Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
Modifications mineures de la mise en forme ; aucune modification du contenu.
Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.
Cette liste présente les questions et réponses fréquentes, et est destinée aux utilisateurs qui sont nouveaux dans le produit.
REMARQUES :
Pour consulter la Foire aux questions relative à Endpoint Assistant (EA), reportez-vous à la section KB85917-FAQ pour Endpoint Assistant 2.x. EA est le compagnon application pour iOS et Android qui a été développé pour fonctionner avec DE. Les coûts de Help Desk de sont généralement liés à la gestion de la réinitialisation du mot de passe de l’utilisateur. EA peut complètement décharger la réinitialisation du mot de passe Pre-Boot pour les Help Desk les coûts des utilisateurs. Vous pouvez permettre aux utilisateurs de réinitialiser en toute sécurité les mots de passe Pre-boot, même s’ils n’ont pas accès à un téléphone pour appeler la Help Desk.
Contenus Cliquez pour développer la section à afficher :
Qu’est-ce qu’un utilisateur OptIn et OptOut ?
Il se peut que des références à des utilisateurs OptIn et OptOut soient affichées dans les journaux. Par exemple, la mise en œuvre de stratégie a échoué : utilisateur OptIn affecté.
Les utilisateurs de optin ont leur mise en œuvre de stratégie basée sur l’utilisateur (UBP) définie sur la valeur true dans ePO, ce qui signifie qu’un UBP spécifique s’applique.
Les utilisateurs OptOut ont leur mise en œuvre de UBP définie sur false, ce qui signifie que les UBP affectés à l’ordinateur s’appliquent.
Pourquoi ai-je besoin DE ?
L’objectif clé de de est de protéger uniquement les données confidentielles sur le disque lorsqu’elles sont stockées. Ce type de protection peut également être soumis à des lois sur la protection des identités.
Quelles sont les protections dont j’ai besoin lorsque l’authentification Pre-boot est désactivée lors de l’activation de la fonctionnalité démarrage automatique temporaire ?
L’objectif principal de est de protéger le disque sur le reste lorsque le disque est déverrouillé. Mais, DE ne fournit aucune protection DE l’accès aux données. Ainsi, si vous souhaitez qu’un système soit sécurisé, n’utilisez pas la fonctionnalité de démarrage automatique. La fonctionnalité de démarrage automatique supprime efficacement l’authentification Pre-boot, ce qui supprime complètement la sécurité du produit. La fonctionnalité de démarrage automatique est fournie uniquement comme un moyen temporaire. Pour plus d’informations sur la fonctionnalité démarrage automatique, consultez la section démarrageautomatique. Pour plus d’informations sur le démarrage automatique plus sécurisé du module de plate-forme sécurisée (TPM).
Compatibilité de 7.2.0 et ultérieure :
Prend-il en charge la mise à jour Windows 10 anniversaire de la nouvelle ligne de commande ou ReflectDrivers pour la mise à niveau sur place ? Oui. Microsoft a inclus une nouvelle fonctionnalité dans la Anniversary Update Windows 10 qui permet d’effectuer une mise à niveau sur place du système d’exploitation via ISO et SCCM à l’aide d’une /Reflectdrivers option.
Ce commutateur de commande spécifie le chemin d’accès à un dossier contenant les pilotes de chiffrement d’un ordinateur sur lequel le chiffrement tiers est activé. Les pilotes PnP sont installés et la mise à niveau peut se poursuivre.
Remarque : Cette /Reflectdrivers option est également prise en charge avec de 7.1.3 Hotfix 1148978 ou version ultérieure. Toutefois, le processus est simplifié par DE 7.2.0 plus en plus, suite aux modifications introduites dans le programme d’installation du produit.
Compatibilité pour les versions de 7.1.0 et ultérieures :
Avez-vous pris en charge l’outil MBR2GPT.EXE de conversion Unified Extensible Firmware Interface (UEFI) sur place avec Windows 10 Creators Update et versions ultérieures ? Oui. Un outil MdeMbr2GptTool.exe de la table de partition de Master Boot Record (MBR) GUID (GPT) a été développé, qui fonctionne sur Microsoft Windows 10 (version 1703) Creators Update et versions ultérieures (64 bits uniquement). L’outil fonctionne avec l’outil Microsoft ( MBR2GPT.EXE ). L’outil convertit un disque chiffré du logiciel de MBR à la partition GPT. Il n’est pas nécessaire de déchiffrer le disque.Pour obtenir l’outil DE et les instructions, reportez-vous à la section KB89024-comment convertir un disque chiffré de MBR en GPT à l’aide des outils Microsoft MBR2GPT .EXE et Drive Encryption MdeMbr2GptTool .exe.
Quelle version de DE prend en charge Windows 10 (version 1507) ? DE 7.1 mise à jour 3 ( 7.1.3 ) est la première version à prendre en charge Windows 10, mais est disponible avant la distribution de Windows 10 général. Ainsi, il peut y avoir des avertissements qui s’appliquent au déploiement et à l’utilisation des 7.1.3 systèmes de Windows 10.
Reportez-vous aux articles suivants pour obtenir des informations spécifiques sur la mise à niveau Windows 10 lors DE l’installation DE :
Version Windows
Article
Actualisation du système d’exploitation (système d’exploitation) à partir de Windows 8
L’option Windows 10 "revenir au précédent Build" est pris en charge avec de installé et actif.
Windows 10 une branche DE maintenance à long terme (LTSB) ou un canal DE maintenance long terme (LTSC) est pris en charge avec DE 7.2.2 et ultérieurs.
REMARQUES :
Dans Windows 10 version 1809, LTSB est remplacé par LTSC. Pour plus d’informations, reportez-vous à la documentation Microsoft.
LTSC et LTSB sont Microsoft terminologie pour un build de maintenance. Ces versions ne reçoivent pas les mises à jour des fonctionnalités et se limitent aux mises à jour de sécurité en général.
Est-ce qu’un système d’exploitation Windows avec installé sur Mac matériel pris en charge ? Non. DE n’a pas été testé sur un matériel Mac et n’est donc pas pris en charge.
Puis-je exécuter la tâche de mise à niveau de Microsoft pour mettre à niveau un système Windows 8.0 vers Windows 8.1 ? Non. Microsoft utilise une fonctionnalité qui définit une nouvelle image WIM. Il s’agit essentiellement d’un processus d’actualisation du système d’exploitation, et non d’une mise à niveau ou d’une mise à niveau Service Pack classique. DE même, a un processus d’actualisation de système d’exploitation documenté qui vous permet d’effectuer une mise à niveau d’Windows 8.0 vers Windows 8.1. le processus vous permet de faire en sorte que les données existantes soient chiffrées tout au long de l’ensemble du processus. Pour obtenir de l’aide sur cette procédure, reportez-vous aux guides de processus suivants :
Puis-je utiliser la réparation automatique Windows 8 ou ultérieure (activée par défaut) ? Non. Il est conseillé de désactiver cette fonctionnalité. La réparation automatique d’un disque chiffré peut détruire par inadvertance les fichiers chiffrés du système d’exploitation et provoquer des problèmes de démarrage permanent. Les versions précédentes de Windows vous demandent si vous souhaitez réparer votre système avant de lancer la réparation. Toutefois, Windows 8 lance une réparation automatique dès qu’un problème est détecté, laissant une portée réduite pour empêcher la destruction des données chiffrées. Pour plus d’informations sur la désactivation de Windows 8 la réparation automatique, consultez l’article KB76649-How to disable Windows Repair automatique via une script de connexion pour les systèmes sur lesquels Drive Encryption est installé.
Pourquoi dois-je utiliser le processus d’actualisation du système d’exploitation lorsque je ne l’utilise pas sur les 7.1 systèmes Windows BitLocker ?
Microsoft implémente un mécanisme qui expose la clé de chiffrement BitLocker au cours de la mise à niveau, ce qui permet au processus de superposition WIM de s’exécuter. Cette approche n’est pas adoptée, car elle laisse le système vulnérable aux attaques au cours du processus de mise à niveau de Windows.
Microsoft a discuté d’une nouvelle fonctionnalité appelée Echéanciers. Qu'est-ce que c'est?
Microsoft DE peut être considéré comme une version réduite et non managée de BitLocker.
Autres éléments DE la catégorie Généralités :
Le Microsoft DE est automatiquement activé. Elle est activée uniquement lorsque le matériel correspond ou dépasse la configuration matérielle minimale requise.
Voici ce qui se produit si vous déployez sur un système sur lequel’Microsoft Device Encryption’est automatiquement activé :
Les vérifications de pré-activation déterminent que BitLocker est actif. N’oubliez pas que Microsoft DE est simplement une version non managée de BitLocker.
L’activation échoue car le disque est déjà chiffré avec Microsoft DE.
Cet État est renvoyé à ePO.
Les conditions ci-dessus s’appliquent si les deux conditions suivantes sont appliquées :
L’option 'the system meets the minimum hardware requirements' est automatiquement activée.
Le disque dur est chiffré.
Important : Les informations suivantes s’appliquent si vous avez un nouveau système qui répond aux exigences matérielles Microsoft DE minimum, mais que vous avez Windows 7 et DE 7.1 installé, puis que vous décidez de procéder à la mise à niveau vers Windows 8.1 :
Si vous ne vous êtes pas connecté avec un compte MSDN, le système ne tente pas d’activer Microsoft DE.
Si vous vous êtes connecté avec un compte MSDN, il rompt le système d’exploitation.
Est-ce que la prise en charge de lecteurs compressés Windows ?
Non, Windows les lecteurs compressés ne sont pas pris en charge, car aucun test de compatibilité n’est entrepris.
Est-il prévu de prendre en charge JAWS pour Windows écran des logiciels de lecture d’écran pour le client Pre-boot afin d’aider les utilisateurs disposant d’une mauvaise vue ? Non. JAWS est un produit logiciel Windows uniquement. Il ne fonctionne pas au niveau du point d’authentification Pre-boot, car Windows n’est pas encore chargé.
Est-il possible DE se conformer à la nouvelle technologie de protection avancée contre les menaces Dell Cylance, qui peut générer des rapports en cas de détection d’une attaque de démarrage ? Non. DE n’est pas testé avec Dell Cylance Advanced Threat Protection.
Est-il possible DE prendre en charge la technologie Intel Anti-Theft, qui peut verrouiller l’ordinateur en fonction du matériel ? Non. Intel a interrompu le service Intel Antivol.
La prise en charge DE 7.1 la technologie Intel Smart Response Technology (SRT) est-elle prise en charge ? Oui. Les données sont toujours sûres, y compris les données mises en cache. Intel SRT est un composant intelligent cache qui met uniquement en cache les données fréquemment consultées. Cette cache se trouve au niveau du secteur et est chiffrée par le pilote DE FILTRE DE.
DE prise en charge d’Intel Rapid Start (IRS) ? Non. L’administration fiscale requiert un espace de partition supplémentaire sur le disque dur (SSD) ou sur le Solid State Drive disque dur (HDD), appelé partition de mise en veille prolongée. Cette partition doit être supérieure ou égale à la quantité de mémoire système. Cette partition ne possède pas de lettre de lecteur.
L’IRS fournit un état S3 à faible consommation d’énergie. Ici, au lieu de stocker l’État sur la DRAM en S3, le contenu de la mémoire est vidé sur la partition dédiée du disque SSD. Etant donné que le BIOS est responsable du vidage vers et depuis le disque SSD, DE ne peut pas intercepter et chiffrer le contenu. Ainsi, toutes les données sensibles de DRAM sont écrites sur le disque en texte brut. Ce problème affecte uniquement l’état S3, et non S4.
Remarque : La technologie de l’administration fiscale permet à votre système de reprendre plus rapidement son mode veille. ce fait économise la consommation de temps et d’énergie.
Le client est-il 7.1.x compatible avec Microsoft BitLocker ? Non. Il n’est pas compatible avec BitLocker ou tout autre logiciel de chiffrement de disque complet ou de chiffrement de niveau de secteur s’exécutant sur le même système. DE détecte Windows BitLocker au cours du processus DE désactivation et arrête l’activation de si BitLocker est actif.
Active Directory (AD) est-il nécessaire pour une installation DE 7.1 ? Non. Vous pouvez installer les packages d’installation (MSI) sans accès à AD en raison de la nouvelle fonctionnalité d' Annuaire d’utilisateurs incluse dans 7.1. la section "" section pour plus de détails.
Autres informations générales AD :
AD est nécessaire à la gestion DE 7.1 clients via ePO.
Bien que AD soit requis pour une 7.1 activation, une fonctionnalité de 7.1.0 nouvelle permet l’activation hors ligne de pour activer l’option de de sans connexion à ePO. Lorsque le système parvient à communiquer avec ePO, le client passe en mode en ligne. Seuls les systèmes non managés par ePO peuvent rester chiffrés sans qu’il soit nécessaire de se connecter à AD.
Les utilisateurs affectés ne sont pas supprimés de la base de données ePO si le nom de l’objet, tel qu’un groupe ou un utilisateur, est modifié dans AD. La modification du nom de l’objet est détectée lors de la prochaine exécution de la tâche’synchronisation : synchroniser pour les utilisateurs à partir de LDAP’et mise à jour dans ePO. Lors de la Agent vers la communication serveur (ASCI) ci-dessous, toute modification du nom de l’objet utilisateur est synchronisée avec le client.
Qu’arrive-t-il à mes postes clients si le serveur ePO tombe en panne ?
Si le produit est déjà installé et actif, les clients continuent de fonctionner avec la copie mise en cache de la stratégie. Aucune mise à jour de stratégie ou affectation d’utilisateur supplémentaire n’est effectuée tant que le client ne peut pas communiquer avec le serveur ePO. Si le produit n’est pas encore installé, il ne peut pas être activé tant que la communication avec le serveur ePO n’est pas rétablie.
Est-il possible d’utiliser un CD Windows amorçable sur un système chiffré ?
Un CD amorçable fonctionne sur un système chiffré à moins que vous ne souhaitiez accéder au disque dur. L’un des avantages du chiffrement de disque complet est qu’il empêche un disque amorçable d’être utilisé pour accéder au disque dur sans s’authentifier.
Si Windows ne fonctionne pas correctement et que vous devez le réparer à l’aide du disque d’installation de Windows. Vous devez d’abord déchiffrer le lecteur avant d’utiliser les outils de réparation Windows.
Pour accéder au lecteur chiffré et à la récupération de la détechnique WinPE, vous devez créer des médias. Pour plus d’informations sur la création du support, reportez-vous au dernier guide de detech.
Pour les documents relatifs aux produits, accédez au portail de la documentation produit.
Remarque : Les informations ci-dessous s’appliquent également à l’article cité ci-dessus.
Versions minimales d’ePO prises en charge par DE 7.x.
La McAfee Agent minimale (MA) est prise en charge par DE 7.x.
Quelles versions de EEPC pouvez-vous mettre à niveau vers 7.1.x ?
Les mises à niveau suivantes sont possibles :
EEPC 7.x -(fin de vie (EOL))
Les systèmes installés avec EEPC 7.0.x peuvent être mis à niveau vers de 7.1. , mais vous devez d’abord mettre à niveau le EEPC extension vers EEPC 7.0 mise à jour 2 ( 7.0.2 ) ou de la mise à jour 3 ( 7.0.3 ).
EEPC 6.x -(fin de vie)
Si vous utilisez EEPC 6.1.2 ou une version ultérieure, vous devez d’abord mettre à niveau toutes les extensions vers EEPC 7.0 mise à jour 2 ou la mise à jour 3. Les systèmes clients exécutant EEPC 6.1.2 ou une version ultérieure peuvent être mis à niveau directement vers les installations de 7.1. ePO avec EEPC 7.0 mise à jour 2 ou 3 extensions archivées peuvent être mises à niveau directement vers de 7.1.
EEPC 5.x -(fin de vie)
Systèmes installés avec EEPC 5.2.6 , 5.2.12 et 5.2.13 pouvant migrer directement vers de 7.1.
Quelles étapes dois-je suivre si je souhaite effectuer une mise à niveau vers la dernière version de DE 7.2.x , mais qu’une version antérieure 7.1.x est déjà installée ? Si une version antérieure est installée, par exemple DE 7.1.0 , mais que vous souhaitez effectuer une mise à niveau vers une version ultérieure 7.1.x , procédez comme suit :
Assurez-vous qu'aucune tâche de synchronisation LDAP n'est en cours d'exécution. Si c'est le cas, patientez jusqu'à ce qu'elles soient terminées.
Désactivez toutes les tâches de synchronisation LDAP avant de lancer la mise à niveau.
Installez les extensions DE 7.1.3 .
Archivez les packages logiciels DE 7.1.3 agent et PC.
Réactivez toutes les tâches de synchronisation LDAP.
Déployez les packages DE 7.1.3 logiciels sur le système client.
Redémarrez le système client une fois la tâche de déploiement terminée.
Je configure un nouveau serveur ePO et je souhaite le déplacer de clients. Cette action est-elle prise en charge ? Oui. Ce scénario est pris en charge dans de et dans 7.1.3 les versions ultérieures.
REMARQUES :
Avec les versions antérieures de, le transfert d’un système d’un serveur ePO à un autre remplace les affectations utilisateur. Les données de jeton utilisateur sur le système sont également remplacées par les données du serveur de destination. Il est possible de perdre des affectations d’utilisateur et de modifier les informations d’identification des utilisateurs dans l’environnement Pre-Boot.
