Si un lecteur OPAL contient plus d'un volume, l'état d'activation du chiffrement OPAL s'applique simultanément à tous les volumes.
    • Le premier secteur de la partition de démarrage du disque doit être placée dans les premiers 128 Mo.
    • (DEF70019) N'utilisez pas le paramètre "Veille mode hybride" de Windows sur les machines OPAL
      Sur les ordinateurs équipés d'un lecteur à chiffrement automatique OPAL géré par SGN, l'activation de l'option “Autoriser la veille hybride” dans les Options d'alimentation avancées peuvent conduire à des erreurs lors du passage du mode veille à l'éveil automatique (reprise). Ceci implique la perte de toutes les données qui n'ont pas été enregistrées sur le disque avant que l'ordinateur n'a été mis en veille.
    • (DEF69207) Lecteurs de chiffrement automatique OPAL inutilisables en cas de perte de la clé de chiffrement
      Selon la spécification OPAL de stockage TCG pour les lecteurs à chiffrement automatique (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal), il est impossible d'accéder à un lecteur actif en cas de perte des codes d'accès de déverrouillage.
      Ceci signifie que le disque est totalement inutilisable. Ceci est différent de ce qui pourrait se passer sur un disque qui a été chiffré via un software, et sur lequel les données seraient également perdues mais sur lequel le matériel serait réutilisable après avoir été reformaté.
      Soit SafeGuard Easy stockera automatiquement les clés de chiffrement dans sa base de données dès qu'une stratégie de chiffrement aura été appliquée (pour les clients administrés), soit il invitera l'utilisateur à sauvegarder le fichier de clés (pour les clients autonomes), mais en cas de perte de ces données, le scénario décrit s'appliquera.
    • (DEF69207) Les lecteurs à chiffrement automatique OPAL doivent être en permanence déverrouillés avant d'être reformatés/réimagés
      Les lecteurs à chiffrement automatique doivent être rétablis à leur état usine avant qu'ils ne puissent être reformatés ou réimagés. Pour ces scénarios où ceci ne peut pas être accompli par un déchiffrement "régulier" ou par la désinstallation de SafeGuard Easy, un outil (OPALEmergencyDecrypt.exe) est disponible pour réinitialiser en permanence un lecteur OPAL géré par SafeGuard Easy. Pour des raisons de sécurité, cet outil est seulement disponible auprès du service clients Sophos.
    • (DEF66126) La reprise à partir du mode Veille échoue lorsque le pilote MSAHCI de Windows est installé sur une machine avec un lecteur OPAL activé
      Lorsqu'une machine est maintenue en mode Veille, la reprise échoue si le pilote du disque dur MSAHCI de Microsoft est installé. MSAHCI a été introduit avec Windows Vista, le problème concerne donc Windows Vista et Windows 7, mais pas Windows XP.
      Solutions :
      • Si cela est applicable pour la configuration matérielle, utilisez plutôt le pilote IAStore approprié. Le "package du pilote Intel RST v10.1.0.1008" a été testé avec succès.
      • Changez le paramètre du contrôleur de disques durs du BIOS (mode SATA, mode Contrôleur ATA, mode Contrôleur IDE, ...) en mode compatibilité. Dans la plupart des BIOS, ceci revient à sélectionner une valeur autre que AHCI (par exemple, IDE, Compatibilité, ...)
    • (DEF68440) Soucis de sécurité lors de l'utilisation de disques SSD (Solid State Drives)
      Sur les SSD actuels, aucun logiciel (y compris le système d'exploitation) ne peut déterminer l'emplacement physique exact où les données sont stockées. Un contrôleur, composant essentiel de tout SSD, simule le comportement externe d'un lecteur sur plateau tout en effectuant quelque chose de complètement différent en interne.
      Ceci a plusieurs implications sur la sécurité des données stockées, les détails desquelles figurent dans l'article 112334 de la base de connaissances. La plus importante est la suivante :
      Seules les données qui ont été écrites sur un volume SSD après l'activation d'une stratégie de chiffrement sont sûres au niveau cryptographique. Ceci signifie qu'il n'est pas garanti que toutes les données déjà présentes sur le SSD avant le démarrage du processus de chiffrement initial de SafeGuard Easy ont été complètement effacées physiquement du SSD une fois que le chiffrement initial est terminé.
      Veuillez noter que ce problème n'est pas spécifique à SafeGuard Easy, il s'applique à tout système de chiffrement logiciel intégral du disque.
    • (DEF65729, DEF66438, DEF58796 ) Le chiffrement basé sur volume pour les lecteurs eSATA amovibles ne fonctionne pas comme prévu
      Actuellement, la plupart des lecteurs eSATA externes ne s'affichent pas comme des périphériques amovibles. Ce qui conduit SafeGuard Easy à considérer ces lecteurs comme des lecteurs internes, auxquels s'appliquent toutes les stratégies correspondantes. Nous ne conseillons pas d'utiliser des lecteurs eSATA dans un environnement de chiffrement intégral du disque SafeGuard Easy à moins que les stratégies de chiffrement appliquées prennent explicitement en compte la situation.
    • Le chiffrement des périphériques peut échouer pour certaines clés USB
      Un très petit nombre de modèles de clés USB signalent une capacité de stockage incorrecte (généralement plus importante que leur véritable capacité physiquement disponible). Sur ces modèles, un chiffrement initial à base de volumes échouera et les données contenues dans la clé seront perdues. Sophos conseille généralement d'utiliser le chiffrement à base de fichiers (module DX) pour les supports amovibles.
    • Chiffrement des ‘Lecteurs virtuels’
      Les lecteurs virtuels montés sur la station de travail cliente (par exemple, un fichier VHD dans Windows à l'aide du monteur MS Virtual Server) sont considérés comme des lecteurs de disques durs locaux et donc leurs contenus seront chiffrés également si une stratégie de chiffrement est définie pour les ‘autres volumes’.
    • Lors du chiffrement initial de la partition système (c'est-à-dire celle où le fichier hiberfil.sys file est placé), la suspension sur disque peut échouer et doit donc être évitée. Après le chiffrement initial de la partition système, un redémarrage est requis avant que la suspension sur disque ne fonctionne de nouveau correctement.

Généralités

  • (DEF68409) Suite à la mise à jour d'un client SafeGuard Easy, un redémarrage est requis avant de pouvoir appliquer un nouveau package de configuration
    La mise à jour d'un client à une nouvelle version et l'application d'un package de configuration simultanément ne sont pas prises en charge. Après une mise à jour, un redémarrage est obligatoire avant d'appliquer un nouveau package de configuration. Sinon, les changements de configuration souhaités seront ignorés.
  • Le changement rapide d'utilisateur n'est pas pris en charge et doit être désactivé.
  • Les modifications apportées aux packages d'installation MSI du produit Sophos original ne sont pas prises en charge.

Windows Vista

  • Lecteur de disquette
    Après installation de SafeGuard Device Encryption sous Windows Vista, le lecteur de disquette incorporé n'est plus disponible. Cette restriction ne s'applique pas aux lecteurs de disquette externes connectés via le bus USB.

Windows XP

  • Le système d'exploitation Windows XP jusqu'au Service Pack 2 présente un problème sur certaines machines où une reprise après la veille n'affiche pas le bureau verrouillé mais ouvre directement le bureau de l'utilisateur. Le problème s'applique aussi aux machines avec SafeGuard Easy. Ceci doit être corrigé sous Windows XP SP3.
  • Microsoft Windows XP a une restriction technique de sa pile de noyau. Si plusieurs pilotes de filtres du système de fichiers (par exemple, le logiciel antivirus) sont installés, il est possible que la mémoire ne soit pas suffisante. Dans ce cas, vous pouvez obtenir un BSOD. Sophos ne peut pas être tenu responsable de cette restriction Windows et ne peut pas résoudre ce problème.