DE 7.1.3 présente une fonctionnalité de transfert de client. La fonctionnalité permet à l’administrateur ePO de disposer d’un mécanisme permettant le transfert des systèmes d’un serveur ePO à un autre. Le transfert se produit tout en préservant les affectations d’utilisateur et les données utilisateur. Si la fonctionnalité est activée, un DE 7.1.3 ces systèmes détecte une modification du serveur. Il demande que le nouveau serveur DE 7.1.3 gestion affecte automatiquement les utilisateurs au système dans le contexte du nouveau serveur de gestion. Une fois l’affectation réussie, le système envoie ses données de jeton utilisateur jusqu’au nouveau serveur de gestion. Tous les systèmes sur lesquels le processus de transfert de système a échoué sont mis en surbrillance sur le serveur de destination par le biais d’un rapport out-of-Box intuitif.
Un Guide de transfert de 7.1.3 système client distinct est inclus dans la version qui décrit ce processus de transfert de système en détail.
Que dois-je faire si j’installe sur un système Windows 8.x à l’aide de l’UEFI natif ? Recommandations si vous envisagez d’installer 7.x de sur un système Windows 8.x , à l’aide d’un UEFI natif : il est conseillé d’utiliser uniquement le mode UEFI natif si le système est explicitement Windows 8 certifié. Nous vous recommandons également de mettre à niveau vos systèmes UEFI vers le dernier niveau de microprogramme UEFI. Ensuite, testez sur un système compatible UEFI natif spécifique avant un déploiement à grande échelle.
Remarque : Pour d’autres questions et réponses UEFI, reportez-vous à la section "fonctionnalité" ci-dessous. Dois-je déchiffrer et chiffrer à nouveau les clients lors de la mise à niveau vers 7.1 ? Non. La procédure de mise à niveau est conçue pour transférer la clé de l’ancien agent vers le nouveau agent.
Au cours du processus d’installation, quelles méthodes sont disponibles pour éviter tous les utilisateurs utilisant le même mot de passe par défaut ?
Il existe deux méthodes :
Par le biais de la stratégie DE, vous pouvez renoncer à utiliser le mot de passe par défaut. Au lieu de cela, forcez les utilisateurs à saisir le mot de passe qu’ils choisissent.
Utilisez un règle d’affectation de stratégie avec un autre UBP, dans lequel vous définissez un mot de passe par défaut différent pour les utilisateurs qui ont affecté le UBP.
Puis-je procéder à l’installation de sur un système et prendre une image brute (secteur par secteur) à utiliser sur les nouveaux ordinateurs ? Non. Ce scénario n’est pas pris en charge. Cela entraînerait un problème de sécurité, car chaque système aurait la même clé de sécurité.
Est-il possible de modifier la taille du clavier visuel de la tablette affichée pendant le Pre-boot si je pense que la taille par défaut est trop faible ? Non. Pour soumettre une demande d’amélioration de produit afin d’inclure cette fonctionnalité, reportez-vous à la section "des informations connexes".
Ai-je besoin d’ajouter des exclusions antivirus VirusScan pour DE ? Non. Les exclusions antivirus ne sont plus nécessaires.
FAQ sur les fonctionnalités applicables à DE 7.2.0 et ultérieures
7.2.x Comment utiliser Intel Software Guard extension (SGX) ? Intel SGX est une architecture Intel extension, introduite avec des plates-formes de processeur Intel Core de sixième génération, conçue pour renforcer la sécurité des logiciels par le biais d’un mécanisme sandbox inverse . Dans cette approche, les logiciels légitimes peuvent être scellés à l’intérieur d’une enclave et protégés contre ces menaces, quel que soit le niveau de privilège de la menace. L’alternative consiste à tenter d’identifier et d’isoler toutes les menaces potentielles ou les surfaces d’attaque sur la plate-forme.
L’utilisation d’Intel SGX avec permet d’améliorer la protection contre les attaques basées sur la mémoire (telles que l’attaque par démarrage à froid) sans affecter les performances des systèmes qui prennent en charge SGX et avec une stratégie appropriée appliquée.
FAQ sur les fonctionnalités applicables à DE 7.1 et ultérieures
Est-il possible de repartitionner un disque chiffré avec de ? Non. Il n’est pas possible de modifier le partitionnement d’un disque déjà chiffré. Vous devez déchiffrer entièrement le disque et désinstaller avant de procéder au repartitionnement du disque.
Quelle est la longueur de clé utilisée par l’algorithme de chiffrement AES256 ?
La longueur de clé utilisée est de 256 bits.
RAID est-il pris en charge ?
Il existe deux types de technologies RAID à prendre en compte : ordinateurs dotés d’un système RAID matériel ou logiciel.
DE n’a pas été testé avec le matériel RAID. Cependant, nous pensons que le fonctionnement de l’environnement RAID pur est mis en œuvre dans les environnements où le matériel RAID pur est mis en œuvre. Cette prévision concerne les systèmes dotés de cartes RAID internes ou de systèmes RAID externes dotés d’un contrôleur intégré.
Remarque : Or detech ne peut pas prendre en charge les diagnostics ou la reprise sur sinistre pour une configuration RAID rompue lorsque le matériel RAID est en cours d’utilisation.
DE ou detech ne prend pas en charge le logiciel RAID basé sur le logiciel. Les disques dynamiques Windows sont une forme de logiciel RAID.
Ordinateurs lorsque le mode SATA BIOS est configuré pour utiliser RAID ou RAID sur :
En général, les modes DE fonctionnement de ou détechnologiques sont en mode RAID, à condition que le mode SATA BIOS de cet ordinateur puisse voir le disque.
REMARQUES :
En mode BIOS hérité ou MBR, DE s’appuie sur les appels INT13 pour accéder au disque dur (HDD) de l’ordinateur.
En mode UEFI, DE s’appuie sur le protocole d’entrée ou de sortie du système. par conséquent, DE est agnostique au mode SATA du BIOS.
L’unique inconvénient de cette instruction est si le disque est un disque dur (SED) OPAL ou self-Encryption Drive (SED). DE doit être défini sur le mode d’interface de contrôleur d’hôte avancé (AHCI). La raison en est qu’elle a son propre pilote de contrôleur et ne dépend pas du BIOS pour l’accès au disque dur.
Remarques : Cette restriction concerne uniquement le chiffrement matériel d’un lecteur OPAL ou SED, et non le cas où le disque dur OPAL est configuré pour le chiffrement de logiciels.
Est-il possible de chiffrer un équipement de stockage de média amovible connecté via un port USB ? Non. DE détecter et de chiffrer le lecteur uniquement s’il est détecté via un port SATA.
Qu’est-ce que le répertoire DE l’utilisateur ?
L’annuaire des utilisateurs étend votre serveur ePO managé sur des systèmes contenant des utilisateurs non managés et n’appartenant pas au domaine. En plus des utilisateurs managés dans AD, DE peuvent désormais également utiliser ces utilisateurs managés par ePO pour l’authentification Pre-Boot.
Les données utilisateur sont désormais synchronisées à partir de AD et mises en cache localement dans ePO. Ce fait élimine la nécessité d’aller-retour constantes d’ePO à AD. Cela permet d’améliorer considérablement les performances des vérifications de stratégie basées sur l’utilisateur.
Autres faits généraux relatifs aux annuaires d’utilisateurs :
Le répertoire utilisateur supprime la dépendance à AD.
Un administrateur doit installer l'extension de l’annuaire des utilisateurs. Vous pouvez effectuer cette installation avant ou après la mise à niveau vers DE 7.1.x , à condition que les conditions requises pour ePO soient remplies, à savoir ePO 5.1.x.
Il n’existe pas de différences conceptuelles entre les utilisateurs autonomes dans EEPC 5.x et les utilisateurs dans l’annuaire d’utilisateurs.
Migrez les utilisateurs autonomes EEPC 5.x vers le répertoire utilisateur.
Vous pouvez créer des unités organisationnelles (UO) dans le répertoire utilisateur.
Les utilisateurs peuvent être ajoutés à une unité organisationnelle et en être supprimés.
Les utilisateurs peuvent être déplacés d’une unité organisationnelle à une autre.
Les unités organisationnelles peuvent être imbriquées.
Un utilisateur ne peut pas appartenir à plus d’une unité organisationnelle.
Lors de la sélection d’une unité organisationnelle, vous pouvez voir tous les utilisateurs qui composent cette unité organisationnelle (y compris les unités organisationnelles imbriquées).
Remarques : Vous pouvez afficher tous les utilisateurs des sous-unités organisationnelles, mais pas toutes les unités organisationnelles imbriquées. A partir du nom distinctif, vous pouvez voir la sous-unité d’organisation de chaque utilisateur à partir de laquelle il provient.
Si ce qui concerne l’exécution de scripts, est-ce que le WebAPI EPO est modifié pour User: Machine assignments ? Non.
Qu’est -ce que le démarrage automatique du module Trusted Platform Module (TPM) ? TPM AutoBoot est une nouvelle offre dans 7.1. , qui renforce les fonctions de démarrage automatique classiques en utilisant un TPM, si le matériel est présent, pour protéger la clé.
Le TPM fournit un mécanisme de scellement, dans lequel les données chiffrées peuvent uniquement être déchiffrées si le système est dans un État prédéfini. Au cours du démarrage du système, le TPM mesure le microprogramme et tous les composants de démarrage. La mesure consiste à étendre un hachage stocké dans un registre TPM, avec le code sur le point d’être exécuté. Le microprogramme prend des mesures, qui ne peuvent pas être contournées. Le TPM autorise uniquement le déchiffrement de la clé. Si le système est dans le même État que lorsqu’il était sealed, toute modification, quelle que soit sa taille, provoque l’échec de l’opération.
Autres faits généraux du TPM :
Le démarrage automatique TPM est différent du démarrage automatique traditionnel, car le démarrage automatique traditionnel ne fournit aucune sécurité pour le système. La clé utilisée pour chiffrer le disque est écrite en texte brut sur le disque. Le démarrage automatique TPM sécurise la clé en la chiffrant avec le TPM. Il n’est plus en texte brut.
TPM aide à sécuriser la clé, car le TPM peut déchiffrer la clé uniquement si l’état du système n’a pas changé. La clé n’est pas déchiffrée si l’une des options ci-dessous est vraie :
Le TPM croit que l’état du système a été modifié.
Une nouvelle puce TPM est présente (nouvelle carte mère).
S’il ne peut pas déchiffrer la clé, la fonction de démarrage automatique échoue et l’authentification Pre-boot s’affiche.
Lorsque le démarrage automatique TPM est activé, le système continue de démarrer automatiquement, mais uniquement si le TPM croit que tout est dans l’ordre. Dans ce cas, l’utilisateur ne voit pas l’environnement de pré-amorçage et il se lance simplement dans Windows.
Le démarrage automatique TPM peut être utilisé avec le démarrage automatique réactif.
Le démarrage automatique TPM et le démarrage automatique réactif peuvent être utilisés avec la nouvelle mise en veille connectée. Tous deux assurent le support et le renforcement des systèmes contre les attaques de démarrage à froid.
Si la carte mère est modifiée ou si les mesures de démarrage TPM changent, l’utilisateur voit l’écran d’authentification Pre-Boot. Si un utilisateur a rencontré cette situation, il doit effectuer une récupération de type stimulation/réponse pour accéder à Windows.
Si des informations d’identification utilisateur de pré-amorçage valides sont connues, l’utilisateur peut simplement s’authentifier et démarrer dans Windows. Toutefois, comme l’utilisateur a été dans ce mode de démarrage automatique, ses chances de connaître les informations d’identification d’un utilisateur valides sont faibles.
TPM effectue plus que le chiffrement de la clé. Il mesure également le chemin d’accès de démarrage. Chaque fois que le système démarre, nous hacheons certaines données relatives au chemin d’accès de démarrage dans le TPM. Par conséquent, le TPM ne déchiffre la clé que si le chemin d’accès de démarrage n’a pas été modifié.
Cela signifie que lorsque le démarrage automatique TPM déverrouille le disque, il n’est pas possible de démarrer à partir d’un autre chemin d’amorçage. Si une autre option de démarrage est sélectionnée au démarrage, la fonction de démarrage automatique échoue et l’environnement Pre-boot s’affiche.
Autres faits de rôle d’administrateur TPM :
Les paramètres de stratégie pour le démarrage automatique TPM se trouvent sous le titre "TPM utilisateur pour le démarrage automatique" et disposent des trois options suivantes :
Never -La clé de disque est écrite en texte brut sur le disque. Cette option correspond à la fonctionnalité démarrage automatique d’origine.
If Available -Si le système dispose d’un TPM utilisable, le TPM est utilisé pour chiffrer la clé. Si aucun TPM n’est disponible, ou s’il est inutilisable, la clé du TPM présent sur le système est écrite en texte brut sur le disque. Cette action est conforme à la fonctionnalité démarrage automatique d’origine.
Required -AutoBoot fonctionne uniquement si le système dispose d’un TPM utilisable. L’environnement DE pré-amorçage est affiché sur les systèmes qui n’ont pas de TPM.
Important : Si Microsoft met à jour le chargeur de démarrage Windows lors d’une mise à jour de Windows, les mesures de démarrage ont été modifiées. Par conséquent, TPM ne peut pas déchiffrer la clé et vous devez passer par un processus de récupération. Le processus de récupération nécessite un appel Help Desk pour que le système démarre à nouveau.
Remarque : Le Pre-boot figure également dans le chemin d’accès de démarrage. Ainsi, lorsqu’un administrateur déploie une nouvelle version de, de HotFix, DE mise à jour ou de nouvelle version, il met à jour les deux éléments suivants :
Dédémarrage DE l’application EFI
Mesures de démarrage
A l’instar du scénario de mise à jour Windows, les utilisateurs doivent effectuer un appel Help Desk pour accéder à leur système après avoir diffusé une mise à jour.
La configuration minimale requise pour le démarrage automatique TPM est la suivante :
DE 7.1.x/7.2.x prend uniquement en charge le démarrage automatique TPM sur les systèmes TPM 2.0 (tous les systèmes de secours connectés prennent en charge TPM 2.0 ).
Remarque : Les systèmes plus anciens avec TPM 1.2 ne prennent pas en charge cette fonctionnalité.
DE 7.1 mise à jour 1 ( 7.1.1 ) et ultérieures ajouter la prise en charge des puces TPM 1.2 (systèmes UEFI uniquement).
La clé propriétaire TPM doit être gérée localement et non dans le AD.
Le système doit inclure le protocole UEFI TPM dans l’implémentation UEFI de l’OEM (configuration requise pour les systèmes en veille connectée).
Autres informations sur l’expérience utilisateur TPM :
Lorsque TPM ne peut pas déchiffrer la clé, il affiche l’environnement Pre-Boot et demande à l’utilisateur de s’authentifier. Si TPM est en doute, il ne démarre pas automatiquement le système et affiche plutôt l’environnement Pre-Boot et attend l’authentification.
Est-il désormais possible de gérer un plus grand nombre d' utilisateurs dans l’environnement Pre-boot ?
L’environnement Pre-boot est désormais amélioré pour prendre en charge plus de 5 000 utilisateurs sans dégradation perceptible des performances lors de l’authentification Pre-Boot. La limite précédente était un maximum de 250 utilisateurs lors du Pre-Boot. Vous pouvez désormais configurer en toute sécurité tous les utilisateurs pour qu’ils partagent des postes de travail, qui permettent à n’importe quel utilisateur d’utiliser n’importe quel système.
Quelle est la recommandation pour le nombre d’utilisateurs affectés à l’authentification Pre-Boot ?
La recommandation générale reste inchangée. Affectez uniquement le nombre minimum d’utilisateurs pour l’authentification Pre-Boot.
Autres faits généraux relatifs à l’authentification Pre-boot :
DE 7.1 plus, vous pouvez augmenter le nombre d’utilisateurs pris en charge par le Pre-boot, même s’il est conseillé de réduire le nombre d’utilisateurs affectés par nœud. Les nombres ont été augmentés pour les milliers, au lieu de centaines.
Premièrement, la meilleure pratique de sécurité vise à limiter le nombre d’utilisateurs qui peuvent accéder à un système au plus petit groupe d’utilisateurs.
Deuxièmement, l’affectation d’un grand nombre d’utilisateurs à chaque nœud peut avoir une incidence sur l’évolutivité globale de l’ensemble du système. Cela permet de réduire le nombre maximal de nœuds qu’il est possible de prendre en charge.
Les pénalités suivantes s’appliquent si vous autorisez 5 000 utilisateurs à se connecter au Pre-boot sur un ordinateur :
L’activation prend plus de temps, car elle doit télécharger toutes les informations relatives aux utilisateurs 5 000.
La synchronisation des informations utilisateur prend plus de temps, augmentant ainsi la charge de travail sur le serveur ePO.
Les autres actions qui incluent des informations utilisateur sont plus longues à traiter. Un exemple de ces actions est l’enregistrement des informations système relatives à un client, car il inclut également des informations sur l’utilisateur.
L’évolutivité d’un serveur ePO peut être affectée. Votre serveur ePO effectue plus de tâches par intervalle de communication agent-serveur pour s’assurer que toutes les informations sont à jour.
Exemple :
Supposons que vous disposez de 100 systèmes auxquels chacun des utilisateurs a 5 000 des utilisateurs affectés. Prenez l’occurrence la plus courante, un mot de passe modifié. Pour un utilisateur, celui-ci serait capturé sur un système, chargé dans ePO, puis transféré vers les autres systèmes 99 lorsqu’ils sont synchronisés avec ePO.
Si vous forcez les utilisateurs à modifier leur mot de passe tous les 90 jours, 5 000 les utilisateurs doivent mettre à jour leur mot de passe. Il en résulte des mises à jour 500 000 (5 000 utilisateurs x 100 systèmes) que le serveur ePO doit traiter à plusieurs reprises à mesure que les systèmes se synchronisent avec ePO.
Un grand nombre d’utilisateurs entraîne une augmentation du trafic réseau. Tout ce trafic est traité sur le réseau. Bien que les données utilisateur individuelles soient de petite taille, en général < 20 Ko, elles sont multipliées par le nombre de transactions. Si un système dispose d’une liaison lente, la réception de toutes les modifications peut prendre beaucoup de temps. Si le serveur gère les mises à jour utilisateur pour un grand nombre de clients, le trafic réseau peut également être important. Dans le pire des cas, il se peut qu’il ne reçoive pas toutes les mises à jour pendant une période de synchronisation.
Qu’est-ce que AOAC ?
AOAC signifie toujours activé, toujours connecté. Microsoft appelle la fonctionnalité « veille connectée » et Intel l’appelle Smart Connect. Elles font toutes référence à la même fonction de haut niveau.
Il s’agit de la possibilité de conserver un système en mode veille à faible consommation et de le mettre en éveil périodiquement pour récupérer des données, par exemple pour les e-mails ou les mises à jour Facebook, puis revenir en mode veille. Cette activité se produit sans que l’utilisateur ne soit en connaissance ou en intervenant. Imaginez qu’il s’agit du même mode de fonctionnement de votre téléphone mobile.
Autres faits généraux AOAC :
DE 7.1.x prend en charge un modèle AOAC. La prise en charge est assurée via la veille connectée. Bien qu’il soit en mode de veille, la connexion Windows est utilisée pour protéger les données contre les accès non autorisés.
AOAC change le chiffrement complet des disques. Le chiffrement complet des disques s’est historique sur la protection des données stockées passivement (lorsque le système est éteint). Plusieurs entreprises introduisent la fonction AOAC.
Avec le modèle AOAC, le système et les services doivent accéder au disque. Cela signifie que la clé de chiffrement du disque est toujours conservée en mémoire. Cependant, les systèmes qui prennent en charge AOAC sont plus vulnérables aux attaques de type démarrage à froid, car la clé est toujours en mémoire. N’oubliez pas que le système ne s’éteint pas ; Il est uniquement en mode veille.
Tous les AOAC et la veille connectée fonctionnent toujours lorsque cette fonction est activée.
Lorsque le système est en mode veille, les données ne sont jamais conservées avec le modèle AOAC. Les systèmes ne sont pas désactivés. ils sont uniquement en mode veille. Le modèle AOAC nécessite que les disques ne soient pas déverrouillés en raison des éléments suivants :
Les systèmes peuvent être réactivés périodiquement ou via un notification d’envoi en mode push.
Les applications et services peuvent avoir besoin d’accéder au disque au cours de cette période d’éveil.
Vous pouvez utiliser les fonctions AOAC avec l’environnement Pre-boot, la fonction AutoBoot, ou les deux.Cette fonction fonctionne indépendamment de votre méthode d’authentification. Toutefois, nous vous recommandons d’utiliser l’une des méthodes suivantes :
Preboot
Si la fonctionnalité démarrage automatique est sélectionnée, activez l’amorçage automatique TPM avec AutoBoot automatique ou l’intégration avec la technologie d’administration active d’Intel.
Exemple : puis-je renforcer les systèmes contre les attaques de démarrage à froid ?
Vous trouverez ci-dessous une présentation générale de ces nouvelles fonctionnalités :
Sur les plates-formes Windows modernes qui peuvent prendre en charge le nouveau mode "veille connectée", l’utilisateur peut avoir une expérience similaire à la iPad.
Ces systèmes sont toujours en état de mise sous tension.
Le système nécessite que la clé de chiffrement soit toujours en RAM, ce qui les rend vulnérables aux attaques de nettoyage de la mémoire qui peuvent nettoyer la clé de chiffrement de la mémoire RAM.
DE peut fonctionner en arrière-plan pour fournir une expérience de Windows native à l’utilisateur. Lorsque l’équipement entre dans l’état "veille connectée", la suppression efface la clé de chiffrement de la mémoire RAM. DE ce fait, il les place dans une zone sécurisée d’un système de renforcement matériel Intel afin de prévenir les attaques de démarrage à froid et de nettoyage de la mémoire. Lorsque l’équipement passe à l’état actif, la clé de chiffrement est replacée de manière transparente vers la RAM. Cela se produit après l’authentification utilisateur réussie pour Windows.
Qu’est-ce qu’une attaque au démarrage à froid ?
Une attaque de démarrage à froid permet d’extraire des données confidentielles de la mémoire système. Cela se produit lorsque le système est sous tension ou en veille, même si le système est protégé par un mot de passe Windows. L’attaque implique l’une des deux actions suivantes :
Redémarrage matériel du système et exécution d’un petit programme au prochain cycle de démarrage qui analyse la mémoire système à la recherche d’informations confidentielles
Suppression de la RAM d’un système mis sous tension et traduction vers un autre système pour l’analyse
Autres faits généraux de démarrage à froid :
DE renforcer les systèmes contre une attaque de démarrage à froid lorsqu’un système passe à l’un des modes d’attente. DE 7.1.x supprime la clé de la mémoire. Il est stocké dans un emplacement sécurisé qui est toujours accessible lors de la mise en veille connectée. Le système continue de fonctionner comme un utilisateur s’y attend ; Toutefois, le système est moins vulnérable à une attaque de type démarrage à froid, car la clé n’est plus en mémoire.
DE supprimer complètement la clé de la mémoire. Cette fonction renforce le système contre les attaques de type mémoire. Tous les efforts sont mis en œuvre pour s’assurer que la clé est supprimée de la mémoire. Toutefois, nous ne pouvons pas garantir son retrait, en raison de la manière dont Windows gère la mémoire.
De plus, cette fonction ne fonctionne pas avec la sécurité basée sur la virtualisation, introduite dans Windows RS1 et versions ultérieures. Il ne peut donc pas être activé sur ces plates-formes..
La seule condition dans laquelle la clé est replacée dans la mémoire est une fois qu’un utilisateur s’est authentifié avec succès pour Windows. Le simple fait d’avoir Windows en cours d’exécution ne met pas la clé en mémoire.
Lorsque la clé ne se trouve pas en mémoire, elle est conservée dans une zone de stockage sécurisée qui n’est pas en mémoire. La clé peut être supprimée de la mémoire lorsque l’un des événements suivants se produit :
Le système est éteint.
L’utilisateur se déconnecte.
L’utilisateur verrouille la station de travail.
Le système attend l’authentification d’un utilisateur à l’invite de connexion Windows.
Une fois le système sorti de veille ou de veille/
Si les utilisateurs sont authentifiés et qu’ils se trouvent sur leur poste de travail, la clé est en mémoire. Si les utilisateurs ne sont pas authentifiés ou ne sont pas sur leur poste de travail, la clé n’est pas en mémoire.
Remarques : Un administrateur peut sélectionner, via une stratégie, les conditions dans lesquelles la clé est supprimée.
Bien qu’un seul pilote soit requis pour gérer la clé en mémoire, il fonctionne dans l’un des deux modes suivants :
Chiffre chiffré standard
Chiffrement de sécurité élevé
Qu’est-ce que le mode de chiffrement standard ?
Il s’agit d’un État du pilote de chiffrement, où :
La clé de chiffrement est stockée dans la mémoire RAM.
Il n’est pas protégé contre les attaques de type démarrage à froid ou sur mémoire RAM.
Elle est fortement optimisée pour les performances.
Elle utilise la même implémentation d’algorithme que dans les versions antérieures de EEPC 7.x héritées.
Qu’est-ce que le mode de chiffrement de sécurité élevé ?
Il s’agit d’un État du pilote de chiffrement, où :
Une nouvelle implémentation de l’algorithme de chiffrement AES256-CBC est utilisée.
La clé de chiffrement est stockée dans un emplacement sécurisé, et non dans la mémoire RAM.
Sensibilité.
Il s’agit d’une baisse significative des performances.
Les mises en œuvre de stratégie sont désactivées.
Autres faits généraux de chiffrement de sécurité élevé :
Le pilote effectue l’échange entre les deux modes et est défini via une stratégie. Exemple : DE peut remplacer le mode DE chiffrement DE 7.1 sécurité élevé lorsque le système est :
Verrouillée
Déconnecté
Passe en mode veille
Remarque : Le mode de chiffrement standard reprend lorsque l’utilisateur s’est authentifié avec succès pour Windows.
Cette fonctionnalité peut être utilisée avec le démarrage automatique TPM.
Le temps de démarrage est plus lent en mode de chiffrement de sécurité élevé. A partir du démarrage initial, la clé n’est pas stockée en mémoire tant que l’utilisateur n’est pas correctement authentifié à Windows. Si vous utilisez une tablette, il est rare que vous l’éteigniez. par conséquent, vous ne rencontrez pas toujours ce problème.
Lorsque le système exécute une tâche intensive sur le disque dur et que la station de travail est verrouillée, la station de travail s’exécute plus lentement. Les utilisateurs observent cette baisse de performances lorsqu’ils reviennent plus tard. Ce problème survient lorsque le système est en cours d’exécution en mode de chiffrement de sécurité élevé et lorsque la clé ne se trouve pas en mémoire.
En mode de chiffrement élevé de sécurité, vous disposez d’un compromis en matière de sécurité et de performances. Il est important de se souvenir que lorsqu’un utilisateur utilise activement son système, les performances complètes normales sont observées. Il ne s’agit que de périodes dans lesquelles l’authentification est encore à l’origine de l’impact sur les performances de l’utilisateur.
Exemple d’impact sur les performances lorsque le pilote utilise le mode de chiffrement de sécurité élevé :
Les performances de l’algorithme brut sont les suivantes : AES-ou-processeurs 64 bits :
Chiffrement standard = 1 cycle d’horloge du processeur/octet
Chiffrement de sécurité élevé = 15 cycles d’horloge du processeur/octet
32-bit non AES-processeur compatible avec :
StandardCrypt = 35 cycles d’horloge du processeur/octet
Élevé Security chiffrement = 133 cycles d’horloge du processeur/octet
Remarque : L’impact peut être supérieur à celui de l’algorithme brut ci-dessus en raison des tests exécutés alors que les interruptions sont désactivées. Dans un autre cas, par exemple, si un système subit un débit de 208 Mo/s en chiffrement standard, il peut chuter à 20 Mo/S en chiffrement de sécurité élevé.
Remarque : Le système doit prendre en charge la mise en veille connectée et doit être une tablette de type trèfle ou un système Haswell.
Existe-t-il une différence entre’veille connectée’et’Smart Connect' ? Oui. Smart Connect est une technologie plus ancienne. Smart Connect dispose d’un pilote qui réactive périodiquement le système et se connecte à un serveur pour extraire des notifications. La mise en veille connectée est une nouvelle technologie qui permet au système de passer à un nouvel état d’alimentation sur le processeur.
La mise en veille connectée nécessite un nouveau matériel pour la prendre en charge. Smart Connect ne fonctionne pas. Vous pouvez donc disposer d’une connexion intelligente sur un système Windows 7 avec un processeur et un matériel plus anciens. Techniquement parlant, Smart Connect utilise l’état de l’alimentation S3, qui est en veille. La veille connectée utilise l’état de l’alimentation RTD3, qui est un état différent sur le processeur.
Qu’est-ce qu’une mise en veille connectée ?
Le mode veille connectée n’est pas un véritable mode de veille. Il s’exécute dans ce nouvel état d’alimentation et laisse certains services en cours d’exécution qui peuvent recevoir des notifications du serveur. La configuration matérielle requise est donc disponible uniquement sur les systèmes Windows 8.x .
Exemple : la configuration matérielle requise pour la mise en veille connectée sur Windows 8 tirer parti du mode veille connectée si toutes les conditions matérielles suivantes sont remplies :
Un indicateur de microprogramme indique la prise en charge de la norme.
Le volume de démarrage n’utilise pas de disque rotatif.
Prise en charge de NDIS 6.30 par tous les équipements réseau.
Refroidissement passif lors de la mise en veille connectée.
Remarques : Il existe d’autres exigences propres à la sécurité. par exemple :
La mémoire doit être soudée à la carte mère pour empêcher les vecteurs d’attaque de démarrage à froid qui impliquent la suppression de la mémoire de l’ordinateur.
Est-il possible de cloner un disque dur (HDD) existant sur un disque de plus grande taille, de rendre le nouveau disque amorçable et d’allonger la taille dans l’environnement Windows ? Non. Pour migrer vers un disque dur plus volumineux, vous devez d’abord déchiffrer le disque dur, terminer le clonage, puis rechiffrer.
Est-il possible d’effectuer un effacement à distance d’un système chiffré ? Non. L’environnement Pre-Boot ne dispose pas d’une fonctionnalité réseau.
Pourquoi Windows 8 nécessite-t- il un changement important pour les produits de chiffrement ?
Microsoft a introduit de nombreuses nouvelles fonctionnalités avec Windows 8 et versions ultérieures. Celles qui ont un impact sur le chiffrement sont les plus suivantes :
A UEFI Boot Process
GPT Disk partitioning
Secure Boot
Hybrid Boot
Windows 8 Modern User Interface (UI)
Windows 8 Tablets
Autres faits généraux de chiffrement de sécurité élevé :
Windows 8.x a deux méthodes de démarrage possibles. En fonction de la configuration et des fonctionnalités de votre système, Windows 8 installe la fonction de démarrage avec le nouveau processus de démarrage UEFI ou le processus de démarrage du BIOS hérité.
Vous ne pouvez pas modifier un paramètre de configuration et échanger Windows 8 d’un processus de démarrage à un autre. Vous devez réinstaller complètement Windows 8 en raison de la modification apportée au mécanisme de partitionnement.
A partir de Windows 8 et versions ultérieures, DE dispose DE deux environnements Pre-Boot. Un Pre-Boot pour gérer le processus de démarrage UEFI et un Pre-Boot pour gérer le processus de démarrage du BIOS.
Le client DE intelligent examine le processus de démarrage que le système est configuré pour utiliser. Il détermine ensuite quel pré-amorçage doit être installé. Ce fait permet à un administrateur de déployer sur des systèmes et de savoir que le Pre-boot approprié est installé automatiquement.
DE 7.x n’utilise pas l’interface utilisateur Windows 8 moderne (IU). Une fois Windows chargé, la seule interface utilisateur de Windows 8 est le moniteur d’état de la barre d’état système, qui est uniquement disponible sur le bureau. Elle n’est pas disponible dans l’interface utilisateur moderne.
Qu’est-ce que le démarrage automatique ?
AutoBoot est un compte qui contourne efficacement la protection fournie par DE. Lorsque cette option est activée, les utilisateurs ne voient pas l’écran d’authentification Pre-Boot.
Qu’est-ce que le démarrage automatique réactif ?
La fonctionnalité démarrage automatique réactif est une amélioration de la fonctionnalité de démarrage automatique traditionnelle qui existe sur Windows et OS X. En mode de démarrage automatique, le lecteur est chiffré. Cependant, l’utilisateur ne voit pas l’écran d’authentification Pre-Boot et démarre directement dans le système d’exploitation.
Contrairement au démarrage automatique classique, la fonctionnalité démarrage automatique réactif présente un autre élément de fonctionnalité. Lorsque cette option est activée, les demandes d’authentification Windows sont surveillées par le produit. Si un utilisateur dépasse le nombre maximal d’échecs d’authentification spécifié, le démarrage automatique réactif active automatiquement l’authentification Pre-boot, désactive l’AutoBoot et redémarre immédiatement l’ordinateur. Une fois ces actions effectuées, l’utilisateur doit réussir l’authentification Pre-boot avant d’accéder au système d’exploitation.
Cette fonctionnalité permet à la stratégie d’authentification de passer automatiquement de l’AutoBoot (déverrouillé, non sécurisé) au Pre-Boot (verrouillé, sécurisé). Elle est basée sur certaines conditions désignées par l’administrateur.
Autres faits généraux de démarrage automatique réactifs :
Pour activer le démarrage automatique réactif (non activé par défaut), un administrateur doit effectuer les deux opérations suivantes :
Sélectionnez le paramètre 'Disable and restart system after <n> (1–10) failed logons or unlocks (Windows only, Vista onwards)' de stratégie de produit.
Spécifiez le nombre d’échecs de connexion ou de déverrouillage autorisés.
La stratégie doit ensuite être affectée aux systèmes qui nécessitent la fonctionnalité de démarrage automatique réactif.
Exemple pour l’utilisation de la fonctionnalité démarrage automatique réactif : vous souhaitez chiffrer les systèmes partagés auxquels tout utilisateur de l’organisation peut avoir besoin d’accéder. Par conséquent, vous ne pouvez pas affecter un utilisateur ou un groupe d’utilisateurs spécifique à l’authentification Pre-Boot. La fonctionnalité démarrage automatique réactif peut être une solution acceptable dans les cas de figure où vous serez contraint de déployer à l’aide de la fonctionnalité démarrage automatique.
Les lecteurs sont chiffrés sur un système doté d’un démarrage automatique réactif s’ils sont définis dans la stratégie de chiffrement. Toutefois, dans la mesure où l’authentification n’est pas activée lorsque le démarrage automatique est activé, les données ne sont pas protégées.
Quelles sont les principales fonctionnalités de la fonctionnalité démarrage automatique réactif ?
Cette fonctionnalité est uniquement côté client ; Cette fonctionnalité est un client uniquement. Les événements d’audit sont téléchargés vers ePO lors de la prochaine synchronisation, mais le serveur ePO n’a aucune interaction avec cette fonctionnalité.
Cette fonctionnalité est uniquement Windows. Le démarrage automatique réactif n’est pas disponible sur Mac OS X. En raison des modifications apportées à Apple, Management of Native Encryption (MNE) a remplacé le produit EEMac. Pour plus d’informations, voir article kb79375-plates-formes prises en charge pour Management of Native Encryption.
Vous pouvez spécifier le nombre maximal de tentatives infructueuses. Un administrateur ePO peut spécifier ce numéro dans la stratégie. Sa valeur minimale est comprise entre 1 et la valeur maximale de 10.
Elle s’applique à toutes les tentatives d’authentification Windows. Elle s’applique à la fois aux connexions Windows et aux tentatives de déverrouillage.
Il fonctionne avec le chiffrement de logiciels et Opal.
Les utilisateurs peuvent recourir à la récupération de demande d’authentification/réponse pour permettre au système d’accéder à Windows lorsqu’un utilisateur dépasse le nombre maximal de tentatives définies qui ont échoué.
Un utilisateur Windows peut faire partie d’un groupe de travail ou d’un utilisateur de domaine.
Les événements sont audités. Un administrateur ePO peut voir quels systèmes sont activés. L’événement 30070 : "démarrage automatique désactivé : le nombre maximal d’échecs de connexion a été dépassé" est envoyé au serveur ePO, mais uniquement après la prochaine authentification réussie à Windows et lorsque la connectivité à EPO est possible.
Remarque : Le moment où le système pense qu’il s’agit d’une attaque, il désactive AutoBoot et redémarre le système. Il n’y a pas de temps pour envoyer un événement à ePO. par conséquent, ePO ne sait pas si le verrouillage est mis en œuvre.
Aucune action de l’administrateur n’est requise pour réactiver la fonctionnalité démarrage automatique réactif sur un système sur lequel elle est désactivée, ce qui peut se produire lors d’une tentative d’authentification en échec Windows. Une fois que le client a redémarré le système et accède à Windows, le démarrage automatique réactif est réactivé automatiquement. Le système n’a pas besoin de communiquer avec ePO pour réactiver le démarrage automatique.
Quelle est l’expérience de l’utilisateur lorsque le système utilise la fonctionnalité démarrage automatique réactif ?
Lorsque les utilisateurs allument leur ordinateur, ils démarrent directement dans Windows. La fonctionnalité démarrage automatique signifie qu’il n’y a pas d’authentification Pre-Boot. Les utilisateurs accèdent directement à la connexion Windows. En supposant qu’ils s’authentifient toujours avec Windows, leur expérience ne change pas.
L’utilisateur rencontre les problèmes suivants après avoir dépassé le nombre maximal d’échecs de tentatives d’authentification Windows :
L’authentification Pre-boot est automatiquement activée et la fonctionnalité démarrage automatique est désactivée.
Un arrêt incorrect de Windows se produit et le système redémarre.
Lorsque l’ordinateur redémarre, l’écran d’authentification Pre-boot s’affiche et l’utilisateur doit s’authentifier pour accéder à Windows.
Lorsqu’un utilisateur dépasse le nombre maximal de tentatives infructueuses définies, un utilisateur ne peut pas effectuer les actions suivantes :
Authentification à l’aide des informations d’identification Windows
Utiliser la récupération automatique pour passer le Pre-Boot et l’accès Windows
Remarque : Si le système a toujours fonctionné en mode de démarrage automatique, il est peu probable que des utilisateurs aient été affectés pour permettre une authentification de pré-amorçage réussie.
Pour accéder à Windows lorsqu’elle est présentée avec l’authentification Pre-boot, pour accéder à Windows, un utilisateur doit effectuer l’une des opérations suivantes :
Authentifiez-vous à l’écran Pre-Boot.
Passez en revue l’un des mécanismes de récupération standard.
Comment réactiver la fonctionnalité démarrage automatique réactif et désactiver l’authentification Pre-Boot pour revenir à mes workflow précédents ?
L’utilisateur doit s’authentifier au Pre-boot ou passer par le processus de récupération nécessaire pour accéder à Windows. Une fois le Windows chargé et le démarrage DE services activé, le démarrage automatique réactif est réactivé automatiquement.
Quelles fonctionnalités d’intégration d’Intel Active Management Technology (AMT) fonctionne-t-elle avec le démarrage automatique réactif ?
Bien que, en théorie, vous puissiez utiliser le cas d’utilisation avec reconnaissance de l’emplacement de l’intégration d’Intel AMT à la fonctionnalité démarrage automatique réactif, l’utilisation combinée n’a pas de sens pour deux raisons principales.
Tout d’abord, tandis que la fonctionnalité démarrage automatique réactif est activée, la fonctionnalité AMT n’est pas utilisée lors du Pre-boot, car le système démarre directement dans Windows.
Deuxièmement, du point de vue de la sécurité et de l’utilisation, il est préférable d’utiliser la fonctionnalité AMT et le cas d’utilisation avec reconnaissance de l’emplacement. Ces deux options permettent un démarrage automatique sécurisé et autorisé du système dans Windows. Si vous avez activé cette fonctionnalité, il s’agit de la solution la plus sécurisée par rapport à la fonctionnalité démarrage automatique réactif.
Vous pouvez envisager d’utiliser AMT pour supprimer ou réduire les appels au Help Desk auprès des utilisateurs lorsque la fonctionnalité de démarrage automatique réactif active l’environnement Pre-Boot. Cette fonctionnalité peut réduire la nécessité d’un appel au service d’assistance pour poursuivre au-delà de l’environnement Pre-Boot. Toutefois, vous pouvez toujours rencontrer un cas où l’appel Help Desk est requis. Plus important encore, la fonctionnalité AMT assure la sécurité des données en exigeant une authentification Pre-boot automatique à fournir par le serveur. En revanche, le démarrage automatique n’a pas d’authentification Pre-Boot et ne fournit aucune sécurité de données.
L’expérience utilisateur semble être la même si les conditions suivantes s’appliquent :
Lorsque l’intégration AMT et la fonctionnalité démarrage automatique réactif sont utilisées
Lorsque l’utilisateur ne parvient pas à s’authentifier trop souvent
Remarque : Toutefois, il existe des différences au-dessus des postes de fin.
Exemple de scénario :
important : si vous avez activé la fonctionnalité d'emplacementd’Intel AMT, «il est conseillé d’utiliser cette fonctionnalité et pas le démarrage automatique réactif. La raison est qu’elle assure la sécurité des données en s’authentifiant à partir du serveur. Si nécessaire, vous pouvez définir une stratégie Windows pour désactiver l’utilisateur s’il ne parvient pas à s’authentifier après un seuil défini.
La fonctionnalité démarrage automatique réactif est une solution non sécurisée qui démarre dans Windows à l’aide d’informations cryptographiques déjà présentes sur le client.
L’intégration d’Intel AMT est une solution sécurisée qui contacte ePO et demande l’autorisation de démarrer dans Windows. Il reçoit ensuite les informations de chiffrement nécessaires pour le faire.
Sur un système client utilisant la fonctionnalité démarrage automatique réactif, la fonctionnalité AMT dans l’environnement Pre-boot n’est pas utilisée. Lorsqu’un utilisateur ne parvient pas à s’authentifier à plusieurs reprises, le démarrage automatique réactif active l’environnement Pre-Boot et redémarre le système.
L’environnement Pre-boot utilise AMT et contacte ePO pour recevoir l’autorisation de démarrer. Si ePO ne répond pas, l’utilisateur se trouve dans la même situation que le démarrage automatique classique réactif sans AMT.
L’utilisateur est renvoyé à l’écran d’authentification de la Windows. Le démarrage automatique actif est activé, car le système démarre en Windows. L’utilisateur peut continuer à saisir des mots de passe incorrects jusqu’à ce Windows désactive l’utilisateur.
Ce scénario peut forcer un appel Help Desk. La fonctionnalité démarrage automatique réactif est une activité côté client. Il n’y a aucune communication avec le serveur ePO et aucune heure n’est disponible pour communiquer avec le serveur lorsque la fonctionnalité répond aux tentatives de connexion qui ont échoué.
Qu’est-ce que le chiffrement initial rapide (secteur utilisé uniquement) ?
Le chiffrement initial rapide est la possibilité d’installer le produit sur un système et d’effectuer un chiffrement en quelques minutes, par rapport à plusieurs heures qui sont requises dans des circonstances normales.
Fonctionnalités clés de chiffrement initial rapide (secteurs utilisés uniquement) :
La fonction principale de chiffrement initial rapide est destinée au chiffrement initial d’un système nouvellement installé ou image. Le système se trouve sur un bureau d’un technicien informatique et n’est pas utilisé par l’utilisateur. Vous pouvez consulter les cas d’utilisation de la configuration en interne ou de la configuration par un tiers à partir des FAQ sur l’activation hors ligne.
Cette fonctionnalité ne peut pas être utilisée avec un disque Opal. Il n’est pas nécessaire d’utiliser le chiffrement initial rapide avec un disque Opal, car le disque est toujours chiffré de manière techniquement. Le processus DE désactivation active le mécanisme de verrouillage du lecteur. Actuellement, un disque Opal passe d’inactif à actif et entièrement chiffré en quelques minutes. Consultez également les FAQ sur l’activation hors ligne.
Vous ne pouvez pas utiliser le chiffrement initial rapide dans le cadre du processus d’activation normal.
Le chiffrement initial rapide peut être utilisé avec un disque HDD classique ou un SSD. Mais il est important de lire les considérations relatives au secteur utilisé uniquement (voir ci-dessous).
Autre chiffrement initial rapide (secteur utilisé uniquement) :
Le chiffrement initial rapide supprime la protection contre les pannes d’alimentation, qui offre une protection contre les fuites de données en cas de panne d’alimentation ou d’arrêt forcé. Il effectue le chiffrement initial aussi rapidement que le permet le matériel. Il chiffre également uniquement les secteurs en cours d’utilisation.
Le chiffrement initial rapide diffère de la manière dont 7.1 les versions antérieures et antérieures fonctionnent. En règle générale, le produit suppose qu’il chiffre un système en cours d’utilisation. Il donne la priorité à l’expérience utilisateur pour réduire l’impact sur la routine quotidienne de l’utilisateur. Ce fait peut permettre à l’utilisateur de continuer à fonctionner pendant le chiffrement et offre une protection contre les pannes de courant ou la fermeture forcée. Dans un déploiement standard, le processus de chiffrement met plus de temps à se terminer. La raison est que le chiffrement de tous les secteurs des volumes et des partitions. Il chiffre les zones spécifiées dans la stratégie de chiffrement. De même les secteurs vides qui ne contiennent aucune donnée sont chiffrés.
Le chiffrement initial rapide chiffre uniquement les secteurs utilisés. Le produit interroge le système d’exploitation pour lequel les secteurs sont en cours d’utilisation par le système de fichiers. Le produit chiffre alors uniquement les secteurs marqués comme étant utilisés dans les volumes et les partitions. En fonction du volume et des partitions spécifiés dans la stratégie de chiffrement, ce nombre représente généralement un petit sous-ensemble de la taille totale du disque.
Lorsque de nouvelles données sont écrites sur le disque, dans la mesure où de nouveaux secteurs sont utilisés, ils sont chiffrés.
Le chiffrement initial rapide est uniquement disponible sur Windows avec de en raison des modifications apportées à 7.1. Apple, MNE a remplacé le produit EEMac.
Pour activer le chiffrement initial rapide dans le cadre d’une package d’activation hors ligne, utilisez l’une des deux options suivantes :
SkipUnused (valeur par défaut désactivée)
DisablePF (valeur par défaut désactivée)
Cette fonctionnalité n’est pas activée par défaut pour l’activation hors ligne. Vous devez explicitement activer le chiffrement initial rapide.
Le chiffrement initial rapide est disponible uniquement dans le cadre du processus d’activation hors ligne. L’option activation hors ligne est appelée Ignorer les secteurs inutilisés.
Autre chiffrement initial rapide (secteurs utilisés uniquement) informations sur l’expérience utilisateur :
Lorsque le chiffrement initial rapide est activé, l’utilisateur doit saisir Oui lors de l’utilisation des secteurs utilisés uniquement. Cette action permet de s’assurer que vous avez lu l’exclusion de responsabilité et que vous comprenez l’utilisation de cette fonctionnalité. Il est important de lire les considérations relatives au secteur utilisé uniquement.
Lorsqu’un utilisateur ne tape pas « oui » à l’invite, le package d’activation hors ligne n’est pas généré et le processus échoue. Vous devez reconstruire à nouveau le package et saisir correctement’Oui’ou supprimer l’option secteurs utilisés uniquement de la package.
L’option de chiffrement initial rapide utilisée par le secteur affecte-t-elle uniquement les disques durs et SSD de la même manière ?
Il y a un impact et une implication plus importants sur SSDs en raison du mode de fonctionnement de SSDs. Pour plus d’informations sur les problèmes de performances signalés sur certains SSDs, reportez-vous à la section KB66256-performance problemes signalée sur certains disques SSD avec Drive Encryption.
Informations générales sur les autres secteurs utilisés uniquement :
L’option « utiliser le secteur uniquement » signifie qu’aucun secteur du disque n’est chiffré. Le produit chiffre uniquement les secteurs que les États du système d’exploitation sont en cours d’utilisation. Tous les autres secteurs (espace blanc) sont laissés dans un État non chiffré jusqu’à ce qu’ils soient utilisés, même si ces secteurs contiennent des données confidentielles précédemment supprimées. Tous les nouveaux secteurs écrits en fonctionnement normal sont écrits dans un État chiffré.
La recommandation relative à l’utilisation de l’option secteurs utilisés uniquement s’applique à la fois aux nouveaux disques HDD et SSD. Cette fonctionnalité peut être utilisée avant que les données de l’entreprise confidentielle ne soient écrites sur le disque.
Lorsque vous recyclez un disque ancien entièrement chiffré avec DE, cette fonctionnalité peut toujours être utilisée, en supposant que tous les volumes contenant des données confidentielles sont chiffrés. Si cette condition n’est pas remplie, il est conseillé de ne pas utiliser cette fonction.
Important : N’utilisez pas cette fonctionnalité sur les disques qui contenaient auparavant des données d’entreprise confidentielles. Chiffrez l’ensemble du volume ou de la partition ou du disque.
Puis-je redémarrer un ordinateur pendant le chiffrement du disque dur ?
Deux scénarios sont à prendre en compte :
Vous ne pouvez pas redémarrer l’ordinateur lors de l’utilisation du chiffrement initial rapide et lorsque la fonctionnalité DisablePF est activée. Un redémarrage du système dans ces conditions entraînerait une perte de données.
Avec le chiffrement complet des disques (FDE), un redémarrage est possible. Avec le FDE, le chiffrement se poursuit lors du redémarrage de l’ordinateur.
Quelle est la taille maximale du disque dur DE prise en charge ?
Quel que soit le BIOS ou l’UEFI pris en charge, DE prend en charge. Le BIOS est techniquement limité à 2.2 TB, où UEFI est limité à 9.4 ZB. Pour plus d’informations sur la limitation UEFI, reportez-vous à ce document.
Puis-
je toujours effectuer une activation normale ou hors ligne avec la protection contre les pannes d’alimentation activée et chiffrer tous les secteurs, et pas uniquement ceux utilisés ? Oui. Vous devez explicitement activer le chiffrement initial rapide pour qu’il soit utilisé. S’il n’est pas activé, le processus normal d’activation et de chiffrement initial est utilisé.
Puis-je désactiver l’option de protection contre les pannes d’alimentation mais autoriser la fonctionnalité de chiffrement des secteurs utilisés uniquement ? Oui. Vous pouvez sélectionner n’importe quelle combinaison des deux options. Toutefois, en raison des problèmes de sécurité potentiels liés à l’utilisation du chiffrement « secteurs utilisés uniquement » sur les lecteurs recyclés (disques incorrects), il est possible de désactiver cette option. Il est important de lire les considérations relatives au secteur utilisé uniquement.
Qu’est-ce qu' UEFI ?
UEFI définit l’interface micrologicielle de prochaine génération pour votre ordinateur personnel. Le micrologiciel du système de base d’entrée et de sortie (BIOS), initialement écrit en assembly et utilisant des interruptions logicielles pour l’e/s, a défini le système PC depuis sa création. Cependant, les modifications apportées au paysage informatique ont fait la formation d’une définition de microprogramme moderne à la nouvelle génération de tablettes et d’équipements.
Autres faits UEFI :
UEFI est géré via le Forum UEFI, un ensemble de chipsets, de matériel, de système, de microprogramme et de système d’exploitation. Le Forum gère les spécifications, les outils de test et les implémentations de référence qui sont utilisés sur un grand nombre d’ordinateurs UEFI.
L’objectif de l’UEFI est de définir une méthode standard pour que le système d’exploitation communique avec le microprogramme de la plate-forme au cours du processus de démarrage. Avant UEFI, le mécanisme principal de communication avec le matériel au cours du processus de démarrage était des interruptions logicielles. Les PC modernes peuvent effectuer des entrées/sorties de blocage plus rapides et plus efficaces entre le matériel et les logiciels. En outre, UEFI permet à des conceptions d’utiliser le potentiel complet de leur matériel.
UEFI permet la conception d’un microprogramme modulaire, ce qui permet aux concepteurs de matériel et de système une plus grande flexibilité dans la conception de microprogrammes pour les environnements informatiques modernes les plus exigeants. Bien que les e/s soient limitées par des interruptions logicielles, UEFI favorise le concept de normes de codage basées sur les événements et indépendants de l’architecture.
DE 7.1 prend en charge la version 2.3.1 UEFI et les versions ultérieures.
Les systèmes Windows 7 (64 bits) et Windows 8 (32 bits et 64 bits) et versions ultérieures prennent en charge un processus de démarrage UEFI.
Quelles sont les principales fonctionnalités d’utilisation d’UEFI avec DE ?
Il existe différents outils de récupération pour les systèmes dotés d’un processus de démarrage UEFI. Etant donné qu’il s’agit d’un processus de démarrage différent, un outil de récupération différent est requis pour gérer les différents processus de démarrage.
Detech est également un application UEFI. Il existe un application detech qui est utilisé pour la récupération sur les systèmes à l’aide d’un processus de démarrage UEFI.
Remarque : Vous ne pouvez pas utiliser les outils de détechnologie BIOS (hérité) avec un système de démarrage UEFI.
Important : Un système présentant un processus de démarrage UEFI ne fonctionne pas avec les disques partitionnés MBR. Windows nécessite un nouveau mécanisme de partitionnement de disque, appelé GPT, pour démarrer sous UEFI.
DE Pre-boot est un application. Si vous pensez que l’UEFI est similaire à un système d’exploitation, le Pre-boot devient un application natif UEFI. Par comparaison, la version Pre-boot du BIOS est un système d’exploitation. Dans les deux cas, le Pre-boot doit être exécuté en premier afin que, après une authentification réussie, la clé DE chiffrement puisse être chargée et que le processus de démarrage puisse continuer. Dans le monde UEFI, lorsqu’un utilisateur s’authentifie avec succès à l’écran DE pré-amorçage.
Tous les équipements à écran tactile ne sont pas pris en charge dans UEFI. Si vous pensez que l’UEFI est similaire à un système d’exploitation, les OEM doivent fournir des pilotes logiciels pour le matériel contenu dans cet équipement. Pour UEFI, l’environnement Pre-boot prend en charge à la fois le protocole simple pointer et le protocole Absolute pointeur. Un ou plusieurs de ces protocoles sont censés être mis en œuvre pour tous les équipements à écran tactile rencontrés. Si un fabricant ou un OEM de l’implémentation UEFI ne parvient pas à mettre en œuvre l’un ou l’autre de ces mécanismes, la prise en charge de l’équipement à écran tactile ne peut pas être garantie.
Remarque : Nous avons trouvé dans son propre test interne que toutes les implémentations UEFI des OEM n’implémentent pas réellement ces interfaces. Dans ce cas, le créateur de l’implémentation UEFI sur ce système sort des sections de la spécification UEFI.
Les lecteurs GPT sont pris en charge avec UEFI. Ils sont pris en charge en tant que disques de démarrage ou secondaires.
La mise en œuvre UEFI a lieu sur tous les fournisseurs. Les mises en œuvre UEFI diffèrent selon les fournisseurs de matériel. En fonction de l’implémentation UEFI, les problèmes peuvent aller de l’une des façons suivantes :
Protocoles manquants requis pour prendre en charge les disques Opal.
Problèmes de prise en charge de la norme USB fournie dans l’environnement Pre-boot, et utilisée par lors de l’utilisation du mode UEFI natif.
Disques Opal pris en charge dans UEFI :
La prise en charge des lecteurs à auto-chiffrement Opal sur les systèmes UEFI est disponible uniquement sur les systèmes conformes au logo Windows 8 ou ultérieur qui sont équipés d’un disque Opal à chiffrement automatique lorsqu’ils sont fabriqués.
La prise en charge des disques à chiffrement automatique Opal sous UEFI n’est pas proposée lorsque l’une des conditions ci-dessous est vraie :
Adaptation des disques Opal aux systèmes pré-Windows 8
Adaptation aux systèmes Windows 8 qui ne sont pas livrés avec des disques Opal provenant des fabricants.
Le motif ci-dessus est dû au fait qu’un protocole de sécurité UEFI est requis pour la gestion des systèmes Opal. Il est obligatoire uniquement lorsqu’un disque à chiffrement automatique est installé au moment de l’expédition. Sans le protocole de sécurité, la gestion Opal n’est pas possible.
La prise en charge des disques GPT est-elle prise en charge ? Windows 7
En tant que disque de démarrage, non. En tant que disque secondaire, oui. De plus, le système d’exploitation doit prendre en charge le lecteur secondaire en mode GPT et pour que le BIOS prenne en charge les disques volumineux pour que le detech (autonome) puisse les récupérer.
Windows 8 et versions ultérieures
Les disques GPT principaux et secondaires sont pris en charge sur les Windows 8 avec DE 7.1.0 et versions ultérieures.
REMARQUES :
Les systèmes basés sur UEFI ne peuvent démarrer qu’à partir d’un disque GPT principal.
Les systèmes basés sur le BIOS ne peuvent pas démarrer à partir d’un disque GPT principal. Sur ces systèmes à partir de EEPC 7.0 et versions ultérieures, les disques GPT sont uniquement pris en charge en tant que lecteur secondaire.
Quelle est l’expérience de l’utilisateur lorsque le système utilise UEFI ?
Les environnements Pre-boot ressemblent et se comportent de la même façon. Un utilisateur ne peut pas différencier les environnements de pré-amorçage UEFI et BIOS.
Pourquoi dois-je créer et utiliser le support de récupération de detech WinPE, lorsque la version autonome detech inclut davantage de fonctionnalités, telles que la création d’un démarrage d’urgence ?
La version WinPE est beaucoup plus rapide que la version autonome.
La version WinPE vous permet également d’accéder au disque dur chiffré, de corriger Windows problèmes ou de copier des données utilisateur sur un autre lecteur avant de procéder à la régénération.
Vous pouvez également exécuter l’un des outils Windows de même que et accéder au réseau.
Remarques : La version autonome detech n’est pas rétrocompatible. Utilisez toujours une version de support de récupération detech correspondante. Si le client a 7.1 été installé, créez un support de récupération autonome detech 7.1 pour effectuer des actions de récupération.
Important : Nous n’avons pas la possibilité de fournir aux clients un CD de récupération WinPE, car une licence Microsoft valide est nécessaire.
Qu’est -ce que le démarrage sécurisé ?
Le démarrage sécurisé est une fonctionnalité activée par UEFI, mais Microsoft impose des mises en œuvre spécifiques pour les PC x86 (Intel). Le démarrage sécurisé est activé sur tous les systèmes dotés de l’autocollant du logo Windows 8.
UEFI dispose d’un processus de validation de microprogramme, appelé démarrage sécurisé, qui est défini au chapitre 27 de la spécification UEFI 2.3.1 . Le démarrage sécurisé définit comment le microprogramme de la plate-forme gère les certificats de sécurité, la validation du microprogramme et une définition de l’interface (protocole) entre le microprogramme et le système d’exploitation. Il crée une racine de confiance, qui commence dans UEFI, qui valide le module suivant dans la chaîne avant de le charger et de l’exécuter. La validation vérifie qu’elle n’a pas été modifiée depuis sa signature numérique. Grâce à l’architecture de démarrage sécurisé et à l’établissement d’une chaîne d’approbation, le client est protégé contre les logiciels malveillants s’exécutant dans le processus de démarrage. Seuls des chargeurs de code et des chargeurs de démarrage certifiés et signés peuvent être exécutés avant le chargement du système d’exploitation lui-même.
Autres informations générales sur le démarrage sécurisé :
DE 7.1.x prend en charge le démarrage sécurisé.
DE est signé, le processus DE démarrage sécurisé l’approuve.
Le démarrage sécurisé ne fonctionne pas sur les systèmes Windows 8 ou ultérieurs basés sur le BIOS. Elle ne fonctionne que sur les systèmes UEFI.
Qu’est-ce qu' hybride Boot/ Fast Startup/Fast Boot ?
Dans les versions précédentes de Windows, un arrêt classique fermait toutes les sessions utilisateur, tous les services et tous les équipements, et fermait également le noyau pour préparer un arrêt complet. Windows 8 ferme les sessions utilisateur, mais au lieu de fermer la session du noyau, elle est mise en veille prolongée. Les heures d’arrêt et de démarrage sont plus rapides.
Remarque : Microsoft Windows 8 ajoute la prise en charge du démarrage rapide (précédemment connu sous le nom de démarrage hybride); avec la version de Windows 10 et versions ultérieures, cette fonctionnalité est désormais connue sous le nom de démarrage rapide.
Autres informations générales sur l'
amorçage hybride, le démarrage rapide, le démarrage rapide :
De 7.1.x ne prend pas en charge l' amorçage hybride, le démarrage rapide et le démarrage rapide. DE fonctionnalités sont affectées s’ils sont activés.
L’authentification unique (SSO) fonctionne dans un fichier de démarrage hybride. DE prend en charge les SSO sur un c.v. à partir de la mise en veille prolongée, contrairement aux versions précédentes de EEPC.
DE 7.1 inclut des améliorations dans tous les domaines de performances, qui sont inexceptionnellement rencontrés avec un processeur compatible avec AES-ni. Dans les tests internes, les temps de démarrage sont chiffrés ou non chiffrés à l’aide de l’initialisation hybride.
Je vois des références à Windows RT. Qu'est-ce que c'est?
Windows RT (anciennement appelé Windows on ARM) est une version de Windows 8 pour les équipements ARM. Seuls les logiciels écrits pour l’interface d’interface utilisateur moderne Windows 8 sont exécutés sur Windows RT, à l’exception de Microsoft Office 2013 RT et de Internet Explorer 10. Tous les application écrits à l’aide des API Win32, tels que les applications les plus récentes, ne s’exécutent pas sur Windows RT.
Qu’est-ce qu’un Windows tablette ?
Un Windows tablette est un équipement de type tablette capable et certifié d’exécuter des Windows. Il existe deux principales catégories de Windows tablettes :
Comprimés alimentés par des processeurs Intel
Tablettes alimentées par des processeurs ARM
Autres informations générales sur les tablettes :
DE 7.x ne prend pas en charge les tablettes Windows à l’aide d’un processeur ARM et Windows RT.
DE 7.x prend en charge les tablettes Windows à l’aide d’un processeur Intel. Ces tablettes sont considérées comme n’importe quel autre système Windows. Toutefois, vous devez examiner les éléments suivants :
Capacité du processeur
Prise en charge de l’écran tactile
Capacité du processeur sur les tablettes : l’équipe de développement de produits a noté que certaines Prévisualisations des Windows tablettes des fabricants contiennent des processeurs plus puissants, dont certains ne disposent pas de fonctionnalités AES-NI. Les clients doivent être conscients des capacités du processeur pour s’assurer que l’utilisateur bénéficie d’une expérience optimale lorsque le système est chiffré.
Prise en charge de l’écran tactile sur les tablettes : certains Windows tablettes disposent de claviers, donc la prise en charge de l’écran tactile n’est pas un problème. Pour les équipements sans clavier, ces équipements requièrent l’authentification de l’utilisateur à l’aide de l’interface tactile dans Pre-Boot.
Qu’est-ce que l' activation hors ligne ?
L’activation hors ligne permet d’activer l’activation DE sans connexion à ePO.
Autres faits généraux relatifs à l’activation hors ligne :
Processus de haut niveau pour l’activation hors ligne :
Un administrateur crée un package hors ligne sur le serveur ePO. Cette package contient la première stratégie qui doit être créée, ainsi qu’une liste d’utilisateurs hors ligne.
Une fois la package créée, elle peut être distribuée aux clients avec le packages MSI nécessaire à l’installation DE. Si l’installation DE est réussie, l’package hors ligne est exécutée et la stratégie est appliquée et mise en œuvre.
Vous pouvez désormais vous connecter avec les « utilisateurs hors ligne » dans Pre-Boot.
Il n’existe aucun journal audit dans ePO pour trouver des informations sur un système activé via l’activation hors ligne. Ce comportement est attendu. Etant donné que le système n’a jamais communiqué avec ePO, il n’y a aucune information sur ce système.
Si un équipement est activé uniquement via l’activation hors ligne, vous ne pouvez pas prouver qu’il est chiffré. Si le système ne communique jamais avec ePO, il n’y a pas d’informations dans ePO qui peuvent être utilisées à des fins d’audit en cas de perte ou de vol. Une fois que le système communique avec ePO et passe en mode en ligne, toutes les informations normales sont présentes dans ePO. Une fois le transfert terminé, il prouve l’état de chiffrement du système.
Ajouter des utilisateurs du domaine local (ALDU) ne fonctionne pas via l’activation hors ligne. ALDU est un processus en deux étapes qui nécessite qu’ePO effectue l’affectation de l’utilisateur ou du système. Etant donné qu’ePO n’est pas disponible pour l’activation hors ligne, ALDU ne peut pas se terminer et ne peut pas être utilisé.
Pour définir la stratégie initiale pour l’activation hors ligne, utilisez les paramètres disponibles dans l’utilitaire de création de package hors ligne.
Un système rejette tous les utilisateurs hors ligne lorsque le système parvient à communiquer avec le serveur ePO.
Quels sont les cas d’utilisation hors ligne ?
Les trois principaux cas d’utilisation mentionnés par l’activation hors ligne sont les suivants :
Configuration en interne.
La configuration par un tiers.
Un système distant qui ne se connecte jamais à ePO.
Remarque : Il existe d’autres cas d’utilisation où l’activation hors ligne peut être utile ; mais, DE 7.1 plus, il se concentre sur ces trois cas d’utilisation.
Un cas d’utilisation de la configuration en interne pour l’activation hors ligne est l’endroit où vous pouvez avoir votre propre processus de configuration. Le processus peut indiquer qu’un système doit être installé sur le système d’exploitation, ainsi que toutes les applications approuvées par l’entreprise. Le disque doit être entièrement chiffré avant d’être remis à l’utilisateur. Au point de configuration, il se peut que vous ne disposiez pas de la connectivité réseau, car les équipements peuvent se trouver sur une étagère dans une pièce distincte.
Configuration par un cas d’utilisation tierce pour l’activation hors ligne. Il se peut que vous disposiez d’une tierce partie externe pour configurer vos équipements. Dans ce cas, vous ne souhaitez pas ouvrir votre pare-feu pour autoriser les connexions à ePO, mais vous avez besoin que tous les ordinateurs portables soient chiffrés avant d’être remis.
Utilisez la casse pour l’activation hors ligne pour un système distant qui ne se connecte jamais à ePO :
Vous avez un client dans un emplacement à distance.
Le client n’a pas de connectivité réseau.
Le système peut collecter des données confidentielles et doit être chiffré.
Vous pouvez distribuer un CD avec les packages MSI. Les packages installent MA, DE, et la package d’activation hors ligne.
Les packages MSI ensuite exécutés pour installer, activer et chiffrer le système.
Comment la récupération fonctionne-t-elle pour l’activation hors ligne ?
Si l’administrateur a choisi d’enregistrer la clé de chiffrement, la clé est écrite dans un fichier sur un disque. Il incombe ensuite à l’utilisateur de transférer cette clé chiffrée à l’administrateur à l’aide d’une méthode approuvée par l’entreprise. Lorsque les administrateurs disposent de la clé chiffrée, ils peuvent les déchiffrer lorsque cela est nécessaire à l’aide du serveur ePO qui crée le package hors ligne. Le résultat de ce processus de déchiffrement est un fichier XML standard qui peut être utilisé avec les outils DE récupération.
Autres faits généraux relatifs à l’activation hors ligne :
Il n’existe qu’une seule option de récupération disponible pour une activation hors ligne. Cette option est une récupération locale à l’aide des outils DE récupération.
Si l’administrateur désactive la récupération locale, le seul choix est d’utiliser les outils DE récupération pour corriger les problèmes rencontrés avec le système. Il est également possible de connecter le système à ePO. A ce stade, les utilisateurs et les stratégies sont remplacés par les informations fournies par ePO. Toutefois, ce scénario nécessite la possibilité de démarrer dans Windows.
Il n’existe aucune option de récupération supplémentaire pour l’activation hors ligne lorsque la conservation suivante est vraie :
La récupération locale est désactivée.
Vous n’avez pas enregistré la clé de chiffrement.
Quelles sont les principales fonctionnalités relatives à l’activation hors ligne pour l’installation ?
Tenez compte des systèmes activés par l’activation hors ligne en tant que systèmes non managés. Cela est dû au fait que vous ne les voyez peut-être pas dans ePO et que vous ne pouvez pas les gérer dans ePO.
Important : Il n’existe pas de version autonome et non managée de de pour les systèmes hors ligne et activés. L’activation hors ligne peut vous permettre de créer un système autonome chiffré en fonction d’une stratégie spécifique. Toutefois, lorsque la première mise en œuvre de stratégie est terminée, vous ne pouvez pas mettre à jour la stratégie ou les utilisateurs. Il n’existe aucune console locale et aucune méthode pour mettre à jour les informations de stratégie ou d’utilisateur. Toutefois, un mécanisme de récupération de clés est pris en charge. Pour plus d’informations, consultez la FAQ sur la récupération des utilisateurs hors ligne ci-dessous.
Pour l’activation hors ligne, il est important de pouvoir installer le fait sur le système. La méthode d’installation que vous utilisez (par exemple, un CD/DVD pour les utilisateurs dont la packages MSI peut être exécutée, ou une méthode plus automatisée) dépend de votre environnement spécifique.
Les conditions d’installation suivantes sont requises pour l’activation hors ligne :
MA
Agent Endpoint Encryption
DE
Package hors ligne créé par l’administrateur
Un système peut être activé via l’activation hors ligne d’EPO plus tard à partir d’ePO.
Lorsqu’un système activé hors ligne se connecte à ePO, voici ce qui se produit :
En supposant que l’activation hors ligne est effectuée à des fins de configuration, le système se connecte à ePO à un point unique.
Lorsque le système parvient à communiquer avec ePO, le client passe en mode en ligne.
Le mode en ligne est défini en tant que connexion normale entre MA et ePO. considérez qu’il s’agit d’une installation normale. Other details:
Elle ignore la stratégie hors ligne qui est mise en œuvre et supprime également tous les utilisateurs hors ligne. Il reçoit la stratégie réelle d’ePO, la liste des utilisateurs affectés en fonction de l’activation normale et enregistre sa clé de chiffrement dans ePO. Vous pouvez l’afficher en tant que seconde, mais automatique.
Important : N’oubliez pas que toutes les informations hors ligne sont supprimées si l’utilisateur n’est pas connu du serveur ePO avant la connexion. Si l’utilisateur hors ligne est connu du serveur ePO, les stratégies ePO sont déployées. Cependant, toutes les données stockées en mode hors ligne ne sont pas supprimées.
Qu’est-ce qu’un utilisateur hors ligne ?
Un utilisateur hors ligne est un utilisateur qui est utilisé pour l’authentification Pre-Boot et qui existe uniquement dans un package hors ligne spécifique.
Autres informations sur les utilisateurs hors ligne :
Un utilisateur hors ligne est différent d’un utilisateur normal dans DE. Les utilisateurs hors ligne existent uniquement dans ce package hors ligne spécifique. Ces utilisateurs n’existent pas dans AD et fondamentalement n’existent nulle part sauf dans cette package hors ligne.
Vous ne pouvez pas ajouter d’utilisateurs hors ligne à un système activé hors ligne à l’issue de l’activation et ils sont en dehors dans le champ pendant un certain temps.
Un utilisateur hors ligne commence par le mot de passe par défaut.
Vous pouvez récupérer un mot de passe si un utilisateur hors ligne l’oublie, car les utilisateurs peuvent utiliser la fonctionnalité de récupération locale pour effectuer une récupération.
Considérations relatives à l’utilisation de jetons (autres qu’un mot de passe) pour les utilisateurs hors ligne :
Les mots de passe et les cartes à puce qui prennent en charge l’auto-initialisation peuvent fonctionner en mode hors ligne.
Les cartes à puce qui sont des PKI ne peuvent pas fonctionner car il n’existe pas de système principal pour récupérer les informations nécessaires pour authentifier l’utilisateur.
La prise en charge de la biométrie n’est pas possible.
Autres informations sur la récupération des utilisateurs hors ligne :
Lorsqu’un administrateur désactive la récupération locale, les utilisateurs hors ligne sont verrouillés. S’il existe un autre utilisateur sur le système, celui-ci peut démarrer le système ou connecter le système à ePO. Toutefois, cette alternative nécessite que le système démarre dans Windows.
Lorsque l’utilisateur hors ligne a oublié à la fois son mot de passe et ses réponses de récupération locale, l’utilisateur est désormais verrouillé. S’il existe un autre utilisateur sur le système, celui-ci peut démarrer le système ou connecter le système à ePO. Toutefois, cette alternative nécessite que le système démarre dans Windows.
Si un utilisateur hors ligne est appelé Bob et qu’un utilisateur AD appelé Bob, lorsque Bob passe du mode hors connexion au mode en ligne, qu’arrive-t-il au mot de passe ?
En supposant que AD utilisateur Bob s’est connecté au système au moins une fois, et qu’un ALDU est actif sur la stratégie ePO, Bob est affecté au système une fois que le Bob hors ligne est ignoré.
Remarque : A partir de ce moment-là, l’utilisateur AD Bob peut avoir deux possibilités. Si vous vous connectez au Pre-Boot pour la première fois, Bob possède le mot de passe par défaut. Si ce n’est pas le cas, et si ePO possède déjà des informations d’identification pour Bob, ces informations d’identification d’ePO se trouvent sur le système.
Une stratégie hors ligne est-elle identique à une stratégie définie dans ePO ? Non. Certains paramètres de stratégie requièrent une interaction, par exemple ALDU. Ces paramètres de stratégie ne peuvent pas être utilisés dans une activation hors ligne.
Autres informations générales sur la stratégie hors ligne :
Vous ne pouvez pas mettre à jour la stratégie d’un système activé hors ligne une fois l’activation terminée et une fois qu’elle a été effectuée dans le champ pendant un certain temps. L’activation hors ligne met uniquement en œuvre la première stratégie. Aucune mise à jour n’est possible après l’application de la première stratégie.
Un système rejette tous les utilisateurs hors ligne lorsque le système parvient à communiquer avec le serveur ePO. Elle supprime la stratégie hors ligne et demande à ePO de fournir la stratégie appropriée.
Les paramètres suivants sont disponibles pour une stratégie hors ligne :
Back up the Device Key
Path to the recovery key
Enable temporary autoboot
Enable autoboot
Don’t display the previous user name
Enable SSO
Enable boot manager
PBFS Size
Opal PBFS Size
Require user changes their password
User name must match Windows logon user name
Enable self-recovery
User smart card PIN
Enable USB in preboot
Important : Lorsque l’ordinateur est équipé d’un disque Opal, les activations hors ligne utilisent d’abord le chiffrement Opal. Les préférences OPAL sont codées en dur dans les packages d’activation hors ligne et n’utilisent pas les paramètres de stratégie personnalisés.
Qu’advient -il des clés de chiffrement lors de l’activation hors ligne ?
Lorsque l’administrateur configure le package d’activation hors ligne, une option est disponible pour indiquer si les clés sont enregistrées ou non. La décision d’enregistrer les clés, ainsi que leur emplacement, n’est qu’à la seule discrétion de l’administrateur. Il ne s’agit pas d’un élément que l’utilisateur peut choisir ou manipuler.
Autres faits généraux relatifs à la clé de chiffrement :
Une fois que vous avez reçu la clé chiffrée, un administrateur peut la déchiffrer et exporter les informations au format XML utilisé par les outils DE récupération.
Si vous enregistrez une clé de chiffrement à partir d’un système sur lequel le processus d’activation hors ligne est terminé, vous ne pouvez pas importer la clé dans ePO. Toutefois, vous pouvez stocker toutes vos clés dans un emplacement sécurisé et utiliser ePO pour les déchiffrer et générer les fichiers XML de récupération requis.
Si les clés de chiffrement ne peuvent pas être enregistrées en raison d’une autre erreur, le disque dur du client doit être reformaté. Le processus d’activation hors ligne doit ensuite être redémarré.
La clé de chiffrement n’est pas écrite dans un fichier texte brut sur le disque et la clé de chiffrement est toujours chiffrée. Si un application tiers intercepte la clé, aucune d’entre elles n’est utile, pas plus qu’il n’est possible d’identifier le système auquel il appartient.
Le seul emplacement où la clé de chiffrement pour une activation hors ligne peut être déchiffrée est le serveur ePO qui crée le package hors ligne. Aucun autre serveur ePO ne peut déchiffrer la clé.
Toutes les activations hors ligne n’ont pas la même clé de chiffrement. Lors de la première mise en œuvre de stratégie, la clé de chiffrement est générée. Ce fait permet de s’assurer que toutes les activations hors ligne ont une clé différente.
Autres faits de cas d’utilisation de clé de chiffrement :
Concernant la clé de chiffrement du système dans le cas d’utilisation de la configuration interne :
Il se peut que vous souhaitiez ou non enregistrer la clé. N’oubliez pas que lors de la première connexion au serveur ePO, la clé est chargée. Ce scénario couvre essentiellement les nouveaux systèmes. Il y a peu de données utilisateur à perdre si l’une des situations suivantes se présente :
Un défaut physique est détecté, ce qui provoque le blocage du disque.
Vous n’êtes pas protégé du système.
Remarque : Vous pouvez enregistrer la clé sur un lecteur USB ou sur un partage réseau spécifique en cas de récupération requise.
Concernant les clés de chiffrement du système dans la configuration par un scénario tiers :
Il est probable que vous ne souhaitiez pas enregistrer la clé de chiffrement par la tierce partie. vous pouvez donc spécifier de ne pas enregistrer la clé à un emplacement quelconque.
Avertissement : Si le application tiers copie chaque clé de chiffrement pour tous les systèmes de votre organisation, il est considéré comme un risque de sécurité.
Etant donné que ce scénario couvre essentiellement les nouveaux systèmes, il y a peu de données utilisateur à perdre lorsque l’une des situations suivantes se présente :
Un défaut physique est détecté, ce qui provoque le blocage du disque.
Vous n’êtes pas protégé du système.
En ce qui concerne les clés de chiffrement, où les clés de chiffrement du système ne se connectent jamais à ePO :
Il est probable que vous souhaitiez enregistrer la clé de chiffrement sur un lecteur USB ou un disque dur. Cette étape est facultative et est purement à la discrétion de l’administrateur. Il est ensuite de votre responsabilité de s’assurer que la clé de chiffrement est transportée en toute sécurité vers ePO à des fins de conservation. Ce transport peut être réalisé en fonction de tout mécanisme approuvé par votre organisation pour les clés de chiffrement. Une fois que l’administrateur ePO dispose d’une copie de la clé enregistrée, il peut être utilisé à des fins de récupération.
Qu’est-ce qui est inclus dans le système de fichiers Pre-Boot (système PBFS) ?
SYSTÈME PBFS contient toutes les informations nécessaires pour fournir à l’utilisateur la possibilité de s’authentifier. Ces informations incluent, sans s’y limiter, les éléments suivants :
Les fichiers nécessaires à l’environnement de pré-amorçage.
Fichiers de langue pour toutes les langues client prises en charge.
Polices pour afficher les caractères de toutes les langues prises en charge.
Thème affecté au client.
Les utilisateurs affectés au client.
Autres faits système PBFS :
Si vous déployez sur un client et augmentez la taille de la système PBFS dans la stratégie par la suite, la taille du système PBFS ne change pas sur le client déployé. Le paramètre de taille système PBFS est appliqué uniquement lorsque la système PBFS est créée ou créée à nouveau pendant une procédure de récupération.
Il est possible de créer et de personnaliser des thèmes de pré-amorçage dans ePO.
Vous ne pouvez pas appliquer pendant le Pre-boot un clavier anglais lors DE 7.x la première installation de sur un système d’exploitation non anglais. La raison est que, par défaut, le programme d’installation affiche le clavier localisé associé au système d’exploitation Windows localisé sur lequel le produit est installé.
Combien de temps faut-il pour qu’un nouvel utilisateur soit disponible dans système PBFS ?
Il n’y a aucune brève réponse à cette question. Les scénarios suivants essaient de couvrir les situations les plus courantes :
Scénario 1
Si un seul utilisateur non initialisé est affecté à un système, un seul intervalle de communication agent-serveur est requis, étant donné que l’utilisateur est vérifié via la tâche de synchronisation LDAP EE d’ePO.
Remarque : Un utilisateur non initialisé est un utilisateur qui ne s’est jamais connecté à un système DE. Par conséquent, aucune donnée de jeton n’est présente pour cet utilisateur.
Scénario 2
Si un nouvel utilisateur non initialisé est ajouté à un système auquel des utilisateurs sont déjà affectés, il peut être nécessaire d’avoir deux ASCI avant que l’utilisateur ne soit entièrement disponible dans le système PBFS.
Scénario 3
Si un utilisateur initialisé vient d’être ajouté à un système qui a peut-être déjà été affecté ou non des utilisateurs, deux ASCI sont requis jusqu’à ce que l’utilisateur soit entièrement disponible dans le système PBFS. La raison en est que les données de jeton de cet utilisateur sont déjà initialisées.
En résumé, lorsqu’un utilisateur est affecté à un système, les stratégies de ce système sont incrémentées. Au cours de la mise en œuvre de stratégie, un événement de demande de données utilisateur est déclenché. Lorsque ePO renvoie cet événement, tous les utilisateurs qui ont été affectés sont vérifiés et téléchargés sur le client.
Pour un utilisateur non initialisé, où il n’existe aucune donnée de jeton, l’événement secondaire n’est pas nécessaire pour extraire toutes les données utilisateur requises vers le bas, et dans système PBFS. Comme pour les autres scénarios, elle nécessite deux événements pour rendre un utilisateur pleinement disponible dans système PBFS.
De plus, si le client utilise l’option de stratégie ALDU, il se peut qu’un 2.5 délai ASCI soit déclenché. Cet événement se produit lorsque la demande ALDU n’a pas répondu à. En cas de dépassement de ce délai, une nouvelle mise en œuvre de stratégie est requise pour charger les données utilisateur à des fins de vérification.
Quelles sont les exigences DE 7.x thème personnalisées ?
Créez le thème personnalisé en fonction des exigences suivantes :
Une image doit avoir des dimensions 1024 x 768
Le format du fichier doit être. PNG
La taille du fichier doit être d’environ 600 Ko
Remarque : Pour les utilisateurs effectuant une mise à niveau à partir de EEPC 6.x , un nouveau thème par défaut est fourni dans le cadre de 7.1.x. de si vous utilisez des thèmes personnalisés avec EEPC 6.x , recréez vos thèmes personnalisés à partir du thème de 7.1.x par défaut après la mise à niveau. Cette approche permet de s’assurer que l’interface utilisateur correcte est affichée et que le son correct est audible. Si tel n’est pas le cas, l’affichage de l’interface utilisateur EEPC 6.x et l’audio EEPC 6.x sont utilisés. Les utilisateurs qui souhaitent déployer le nouveau thème par défaut sur tous leurs postes clients existants ou ont leur propre thème personnalisé doivent suivre la procédure décrite dans la DE 7.1 notes de publication. Ces étapes permettent de s’assurer qu’ils utilisent le bon thème au cours de l’PBA.
Qu’est -ce que PBSC ?
PBSC est une fonctionnalité de DE qui effectue plusieurs vérifications de la compatibilité matérielle au pré-amorçage. Les vérifications permettent de s’assurer que l’environnement DE pré-amorçage peut fonctionner correctement sur un système. Il teste les zones qui ont été identifiées pour provoquer des problèmes d’incompatibilité dans le précédent.
Autres faits généraux PBSC :
L’objectif de PBSC est d’aider à fournir un déploiement en toute simplicité du chiffrement complet des disques, ce qui est possible grâce à la recherche des conditions d’erreur courantes dans l’environnement de pré-amorçage. Si les vérifications ne sont pas activées, la productivité peut être affectée lorsque des problèmes de déploiement peuvent verrouiller les utilisateurs hors du système. PBSC désactive en cas de problème, et permet au système de revenir à l’authentification Windows uniquement.
La fonctionnalité PBSC n’est pas activée par défaut, car elle introduit un ou plusieurs redémarrages du système pour le processus d’activation. Certains clients acceptent cette situation, alors que d’autres ne le sont pas.
Lorsque PBSC détecte un problème, par exemple un échec de chargement du Pre-boot ou un problème de remise à Windows, le système redémarre automatiquement ou l’utilisateur doit forcer le redémarrage du système. Cela permet à PBSC d’essayer un autre ensemble de configurations de compatibilité pour résoudre le problème. Si une configuration fonctionne, et que le système démarre dans Windows, l’option DE devient entièrement activée et la stratégie DE chiffrement est mise en œuvre.
Si toutes les configurations DE compatibilité ont été tentées et que des problèmes irrécupérables sont détectés, le Pre-boot est contourné. Dans ce cas, le système démarre dans Windows et DE est désactivé. A ce stade, un audit est envoyé à ePO, qui alerte l’échec, et les activations ultérieures sur le système sont bloquées.
Lorsqu’un système réussit le PBSC, il active la stratégie DE chiffrement et met en œuvre la stratégie DE chiffrement.
Que se passe-t-il si un système ne parvient pas à PBSC ?
Si un système ne parvient pas à PBSC, il n’active pas DE. Ainsi, la désactivation (et le chiffrement, si défini dans la stratégie) ne se poursuit pas et le système "restaure" à l’authentification par Windows.
Autres faits généraux relatifs à l’échec de PBSC :
Pour un système qui continue de s’exécuter via PBSC, l’administrateur ePO peut uniquement voir que le système n’est pas activé et qu’il n’est pas chiffré.
Ils peuvent consulter le journal des audit pour obtenir la progression de la dernière synchronisation du système avec ePO.
L’administrateur peut voir qu’un système n’est pas activé, car l’échec est audité.
Pour qu’un administrateur puisse constater qu’un système a échoué au PBSC, affichez le journal audit du système.
Si un système échoue PBSC, il continue de tenter d’activer la mise en œuvre DE la stratégie suivante. Toutefois, l’activation est immédiatement abandonnée. Toutes les activations suivantes sont immédiatement abandonnées jusqu’à ce que l’une des situations suivantes se produise :
Vous désactivez PBSC de la stratégie.
Vous supprimez la valeur de Registre suivante : Software\McAfee Full Disk Encryption\MfeEpePc\SafeFailStatus\Status.
Remarque : De plus, une solution temporaire consiste à configurer une réponse automatique dans ePO en fonction de l’ID d’événement. De cette manière, lorsqu’un événement arrive dans ePO (l’événement qui indique l’échec de PBSC), ePO peut affecter automatiquement une nouvelle stratégie à ce système. Cette stratégie est configurée pour désactiver les tentatives d’activation ultérieures et donc arrêter les futures tentatives d’activation. Pour plus d’informations, consultez la documentation ePO.
Comment puis-je savoir si PBSC modifie la configuration ? Ces informations ne sont pas affichées de 7.1. manière transparente pour l’utilisateur et sont automatiquement exécutées.
Si le PBSC n’a apporté aucune modification et que le système est en bon état, indique-t-il que je peux désactiver cette vérification à des fins de déploiement ?
C’est à la discrétion des clients qu’ils souhaitent désactiver la vérification. Toutefois, la variabilité est commune aux systèmes qui ont le même numéro de modèle. Par exemple, un utilisateur a peut-être été rendu dans le BIOS et a modifié ses paramètres USB.
Les modifications apportées aux paramètres USB peuvent avoir une incidence sur l’intégration avec ce BIOS. donc, conserver PBSC ajoute de la valeur ici. Toutefois, si vous utilisez des mots de passe BIOS pour empêcher vos utilisateurs d’apporter de telles modifications, il est peut-être sûr de ne pas utiliser PBSC.
Remarque : La version AMT fait partie des informations qu’un administrateur peut afficher sur un ordinateur. Les informations assemblées sont renvoyées à ePO Deep Command.
Autres informations générales sur Intel AMT :
Un administrateur peut apprendre à déterminer s’il peut utiliser la fonctionnalité Intel AMT sur un système particulier. Pour cela, il vous suffit d’afficher les propriétés système dans ePO. Dans ePO, vous pouvez voir les informations AMT relatives à ce système spécifique. la fonctionnalité découverte et génération de rapports d’ePO Deep Command (Free) fournit également ces informations pour tous les systèmes managés dans ePO et les affiche dans un tableau de bord. Pour être compatible avec DE, Deep Command doit signaler le statut AMT comme post-configuration. DE plus, la version 6.0 ou une version ultérieure de doit être AMT.
Processus de transfert des informations Intel AMT relatives à un système vers ePO.
Tout d’abord, vous devez installer les extensions Deep Command, y compris les extensions de génération de rapports et de découverte, et archiver les packages sur le serveur ePO.
Vous devez déployer les packages Deep Command sur les clients, ce qui revient à indiquer si AMT est activé. En outre, si le système est activé, le client renvoie les informations sur les fonctionnalités AMT prises en charge.
Deep Command ajoute une tâche serveur de planification à ePO, qui marque automatiquement les systèmes avec AMT. Cette tâche est planifiée pour s’exécuter tous les jours et peut être modifiée. Pour plus d’informations, reportez-vous à la documentation d’ePO Deep Command.
Si le système n’a pas activé AMT, reportez-vous au tableau de bord synthèse de la découverte et génération de rapports pour obtenir les informations de prise en charge AMT à partir d’un client.
Combien de types d’actions Intel AMT peuvent être mis en file d’attente sur un système ?
Il existe deux types :
Actions transitoires
Actions
permanentes
Exemples d’actions permanentes et transitoires :
L'
action transitoire est une action qui a été exécutée x fois, puis supprimée de la file d’attente des actions. Voici quelques exemples :
Réinitialiser un mot de passe utilisateur
Déverrouiller le nombre de fois x
Déverrouiller à partir de jusqu’à
Démarrage d’urgence
Restaurer MBR
L' actionpermanente est une action qui reste dans la file d’attente des actions, jusqu’à ce qu’elle soit supprimée par l’administrateur.
Déverrouiller la planification
Déverrouiller définitivement
Autres faits permanents et transitoires :
Pour chaque action Intel AMT, vous pouvez uniquement affecter les éléments suivants en une seule fois :
Un système ou un utilisateur pour un maximum d’une action transitoire.
Une action permanente.
Vous ne pouvez avoir qu’une seule action temporaire Intel AMT et une seule action permanente. Il s’agit d’une décision de conception prise pour la première mise en œuvre de l’intégration avec Intel AMT. Si d’autres cas d’utilisation se produisent, cette décision peut être revisitée. L’architecture sous-jacente est conçue pour gérer davantage d’actions si nécessaire.
Quelle est la signification de l’accès local initié par le client (CILA) et du Accès à distance (CIRA) initiée par le client par rapport à Intel AMT ?
La définition des paramètres locaux et distants est définie dans le cadre du processus de configuration AMT.
CILA est une demande AMT d’une adresse réseau interne.
CIRA est une demande AMT d’une adresse réseau distante.
Remarque : Par défaut, le paramètre de stratégie par défaut pour CIRA est désactivé. Cette décision est un autre qui a été conscient par l’équipe de développement de produits de protéger les clients contre les expositions accidentelles.
CIRA est pris en charge et doit être activé explicitement. La désactivation de CIRA signifie que si un gestionnaire d'agents est exposé à Internet, il ne peut répondre à aucune demande AMT. L’équipe de développement de produits considère que les clients doivent décider s’ils souhaitent activer cette fonctionnalité.
Lorsque j’observe un Wakeand Patch (Remote Unlock) ou Contextual Security (Unlock) sur un client, l’environnement Pre-boot semble attendre environ 20 secondes avant de continuer à démarrer dans le système d’exploitation ; est-ce normal ?
De nombreux facteurs sont utilisés pour déterminer la durée du délai d’attente en dernier. La vitesse du réseau et de la charge de travail du serveur ePO sont deux facteurs possibles. Il existe un problème connu dans le micrologiciel AMT, ce qui peut entraîner un délai de 20 secondes avant que les événements CILA ne quittent le terminal. L’effet de ce problème sur DE est qu’il peut prendre plus de 20 secondes pour qu’un déverrouillage hors bande se produise dans un environnement CILA. Nous recherchons ce problème. Pour examiner d’autres 7.1 problèmes connus, reportez-vous à la section KB84502-Drive Encryption 7.x problèmes connus.
Quelles sont les stratégies et les paramètres Deep Command requis pour la procédure de 7.1 l’intégration ?
ePO Deep Command 1.5.0 et les stratégies Intel AMT sont obligatoires, ce qui garantit que les éléments suivants sont correctement configurés dans les stratégies :
Accès à distance doit être activé.
CILA doit être activé. Le gestionnaire d'agents correct doit être sélectionné.
Pour le type de connexion, le BIOS et le système d’exploitation doivent être sélectionnés.
Si vous souhaitez activer CIRA, assurez-vous de configurer les éléments suivants :
Suffixe de domaine Domestique
Gestionnaire de l'agent zone démilitarisée
Autoriser le tunnel initié par l’utilisateur
Quels sont les scénarios de premier usage mis en œuvre dans de à l’aide d’Intel (AMT) et d' 7.1.x ePO Deep Command ? Les quatre premiers cas d’utilisation implémentés dans DE 7.1.0 sont les suivants :
Qu’est-ce que le cas d' utilisation réinitialiser le mot de passe ?
Cette fonctionnalité utilise Intel AMT pour envoyer de nouvelles données de jeton à un client. Dans ce cas d’utilisation, un utilisateur démarre son système, mais oublie son mot de passe. Ils peuvent appeler un service d’assistance ou un administrateur et demander à ce qu’ils réinitialisent le mot de passe. L’administrateur crée un mot de passe à usage unique qui fait l’objet d’un push via Intel AMT sur le client lors du Pre-Boot. L’utilisation d’Intel AMT est une alternative plus rapide pour la réinitialisation d’un mot de passe que pour la méthode de réponse ou de Challenge longuement établie.
Autres faits généraux de réinitialisation du mot de passe :
Voici les principales étapes du cas d’utilisation du mot de passe de réinitialisation :
L’utilisateur démarre son ordinateur, ne parvient pas à se connecter et appelle le service d’assistance.
L’utilisateur accède à la section récupération dans l’environnement Pre-Boot et fournit à l’utilisateur du support technique son nom d’utilisateur ePO.
L’opérateur du support technique recherche dans ePO le système utilisé par l’utilisateur.
L’utilisateur du support technique utilise la fonctionnalité Intel AMT pour réinitialiser son mot de passe à l’aide d’un mot de passe à usage unique temporaire.
Pour que le système spécifié puisse recevoir les nouvelles données de jeton, ePO écrit l’élément dans la file d’attente de travaux. L’environnement Pre-boot lit la file d’attente de travaux et extrait la clé à l’aide de la pile réseau fournie par Intel AMT.
Le client reçoit de nouvelles données de jeton et quitte automatiquement l’écran de récupération et revient à l’écran du mot de passe. Ce fait indique à l’utilisateur que le nouveau mot de passe est reçu. De plus, l’utilisateur entend un bip pour indiquer que les nouvelles données de jeton sont reçues.
L’utilisateur s’authentifie ensuite avec son mot de passe à usage unique et définit un nouveau mot de passe.
Actions requises lorsqu’un utilisateur requiert une réinitialisation du mot de passe : pour identifier le système sur lequel se trouve l’utilisateur, l’utilisateur sur le client, dans l’environnement Pre-boot, doit passer à l’écran de récupération. Dans l’écran récupération, ils peuvent afficher l’ID d’ordinateur et le nom de l’ordinateur. Ils peuvent fournir ces informations à l’administrateur ou au support technique et trouver l’ordinateur dans ePO. Cette procédure est nécessaire car les actions Intel AMT fonctionnent sur des systèmes plutôt que sur des utilisateurs.
Autres faits de rôle administrateurde réinitialisation de mot de passe :
Lorsqu’un administrateur doit vérifier si une modification est réussie ou si elle ne semble pas fonctionner, l’administrateur peut trouver les informations dans le AMTService.log fichier.
REMARQUES :
Un événement n’est pas généré dans ePO, car il n’existe aucune API ePO pour générer un événement à partir du gestionnaire d'agents.
L’administrateur peut trouver le AMTService.log fichier sur le serveur ePO à l’adresse <ePO_Install_folder>/<Agent_Handler_Install_Folder>\DB\Logs\AMTService.log . Il est également collecté dans le cadre du MER serveur.
Les éléments suivants ne sont pas recommandés lorsqu’un administrateur souhaite identifier le système utilisé par l’utilisateur. L’administrateur peut envoyer la commande Intel AMT à tous les systèmes auxquels l’utilisateur a accès.
Motivation
Supposons que l’utilisateur peut accéder à deux ordinateurs portables.
Ils démarrent l’ordinateur portable-1 et reçoivent l’instruction de modification de leur mot de passe.
Ils passent par le processus et démarrent Windows.
Ils activent désormais l’ordinateur portable-2, qui reçoit également la demande de modification du mot de passe.
Leurs données de jeton sont mises à jour vers la mot de passe à usage unique et elles sont invitées à les modifier à nouveau.
En théorie, ce qui précède peut fonctionner dans un environnement contrôlé ou lorsque l’utilisateur en a connaissance.
Autre expérience utilisateur de réinitialisation du mot de passe :
Lorsque l’administrateur utilise la fonctionnalité Intel AMT pour modifier le mot de passe de l’utilisateur, l’utilisateur sait que le nouveau mot de passe de récupération a été fourni au client. Si l’utilisateur est assis sur l’écran de récupération, il voit que l’écran récupération disparaît. Peu de temps après, il est remplacé par l’écran de connexion. Cette indication confirme que les informations relatives au nouveau mot de passe sont reçues.
Remarques : Lorsque les nouvelles données de jeton sont reçues, l’utilisateur entend un bip.
Qu’est-ce que le cas d’utilisation de la sécurité contextuelle ?
Le cas d’utilisation de la sécurité contextuelle (également appelé reconnaissance de l’emplacement) est une nouvelle fonctionnalité d’authentification dans l’environnement DE pré-amorçage. Il permet aux systèmes de s’authentifier sans intervention de l’utilisateur. Au lieu de demander des informations d’identification à un utilisateur, l’environnement Pre-boot utilise Intel AMT pour établir une connexion réseau à ePO. Ensuite, l’environnement Pre-boot récupère une clé qu’il utilise pour s’authentifier dans l’environnement Pre-boot, puis démarre l’ordinateur dans le système d’exploitation. L’environnement Pre-Boot et ePO permet de déterminer si le système se trouve au bureau ou se connecte via Internet. La sécurité contextuelle permet aux administrateurs de configurer des systèmes pour qu’ils s’authentifient automatiquement via ePO et se remontent au bureau. Cependant, lorsque le système est absent du bureau, il affiche l’écran d’authentification Pre-Boot.
Voici quelques exemples d’utilisation où la sécurité contextuelle est utile :
Les clients qui ne souhaitent pas afficher l’environnement de pré-amorçage pendant que leurs utilisateurs se trouvent au bureau, ils l’affichent lorsqu’ils sont en dehors du bureau ou en cas de perte ou de vol du système.
Chiffrez un système qui se trouve toujours au bureau. N’affectez pas l’utilisateur aux notions de Pre-Boot et demandez-lui de s’authentifier automatiquement via ePO et AMT. Cependant, affichez l’option Pre-boot si l’ordinateur est volé à partir du bureau.
Les clients qui ont partagé des ordinateurs utilisés par de nombreuses personnes, par exemple dans une salle de réunion ou une salle de formation, ou sur des ordinateurs portables et de bureau dans un environnement hospitalier.
Les clients souhaitant supprimer les problèmes de synchronisation des mots de passe n’affichent jamais l’option Pre-Boot. Mais, lorsqu’ils disposent d’une protection, en cas de perte ou de vol de l’ordinateur, les utilisateurs s’authentifient pour la première fois au Windows. De même s’il est en arrière-plan, l’authentification s’authentifie automatiquement via ePO et AMT.
Comment la sécurité contextuelle fonctionne-t-elle ?
Lorsque le Pre-boot démarre, il tente de contacter ePO et demande l’autorisation de démarrer. ePO est sous contrôle et décide si la clé de déverrouillage doit être renvoyée. Si le client ne peut pas contacter ePO, ou si ePO ne parvient pas à renvoyer la clé de déverrouillage au client, l’environnement Pre-boot est affiché. L’écran Pre-boot reste affiché pendant qu’il attend qu’un utilisateur s’authentifie correctement. Si ePO envoie la clé de déverrouillage, l’ordinateur est déverrouillé. Les clés de déverrouillage sont envoyées au client via un canal sécurisé, sécurisé par le matériel AMT.
Autres faits de sécurité contextuels :
L’authentification de sécurité contextuelle se produit réellement sur le client, mais les informations proviennent d’ePO.
La sécurité contextuelle ne contourne pas l’environnement Pre-Boot. L’environnement Pre-boot est toujours actif. L’environnement Pre-boot continue à s’arrêter et à démarrer le système d’exploitation lorsqu’une authentification réussie se produit. Dans ce cas d’utilisation, l’authentification provient d’ePO.
SSO ne fonctionne pas dans ce cas d’utilisation de sécurité contextuelle, car l’authentification au Pre-boot est effectuée sur l’ordinateur et non pas sur un utilisateur. Parce que DE ne sait pas quel utilisateur se connecter, il ne peut pas relire les données SSO capturées.
Avec la sécurité contextuelle, l’utilisateur ne doit se connecter qu’une seule fois. Dans ce cas, l’authentification utilisateur a lieu à l’invite Windows et non l’invite DE Pre-Boot.
L’utilisation de la sécurité contextuelle signifie que l’utilisateur se connecte simplement à Windows avec son dernier mot de passe Windows. Ce fait peut supprimer toute préoccupation concernant la synchronisation des mots de passe pour les utilisateurs qui utilisent continuellement cette fonctionnalité.
Avec un utilisateur mobile qui consacre du temps à l’extérieur et à l’extérieur, ces utilisateurs ont besoin de leurs informations d’identification pour s’authentifier au Pre-boot lorsqu’ils ne sont pas au bureau.
L’ordinateur démarre automatiquement en Windows, dans la mesure où ePO renvoie une réponse positive. Il démarre automatiquement le système d’exploitation après le traitement de la réponse.
Si un ordinateur est volé lors de l’utilisation de la sécurité contextuelle, il affiche l’environnement Pre-Boot. L’environnement Pre-boot est indiqué, car le système ne peut pas communiquer avec ePO et attend qu’un utilisateur s’authentifie.
Le cas d’utilisation le plus inexceptionnelle est d’utiliser uniquement cette fonctionnalité pour les ordinateurs de bureau ou les ordinateurs portables qui ne quittent pas le réseau du bureau.
Autres faits de rôle d’administrateur de sécurité contextuel :
Pour que les administrateurs puissent activer la fonctionnalité de sécurité contextuelle, ils doivent effectuer les opérations suivantes :
Spécifier la durée du déverrouillage, soit de manière permanente, soit à une planification
Remarque : Un administrateur peut également décider si l’action est exploitable pour les ordinateurs locaux ou distants.
Lorsqu’un administrateur reçoit des plaintes d’un utilisateur qui, de temps en temps, la sécurité contextuelle ne fonctionne pas, pour vérifier que sur le serveur ePO, examinez le fichier’AMTService. log'. Ce fichier est restauré et présente une limite de taille de fichier (la limite de taille par défaut est définie à l’aide d’une commande Deep. Le paramètre est configurable).
Lorsque l’administrateur Active la fonctionnalité de sécurité contextuelle, elle peut l’activer de manière permanente ou pendant une période définie.
Pour l’option période définie, un administrateur peut spécifier l’un des éléments suivants :
Un ou plusieurs redémarrages
De date/heure de début à date/heure de fin
Planification hebdomadaire des heures bloquées ou disponibles
Pour les utilisateurs mobiles, il est préférable de toujours mettre en œuvre l’authentification Pre-boot, car techniquement, un utilisateur ne se connecte pas au Pre-boot dans ce cas d’utilisation. DE ne sait pas si les mises à jour de mots de passe sont en cause, car il ne sait pas quel utilisateur Pre-boot doit appliquer les mises à jour de mot de passe.
Lors de l’utilisation de la sécurité contextuelle, le système reste dans l’environnement Pre-Boot. Il effectue une nouvelle tentative toutes les cinq minutes, si le serveur ePO est occupé et ne peut pas répondre au système.
Si le système ne parvient pas à accéder à ePO lors de la première tentative, il tente à nouveau de le faire. Il tente de contacter ePO toutes les cinq minutes. Ce comportement est vrai pour les demandes CILA (locales). Cependant, pour les demandes CIRA (distantes), l’ordinateur contacte uniquement ePO une seule fois. Si aucune réponse n’est reçue, le système doit être redémarré pour pouvoir contacter ePO à nouveau.
Le serveur ePO n’est plus disponible et le client ne peut pas contacter le serveur ePO. Si l’utilisateur ne connaît pas ses informations d’identification de pré-amorçage, il se bloque dans l’environnement de pré-amorçage. Sa seule option est d’appeler le support technique et d’effectuer une récupération du système avec le processus de demande d’authentification et de réponse.
Lorsque CIRA est activé, cela signifie qu’un système qui ne se trouve pas sur le réseau ne peut pas démarrer automatiquement. DE n’indique aucune décision concernant l’affichage de PBA. Si l’option DE’DE' Out of Band management' est activée, la fonction de tente d’envoyer un appel pour obtenir de l’aide.
La puce AMT vérifie ensuite l’environnement et s’aperçoit si celui-ci est branché sur le réseau distant ou local.
Réseau local : Il publie un CILA sur le serveur ePO.
Réseau distant : Si un serveur CIRA est spécifié, il tente de s’y connecter de manière sécurisée.
PBA se déverrouille et passe à Windows si les conditions suivantes sont vraies :
Un appel de CILA ou CIRA entraîne la réussite de la connexion avec le serveur.
Le serveur envoie la clé de chiffrement.
Sinon, si aucune clé n’est reçue, elle reste à PBA.
Autre expérience utilisateur de la sécurité contextuelle :
Exemple d’utilisation de cas :
Les actions entreprises par les utilisateurs lorsqu’ils utilisent un système de bureau dans le bureau avec la fonctionnalité de sécurité contextuelle. Ils n’ont jamais eu besoin de se connecter au Pre-boot auparavant, mais ils voient ensuite l’écran Pre-Boot et ne savent pas leurs informations d’identification. Les utilisateurs de ce type disposent de plusieurs options, comme indiqué ci-dessous :
Tout d’abord, il peut attendre cinq minutes pour que la tentative suivante puisse contacter ePO. Cela est vrai, car il s’agit d’une demande CILA (locale).
Ensuite, ils peuvent désactiver et réactiver leur système. Ainsi, l’environnement Pre-boot contacte immédiatement ePO lorsqu’il redémarre.
Enfin, ils peuvent toujours s’authentifier en entrant le nom d’utilisateur et le mot de passe d’un autre utilisateur connu qui peut s’authentifier au Pre-Boot.
Qu’est-ce que le cas d' Wake and Patch (Remote Unlock) utilisation ? Ce cas d’utilisation couvre la nécessité d’une planification wake and patch urgente ou régulière des ordinateurs. Ces ordinateurs sont arrêtés et doivent être réveillés pour que la mise à jour puisse leur être appliquée. Les Wake and Patch (Remote Unlock) cas d’utilisation sont similaires aux cas d’utilisation de la sécurité contextuelle. Les questions suivantes déjà traitées pour la sécurité contextuelle s’appliquent également à Wake and Patch (Remote Unlock l’option :
Comment cela fonctionne-t-il ?
Est-ce le contournement de l’environnement Pre-Boot ?
Si je était un utilisateur debout à l’avant de l’ordinateur, est-il possible de démarrer automatiquement dans Windows ?
SSO fonctionne-t-il dans ce cas d’utilisation ?
Que se passe-t-il si ePO est occupé et ne peut pas répondre au système ?
Si le système ne parvient pas à accéder à ePO lors de la première tentative, est-il réessayé ?
Comment un administrateur peut-il activer cette fonctionnalité ?
Cette fonctionnalité peut-elle être définie de manière permanente ou uniquement pour une période spécifique ?
L’authentification a-t-elle réellement lieu sur le client et les informations proviennent d’ePO ?
Autres Wake and Patch (Remote Unlock) informations générales :
Lorsque le serveur ePO est occupé et ne répond pas après une demande Wake on LAN, le système client reste dans l’environnement Pre-Boot et refait une tentative toutes les cinq minutes. Bien que cela soit valable pour les demandes CILA (local), pour les demandes CIRA (à distance), l’ordinateur ne contacte qu’une seule fois ePO. Si aucune réponse n’est reçue, le système doit être redémarré pour qu’il contacte le serveur ePO.
Pour accéder à un système périodiquement, il doit être configuré pour envoyer les messages CIRA à l’aide de l’horloge d’alarme. La fonctionnalité réveil d’alarme bascule sur le système à l’heure spécifiée.
Autres informations sur les Wake and Patch (Remote Unlock) rôles d’administrateur :
Un administrateur peut voir le nombre de systèmes dans Windows pour le Wake and Patch (Remote Unlock) processus. Les résultats peuvent être vus via la requête Evénement client produit de produit avec un filtre approprié. Les résultats dépendent des systèmes qui ont communiqué avec le serveur ePO pour envoyer les informations audit.
Un administrateur ne peut pas déterminer quels systèmes ne le font pas au pré-amorçage lors de l’utilisation de la Wake and Patch fonctionnalité. Etant donné que le système ne démarre pas dans Windows, il n’y a aucune entrée dans la 'DE: Product Client Event' requête.
Un administrateur peut échelonner le Wake and Patch (Remote Unlock) ou l’intervalle de contact pour ePO. Un administrateur doit échelonner la commande ou la Deep Command Power On demande Wake on LAN équivalente.
Les systèmes sont mis sous tension lorsqu’ils sont corrigés dans l’environnement CILA (local) (lorsque l’action est initiée par le serveur). Dans d’autres cas, le client contacte ePO ; Par conséquent, il peut être considéré comme étant activé, car il contacte le serveur ePO.
Qu’est-ce que le cas d’utilisation de la Correction à distance ?
Cette fonctionnalité offre aux administrateurs la possibilité d’effectuer un démarrage d’urgence ou DE remplacer l’MBR sur un système client via AMT. Cela n’a pas besoin de toucher physiquement l’ordinateur. Cela permet à un administrateur de résoudre un problème sur un système client qui est un demi-monde.
Exemple d’utilisation du cas 1 :
Un administrateur de Santa Clara tente d’exécuter un démarrage d’urgence sur un utilisateur situé au Japon. L’utilisateur a besoin d’une récupération urgente avant toute réunion importante.
L’utilisation de ce processus ne nécessite aucune intervention de l’utilisateur. Ils peuvent simplement vous surveiller pour réparer leur système client, qui est valable pour CILA. Pour CIRA, il échoue initialement, mais une fois que le système se connecte via CIRA, il est traité sur.
Remarque : Le temps nécessaire à la correction à distance dans l’exemple ci-dessus dépend en grande partie de la vitesse du réseau. Lorsqu’il a démarré sur l’image, la durée de l’amorçage d’urgence est la même que celle effectuée manuellement. Elle suit en fait le même processus, mais de manière automatisée.
Exemple d’utilisation du cas 2 :
Le processus de correction à distance a réussi et l’utilisateur accède à Windows. L’utilisateur peut donner sa présentation, mais ne dispose d’aucune connexion au serveur ePO de l’entreprise.
Dans ce cas, l’utilisateur doit repasser le processus lorsqu’il redémarre son client. Si l’environnement Pre-boot est endommagé, le client aurait dû être amorcé de façon urgente. Il ne peut pas être réparé tant que le client ne parvient pas à communiquer avec le serveur ePO.
Comment la correction à distance fonctionne-t-elle ? A un niveau élevé, une image disque de petite taille ( 1.44 Mo, mais uniquement 300K) est diffusée via le système client. Lorsqu’il est reçu sur le client, il redémarre et démarre à l’aide du réseau de démarrage à partir de l’IDE-R. L’image exécute alors les actions de correction nécessaires et démarre le processus pour démarrer Windows.
Autres faits généraux relatifs à la correction à distance :
La correction à distance fonctionne uniquement sur les ordinateurs à l’aide d’un processus de démarrage du BIOS.
La fonctionnalité de correction à distance ne fonctionne pas dans un environnement UEFI. La redirection IDE ne fonctionne pas dans UEFI et cette fonctionnalité est requise pour la correction à distance.
Les actions possibles pour la correction à distance sont les suivantes :
Effectuez un démarrage d’urgence.
Remplacez le MBR.
Autres faits de rôle administrateur de correction à distance :
Pour utiliser la fonctionnalité de correction à distance, un administrateur sélectionne un ou plusieurs systèmes, puis sélectionne l’action « hors bande – correction ». Enfin, l’administrateur spécifie'démarrage d’urgence'ou 'restaurer l’MBR Endpoint Encryption'avant de cliquer sur OK.
Les informations suivantes s’appliquent à un administrateur pour recevoir des notifications de la progression de la correction à distance :
L’administrateur est informé uniquement de la date de début et de fin de l’opération.
Une fois l’opération terminée, l’administrateur est informé de la réussite de l’opération.
Le journal des audit sur le client est renvoyé à ePO uniquement au cours de l’intervalle de communication agent-serveur suivant.
L’administrateur peut exécuter une requête sur les événements client pour rechercher les clients présentant un événement de déverrouillage.
Un administrateur remplace le MBR, si l’une des conditions suivantes est valide :
Un produit tiers remplace accidentellement le MBR, tandis que le système est chiffré.
Si le système est infecté par un virus MBR.
Pour les deux versions ci-dessus, vous devez réintégrer le système à Windows afin que toute autre correction puisse avoir lieu.
Lors de la sélection d’une correction, un administrateur peut sélectionner une image de disque spécifique. Il existe différentes images pour le démarrage du BIOS et la correction Opal et non-Opal.
L’option automatique est l’option par défaut et celle que vous devez toujours utiliser, sauf indication contraire. L’option automatique utilise les informations reçues du client pour sélectionner l’image correcte. Si les informations ne sont pas disponibles, la correction n’est pas effectuée. Cette option vous permet de spécifier l’image exacte qui est envoyée à l’ordinateur.
Important : Si l’administrateur sélectionne une image de disque incorrecte pour le client, lorsque l’image est sélectionnée manuellement, l’interface utilisateur indique que vous pouvez potentiellement endommager le disque en utilisant la mauvaise image. Cette option est ajoutée pour l’événement lorsque le fournisseur de chiffrement ou le type de BIOS n’est pas disponible.
Autres faits d’expérience utilisateur de correction à distance :
Notification de la progression de la correction à distance à l’utilisateur : un message s’affiche à l’écran lorsque l’image est téléchargée et que le processus de correction démarre.
Remarque : Lors du téléchargement de l’image sur le client via AMT, dans certains cas, vous pouvez voir un glyphe clignotant dans le coin supérieur droit de l’écran. Cette lumière indique que AMT reçoit du trafic réseau. Où encore, la durée dépend en grande partie du trafic et de la vitesse du réseau. Si le réseau est rapide, l’utilisateur peut voir Windows charge soudainement.
Lorsqu’une correction à distance est effectuée, il se peut qu’un utilisateur ne voit pas le glyphe clignotant. Cette fonctionnalité est uniquement incluse dans AMT version 7. Par conséquent, si vous avez la version 6 AMT, vous ne voyez pas cette dernière.
Lorsqu’un utilisateur effectue une correction à distance, qu’il est à court de temps et doit quitter son emplacement actuel, il n’est pas nécessaire de relancer l’ensemble du processus. Cela s’explique par le fait que le processus recommence automatiquement. Lorsque l’administrateur ajoute la demande de correction à distance, elle se place dans la file d’attente des actions jusqu’à ce qu’elle soit terminée, ou l’administrateur la supprime. Par conséquent, il tente d’effectuer la correction à chaque fois que vous changez de client jusqu’à ce qu’il réussisse.
Comment la correction à distance a-t-elle été lancée sur le client lorsqu’elle est locale ?
Voici une vue d’ensemble du processus lorsque le système client est connecté au réseau de l’entreprise local :
L’utilisateur démarre le système et constate qu’il ne fonctionne pas.
L’utilisateur appelle l’administrateur et lui demande de l’aide.
L’administrateur sélectionne l’action de correction appropriée et l’action commence immédiatement à traiter. Cette action est également connue sous le nom de Server Initiated Local Access (SILA .
Si le système client est détecté et qu’il est possible de se connecter à, la redirection démarre et répare automatiquement le système.
Toutefois, si le système client est introuvable sur le réseau local, l’action échoue et l’état reste en attente dans la file d’attente. Cette situation peut ensuite être traitée uniquement lorsque le système appelle. Dans ce cas, le système ne peut pas appeler, car l’environnement Pre-boot est bloqué. Par conséquent, un flux similaire à celui décrit dans le scénario suivant peut également être utilisé.
Comment la correction à distance a-t-elle été lancée sur le client lorsqu’elle est à distance ?
Voici une vue d’ensemble du processus lorsque le système est connecté via un réseau public :
L’utilisateur démarre le système et constate qu’il ne fonctionne pas.
L’utilisateur appelle l’administrateur et lui demande de l’aide.
L’administrateur sélectionne l’action de correction appropriée et l’action commence immédiatement à traiter. Dans ce cas, l’action échoue, car elle ne parvient pas à trouver le système dans le réseau de l’entreprise.
L’administrateur demande à l’utilisateur de lancer un appel pour obtenir de l’aide à partir du BIOS. Cet appel varie d’un OEM à un autre. Cependant, il a tendance à se trouver dans les options de démarrage et sur certains systèmes. vous pouvez simplement appuyer sur la touche CTRL+ALT+F1 .
Lorsque cette option est sélectionnée, le système se connecte à l’étourdissement (Deep Command Gateway Services). Ensuite, le gestionnaire d'agents détecte ce service et envoie un message à Deep Command.
Deep Command traite l’action associée au système. Dans ce cas, il s’agit de l’action de correction.
Remarque : La correction sur CIRA peut prendre beaucoup plus de temps que lors de l’exécution de la même action dans l’entreprise. Sur certains systèmes, cette opération peut prendre jusqu’à 20 minutes en fonction de l’utilisation du réseau au cours du traitement.
Quelsrapports un administrateur peut-il utiliser pour savoir que l’action AMT a été effectuée avec succès sur le client ?
DE n’a qu’une action côté serveur, ce qui est destiné à la correction. Pour déterminer s’il est terminé, un administrateur doit consulter le journal des tâches du serveur ePO. Pour ce faire, vous pouvez exécuter une requête sur le journal des événements audit journal pour afficher les événements de client. Toutes les autres actions (déverrouillage/réinitialisation, mot de passe utilisateur) sont initiées par le client. Lorsque l’administrateur configure ces actions, il existe une entrée dans le journal d’audit des utilisateurs ePO pour enregistrer que la demande a été ajoutée à la file d’attente’DE : hors bande action'. Ensuite, lorsque le client PBA demande de l’aide, il crée un élément audit sur le client. Cet élément de audit est envoyé à ePO lors du prochain intervalle de communication agent-serveur lors du chargement de Windows. Ces événements s’affichent dans la requête’DE : produit client Evénements'.
Quels rapports ou journaux peuvent être visualisés par l’administrateur pour déterminer ce qu’ils ont rencontré et à quel endroit puis ne pas avoir réussi à terminer l’action ? L’administrateur doit consulter la AMTService.log requête Evénements client du produit et de : produit.
Où un administrateur peut-il voir qu’une ou plusieurs actions AMT ont été effectuées avec succès sur un client (ou plusieurs clients) ?
Exécutez la requête d’événement du client DE produit.
Un administrateur peut-il créer des rapports sur les actions AMT, par exemple pour afficher le nombre de systèmes qui ont été automatiquement amorcés aujourd’hui à l’aide de la fonctionnalité de déverrouillage à distance ?
Exécutez la requête’DE : Product client Events’avec un filtre approprié. Cette requête repose sur les systèmes qui ont réussi à communiquer avec le serveur ePO pour envoyer les informations audit.
Quel dépannage un administrateur peut-il entreprendre pour un problème de type hors bande AMT ? Quelles sont les premières étapes qu’il faut effectuer ?
L’administrateur doit déterminer si le problème provient d’une tâche CILA (locale) ou CIRA (distante).
Dans le cas où une tâche CIRA (distante) est effectuée, que fait l’administrateur ?
Demandez à l’administrateur de démarrer le système client et d’accéder au BIOS. L’administrateur peut également démarrer à Windows et utiliser l’état de la gestion et de la sécurité d’Intel pour obtenir de l’aide. Demandez-lui de consulter le fichier’AMTService. log’pour voir si une demande a été reçue. Si tel est le cas, l’appel du support implique DE Support technique. Si ce n’est pas le cas, il implique des Support technique Deep Command.
Que se passe-t-il si le problème d’hors bande AMT provient d’une tâche CILA (locale) ?
Demandez à l’administrateur d’utiliser l’action Deep Command pour démarrer le client dans le BIOS. En cas DE réussite, l’appel au support implique DE Support technique. Si ce n’est pas le cas, il implique des Support technique Deep Command.
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.