Compatibilité

  • Compatibilité de SafeGuard LAN Crypt avec SafeGuard Easy 6.0 Data Exchange (DX) et Cloud Storage (CS)
    Pour SafeGuard LAN Crypt 3.70/3.71, un correctif distinct est disponible qui réactive la compatibilité des modules DX et CS. Au cas où SafeGuard LAN Crypt a besoin d'être installé en combinaison avec SafeGuard Easy 6.0 DX et/ou CS, veuillez installer le package de compatibilité distinct après que SG LAN Crypt a été installé. Le correctif est disponible dans la section de téléchargement SafeGuard Easy 6.0 sur mysophos.com.
    Les anciennes versions de SafeGuard LAN Crypt (jusqu'à la version 3.60) ne sont plus compatibles avec les modules de chiffrement des fichiers correspondants de SafeGuard Easy 6.0 (DX et CS). Ces versions sont seulement compatibles avec le module SafeGuard Device Encryption.
  • SafeGuard LAN Crypt a besoin d'être réparé lors de la désinstallation du client Sophos SafeGuard sur la même machine
    La désinstallation de SafeGuard Easy 6.0 sur un PC sur lequel le client SafeGuard LAN Crypt (SGLC) est installé conduit à une erreur de pilote interne lorsque l'utilisateur essaie de charger son jeu de clés SGLC.
    Solution :
    exécutez une installation de réparation sur le package du client SafeGuard LAN Crypt. (DEF69644)
  • SafeGuard RemovableMedia et SafeGuard Easy ne peuvent pas être exécutés sur la même machine
    Le produit SafeGuard RemovableMedia doit être désinstallé avant l'utilisation de tout composant SafeGuard Enterprise sur la même machine. (DEF69092)
  • SafeGuard Easy n'a pas été testé conjointement à un client Novell installé pour Windows. Des restrictions peuvent s'appliquer car il n'y a pas d'intercommunication entre les composants de connexion des deux produits.

Empirum Security Suite Agent

  • Si le logiciel du client SafeGuard Easy 6 est installé et fonctionne conjointement au logiciel Empirum Security Suite Agent, le système peut s'arrêter avec le BSOD suivant :
    BSOD on system startup with stop code 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS
    Ce problème est provoqué par l'un des composants Empirum Software. Une correction pour ce problème sera incluse dans Empirum Security Suite.
    Pour obtenir les derniers détails/mises à jour sur ce problème, veuillez contacter le support technique Matrix42.
  • Lenovo Rescue and Recovery
    Pour plus d'informations sur la compatibilité des versions Rescue and Recovery aux versions de SafeGuard Easy, consultez l'article : http://www.sophos.fr/support/knowledgebase/article/108383.html
  • La compatibilité avec les outils d'imagerie n'a pas été testée et n'est donc pas prise en charge par Sophos.

Clé cryptographique/Carte à puce


  • (DEF66421) La reprise après hibernation sur un client Windows XP peut parfois conduire à un BSOD si un Aladdin eToken 72k (Java) est utilisé pour l'authentification. Par conséquent, l'hibernation sous Windows XP en combinaison avec Aladdin eToken 72k (Java) n'est actuellement pas prise en charge car les données non sauvegardées pourraient être perdues lorsque le BSOD se produit.
  • (DEF66637) La déconnexion d'un lecteur de carte à puce USB n'est pas détectée correctement lors de l'utilisation d'un middleware de carte à puce Gemalto .NET
    Dans ce cas, le bureau n'est pas verrouillé automatiquement. Ceci ne s'applique pas au retrait de la carte à puce du lecteur, opération qui fonctionne comme prévu.
  • (DEF67495) Lors de l'utilisation du middleware Gemalto Classic, le mode de connexion non-cryptographique ne fonctionne pas dans la POA
  • (DEF67397, DEF67386 ) Les jetons TCOS ne sont pas pris en charge sous Windows Vista
  • Les notifications ActivIdentity entraînent le plantage de Winlogon.exe
    Sur certains systèmes Windows XP, Winlogon.exe peut planter si les notifications dans ActivClient sont activées.
    Solution :
    désactivez les notifications ActivClient dans l'option “Advanced Configuration Manager” d'ActivIdentity sous “Notifications Management”

Produits antivirus testés avec SafeGuard Device Encryption

Le chiffrement basé sur volume SGE a été testé avec succès par Sophos sur des installations de produits antivirus concurrents ainsi que les suivants :

 

Fabricant

Produit

Version

F-Secure Client Security 9.10 B249
Kaspersky Business Space Security - AntiVirus
6.0.4,1424
Symantec Endpoint Protection 12,1
Trend Micro Enterprise Security for Endpoints - Office Scan
10,5
McAfee McAfee VirusScan Enterprise + AntiSpyware Enterprise 8,8

Retour à la page des notes de publication de Sophos SafeGuard

 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires