Articles techniques ID:
KB79784
Date de la dernière modification : 23/09/2021
Environnement
McAfee Drive Encryption (DE) 7.2.x
Pour plus d’informations sur les environnements pris en charge, consultez ARTICLE KB79422.
Synthèse
Mises à jour récentes de cet article :
Date
Mise à jour
28 juillet, 2021
Modification de la marque pour McAfee Enterprise.
Le 24 juillet 2020
Modification de la mise en forme mineure ; aucune modification du contenu.
Le 3 juin, 2020
Correction de la section "informations générales sur le démarrage à froid supplémentaire" :
Suppression de « le renforcement de la sécurité est prévu pour cette fonction dans les versions ultérieures. »
2 juin, 2020
Ajout de ce qui suit à la section "informations générales sur le démarrage à froid supplémentaire" :
De plus, cette fonction ne fonctionne pas avec la sécurité basée sur la virtualisation, introduite dans Windows RS1 et versions ultérieures. Par conséquent, il ne peut pas être activé sur ces plates-formes. D’autres tâches de renforcement sont prévues pour cette fonction dans les versions ultérieures.
23 mars, 2020
Correction de la FAQ "quelle est la longueur de clé utilisée par l’algorithme de chiffrement AES256 ?". La longueur de la clé a été modifiée de 128 bits à 256 bits.
Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.
Cette liste présente les questions et réponses fréquentes, et est destinée aux utilisateurs qui sont nouveaux dans le produit.
REMARQUES :
Pour consulter la Foire aux questions relative à Endpoint Assistant (EA), reportez-vous à KB85917. EA est le compagnon application pour iOS et Android qui a été développé pour fonctionner avec DE. Les coûts de Help Desk de sont généralement liés à la gestion de la réinitialisation du mot de passe de l’utilisateur. EA peut complètement décharger la réinitialisation du mot de passe Pre-Boot pour les Help Desk les coûts des utilisateurs. Vous pouvez permettre aux utilisateurs de réinitialiser en toute sécurité les mots de passe Pre-boot, même s’ils n’ont pas accès à un téléphone pour appeler la Help Desk.
Les questions fréquentes sur les disques Opal ont été divisées en un article distinct. Pour plus d’informations, déterminer KB89333.
Volet
Cliquez pour développer la section que vous souhaitez afficher :
Qu’est-ce qu’un utilisateur OptIn et OptOut ?
Il se peut que des références à des utilisateurs OptIn et OptOut soient affichées dans les journaux. Par exemple, la mise en œuvre de stratégie a échoué : utilisateur OptIn affecté.
Optionnel les utilisateurs ont leur mise en œuvre de stratégie basée sur l’utilisateur (UBP) définie sur la valeur true dans ePO, ce qui signifie qu’un UBP spécifique s’applique.
OptOut la mise en œuvre de UBP est définie sur false pour les utilisateurs, ce qui signifie que le UBP affecté à l’ordinateur s’applique.
Pourquoi ai-je besoin DE ?
L’objectif clé de de est de protéger uniquement les données confidentielles sur le disque lorsqu’elles sont stockées. Ce type de protection peut également être soumis à des lois sur la protection des identités.
Quelles sont les protections dont j’ai besoin lorsque l’authentification Pre-boot est désactivée lors de l’activation de la fonctionnalité démarrage automatique temporaire ?
L’objectif principal de est de protéger le disque sur le reste lorsque le disque est déverrouillé. Mais, DE ne fournit aucune protection DE l’accès aux données. Par conséquent, si vous souhaitez un système sécurisé, n’utilisez pas la fonctionnalité de démarrage automatique. La fonctionnalité de démarrage automatique supprime efficacement l’authentification Pre-boot, ce qui supprime complètement la sécurité du produit. La fonctionnalité de démarrage automatique est fournie uniquement comme un moyen temporaire. Pour plus d’informations sur la fonctionnalité démarrage automatique, consultez Démarrage automatique. Pour plus d’informations sur le démarrage automatique plus sécurisé du module de plate-forme sécurisée (TPM).
Compatibilité DE 7.2.0 et versions ultérieures :
Prend-il en charge la mise à jour Windows 10 anniversaire de la nouvelle ligne de commande/ReflectDrivers pour la mise à niveau sur place ?
Oui. Microsoft a inclus une nouvelle fonctionnalité dans Windows 10 mise à jour anniversaire qui permet la mise à niveau sur place du système d’exploitation via ISO et SCCM à l’aide d’une /Reflectdrivers échéant.
Ce commutateur de commande spécifie le chemin d’accès à un dossier contenant les pilotes de chiffrement d’un ordinateur sur lequel le chiffrement tiers est activé. Les pilotes PnP sont installés et la mise à niveau peut se poursuivre.
Veuillez Cette /Reflectdrivers l’option est également prise en charge avec DE 7.1.3 HotFix 1148978 ou version ultérieure. Mais le processus est encore simplifié avec DE 7.2.0, suite aux modifications introduites dans le programme d’installation du produit.
Pour obtenir des informations détaillées sur la mise à niveau sur place Windows 10 avec DE installé, voir KB87909.
Pour afficher les plates-formes, environnements et systèmes d’exploitation pris en charge pour DE, reportez-vous à ARTICLE KB79422.
Compatibilité pour la fonction DE 7.1.0 et versions ultérieures :
Prend-il en charge l’interface EFI (Unified Extensible Firmware Interface) en place (Outil de conversion UEFI) (MBR2GPT. EXE) avec Windows 10 Creators mettre à jour et versions ultérieures ?
Oui. Un Drive Encryption Master Boot Record (MBR) à l’outil de table de partition GUID (GPT) (MdeMbr2GptTool. exe) a été développé et fonctionne sur Microsoft Windows 10 (version 1703) Creators Update et versions ultérieures (64 bits uniquement). L’outil fonctionne avec l’outil Microsoft (MBR2GPT.EXE). L’outil convertit un disque Drive Encryption chiffré par le logiciel de MBR à la partition de la table de partition GUID (GPT). Il n’est pas nécessaire de déchiffrer le disque.Pour obtenir l’outil Drive Encryption et les instructions, consultez KB89024.
Quelle version de DE prend en charge Windows 10 (version 1507) ?
ECHÉANCIERS 7.1 Mise à jour 3 (7.1.3) est la première version à prendre en charge Windows 10, mais est disponible avant la distribution Windows 10 générale. Par conséquent, il peut y avoir des avertissements qui s’appliquent au déploiement et à l’utilisation de de 7.1.3 sur les systèmes Windows 10.
Reportez-vous aux articles suivants pour obtenir des informations spécifiques sur la mise à niveau Windows 10 lors DE l’installation DE :
Version Windows
Article
Actualisation du système d’exploitation (système d’exploitation) à partir de Windows 8
LTSC et LTSB sont Microsoft terminologie pour un build de maintenance. Ces versions ne reçoivent pas les mises à jour des fonctionnalités et se limitent aux mises à jour de sécurité en général.
Est-ce qu’un système d’exploitation Windows avec installé sur Mac matériel pris en charge ?
Aucun. DE n’a pas été testé sur un matériel Mac et n’est donc pas pris en charge.
Est-il possible d’exécuter la tâche de mise à niveau de Microsoft pour mettre à niveau un Windows 8.0 système pour Windows 8.1?
Aucun. Microsoft utilise une fonctionnalité qui définit une nouvelle image WIM. Il s’agit essentiellement d’un processus d’actualisation du système d’exploitation et non d’une mise à niveau ou Service Pack mise à niveau traditionnelle. DE même, a un processus d’actualisation de système d’exploitation documenté qui vous permet d’effectuer une mise à niveau à partir de Windows 8.0 pour Windows 8.1. Le processus vous permet de conserver les données existantes chiffrées dans tout le processus. Pour obtenir de l’aide sur ce processus, reportez-vous aux articles suivants :
Guide d’actualisation du système d’exploitation Windows recommandé pour Master Boot Record systèmes uniquement, cliquez sur dessous.
Windows le Guide d’actualisation du système d’exploitation recommandé pour les systèmes UEFI uniquement, cliquez sur dessous.
Puis-je utiliser la réparation automatique Windows 8 ou ultérieure (activée par défaut) ?
Aucun. Il est conseillé de désactiver cette fonctionnalité. La réparation automatique d’un disque chiffré peut détruire par inadvertance les fichiers chiffrés du système d’exploitation et provoquer des problèmes de démarrage permanent. Les versions précédentes de Windows vous ont demandé si vous souhaitiez réparer votre système avant de lancer la réparation. Toutefois, Windows 8 lance une réparation automatique dès qu’un problème est détecté, laissant une portée réduite pour empêcher la destruction des données chiffrées. Pour plus d’informations sur la désactivation de Windows 8 la réparation automatique, consultez l’article KB76649.
Pourquoi dois-je utiliser l’écran DE 7.1 Processus d’actualisation du système d’exploitation lorsque je ne l’utilise pas sur les systèmes Windows BitLocker ?
Microsoft implémente un mécanisme qui expose la clé de chiffrement BitLocker au cours de la mise à niveau, ce qui permet au processus de superposition WIM de s’exécuter. McAfee n’adopte pas cette approche, car elle laisse le système vulnérable aux attaques au cours du processus de mise à niveau de Windows.
Microsoft a discuté d’une nouvelle fonctionnalité appeléeChiffrement de l’équipement. Qu'est-ce que c'est?
Microsoft Device Encryption peut être considéré comme une version réduite et non managée de BitLocker.
Autres faits généraux relatifs au chiffrement d’équipements :
Microsoft Device Encryption est automatiquement activé. Activé uniquement lorsque le matériel correspond ou dépasse la configuration matérielle minimale requise.
Voici ce qui se produit si vous déployez sur un système sur lequel le chiffrement d’équipements Microsoft est automatiquement activé:
Les vérifications de pré-activation déterminent que BitLocker est actif. N’oubliez pas que Microsoft Device Encryption est simplement une version non managée de BitLocker.
L’activation échoue car le disque est déjà chiffré avec le chiffrement de l’équipement Microsoft.
Cet État est renvoyé à ePO.
Les informations ci-dessus s’appliquent si les deux conditions suivantes sont appliquées :
L’option 'the system meets the minimum hardware requirements' a été automatiquement activé.
Et
Le disque dur est chiffré.
FAUT Les informations ci-dessous s’appliquent si vous disposez d’un nouveau système qui répond à la configuration matérielle minimale requise pour le chiffrement des équipements Microsoft. Mais vous avez Windows 7 et DE 7.1 installé, puis choisissez la mise à niveau vers Windows 8.1:
Si vous ne vous êtes pas connecté à l’aide d’un compte MSDN, le système ne tente pas d’activer Microsoft chiffrement d’équipements.
Si vous vous êtes connecté avec un compte MSDN, le système d’exploitation est interrompu.
Est-ce que la prise en charge DE lecteurs compressés Windows ?
Non, Windows les lecteurs compressés ne sont pas pris en charge, car aucun test de compatibilité n’a été entrepris.
Est-il prévu de prendre en charge JAWS pour Windows écran des logiciels de lecture d’écran pour le client Pre-boot, afin d’aider les utilisateurs disposant d’une mauvaise vue ?
Aucun. JAWS est un produit logiciel Windows uniquement. Il ne fonctionne pas au niveau du point d’authentification Pre-boot, car Windows n’est pas encore chargé.
Est-il possible DE se conformer à la nouvelle technologie de protection avancée contre les menaces Dell Cylance, qui peut générer des rapports en cas de détection d’une attaque de démarrage ?
Aucun. DE n’a pas été testé avec Dell Cylance Advanced Threat Protection.
Est-il possible DE prendre en charge la technologie Intel Anti-Theft, qui peut verrouiller l’ordinateur en fonction du matériel ?
Aucun. Intel a interrompu le service Intel Antivol.
Est-ce que DE 7.1 prendre en charge Intel Smart Response Technology (SRT) ?
Oui. Les données sont toujours sûres, y compris les données mises en cache. Intel SRT est un composant intelligent cache qui met uniquement en cache les données fréquemment consultées. Cette cache se trouve au niveau du secteur et est chiffrée par le pilote DE FILTRE DE.
DE prise en charge d’Intel Rapid Start (IRS) ?
Aucun. L’administration fiscale requiert un espace de partition supplémentaire sur le Solid State Drive (SSD) ou disque dur (HDD), appelé partition de mise en veille prolongée. Cette partition doit être supérieure ou égale à la quantité de mémoire système. Cette partition ne possède pas de lettre de lecteur.
L’IRS fournit un état S3 à faible consommation d’énergie. Où, au lieu de stocker l’État sur la DRAM en S3, le contenu de la mémoire est vidé sur la partition dédiée du disque SSD. Etant donné que le BIOS est responsable du vidage vers et depuis le disque SSD, DE ne peut pas intercepter et chiffrer le contenu. Ainsi, toutes les données sensibles de DRAM sont écrites sur le disque en texte brut. Ce problème affecte uniquement l’état S3, et non S4. Veuillez La technologie de l’administration fiscale permet à votre système de reprendre plus rapidement son mode veille. ce fait économise la consommation de temps et d’énergie.
Est la DE 7.1.x client compatible avec Microsoft BitLocker ?
Aucun. Il n’est pas compatible avec BitLocker ou tout autre logiciel de chiffrement de disque complet ou de chiffrement de niveau de secteur s’exécutant sur le même système. DE détecte Windows BitLocker au cours du processus DE l’activation et arrête l’activation de de si BitLocker est actif.
Est Active Directory nécessaire pour une DE 7.1 d'?
Aucun. Vous pouvez installer les packages d’installation (MSI) sans avoir accès à Active Directory en raison du nouveau Répertoire utilisateur fonctionnalité incluse dans DE 7.1. Pour plus d’informations, consultez la section fonctionnalités. Autres informations générales Active Directory :
Active Directory est requis pour gérer DE 7.1 clients via ePO.
Bien que Active Directory soit requis pour une DE 7.1 activation, une DE 7.1.0 la nouvelle fonctionnalité permet l’activation hors ligne de pour activer la désactivation sans connexion à ePO. Lorsque le système parvient à communiquer avec ePO, le client passe en mode en ligne. Seuls les systèmes non managés par ePO peuvent rester chiffrés sans qu’il soit nécessaire de se connecter à Active Directory.
Les utilisateurs affectés ne sont pas supprimés de la base de données ePO si le nom de l’objet, tel qu’un groupe ou un utilisateur, est modifié dans Active Directory. La modification du nom de l’objet est détectée lors de la prochaine exécution de la tâche’synchronisation : synchroniser pour les utilisateurs à partir de LDAP’et mise à jour dans ePO. Lors de la Agent vers la communication serveur (ASCI) ci-dessous, toute modification du nom de l’objet utilisateur est synchronisée avec le client.
Qu’arrive-t-il à mes postes clients si le serveur ePO tombe en panne ?
Si le produit est déjà installé et actif, les clients continuent de fonctionner avec la copie mise en cache de la stratégie. Aucune mise à jour de stratégie ou affectation d’utilisateur supplémentaire n’est effectuée tant que le client ne peut pas communiquer avec le serveur ePO. Si le produit n’est pas encore installé, il ne peut pas être activé tant que la communication avec le serveur ePO n’est pas rétablie.
Est-il possible d’utiliser un CD Windows amorçable sur un système chiffré ?
Un CD amorçable fonctionne sur un système chiffré à moins que vous ne souhaitiez accéder au disque dur. L’un des avantages du chiffrement de disque complet est qu’il empêche un disque amorçable d’être utilisé pour accéder au disque dur sans s’authentifier.
Si Windows ne fonctionne pas correctement et que vous devez le réparer à l’aide du disque d’installation de Windows. Vous devez d’abord déchiffrer le lecteur avant d’utiliser les outils de réparation Windows.
Pour accéder au lecteur chiffré et à la récupération de la détechnique WinPE, vous devez créer des médias. Pour plus d’informations sur la création du support, reportez-vous au dernier guide détech :
Pour accéder aux documents sur les produits McAfee, rendez-vous sur le portail de documentation des produits pour entreprises, à l'adresse https://docs.mcafee.com.
Quels sont les systèmes d’exploitation pris en charge avec DE ?
Pour obtenir les informations les plus récentes concernant les systèmes d’exploitation pris en charge, consultez ARTICLE KB79422. Veuillez Les informations ci-dessous s’appliquent également à l’article cité ci-dessus.
Versions minimales d’ePO prises en charge par DE 7.x.
La McAfee Agent minimale (MA) est prise en charge par DE 7.x.
Quelles versions EEPC peuvent être mises à niveau vers DE 7.1.x?
Les mises à niveau suivantes sont possibles :
EEPC 7.x -(Fin de vie) Systèmes installés avec EEPC 7.0.x possibilité de mise à niveau vers DE 7.1. Toutefois, vous devez d’abord mettre à niveau le EEPC extension vers EEPC 7.0 Mise à jour 2 (7.0.2) ou mise à jour 3 (7.0.3).
EEPC 6.x -(Fin de vie)
Si vous utilisez EEPC 6.1.2 ou version ultérieure, vous devez d’abord mettre à niveau toutes les extensions vers EEPC 7.0 Mise à jour 2 ou mise à jour 3. Systèmes clients exécutant EEPC 6.1.2 ou version ultérieure peut être directement mis à niveau vers DE 7.1. installations ePO avec EEPC 7.0 Les extensions de mise à jour 2 ou 3 archivées peuvent être mises à niveau directement vers 7.1.
EEPC 5.x -(Fin de vie)
Systèmes installés avec EEPC 5.2.6, 5.2.12, et 5.2.13 possibilité de migrer directement vers 7.1.
Quelles étapes dois-je suivre si je souhaite effectuer une mise à niveau vers la dernière version de DE 7.2.x. Mais vous disposez déjà d’une version antérieure DE 7.1.x version installée ?
Si une version antérieure est installée, par exemple DE 7.1.0, mais souhaitez effectuer une mise à niveau vers une version ultérieure DE 7.1.x version, procédez comme suit :
Assurez-vous qu’aucune tâche de synchronisation LDAP n’est en cours d’exécution. Si c'est le cas, patientez jusqu'à ce qu'elles soient terminées.
Désactivez toutes les tâches de synchronisation LDAP avant de lancer la mise à niveau.
Installez l’écran DE 7.1.3 rogation.
Archiver la DE 7.1.3 Packages logiciels Agent et PC.
Réactivez toutes les tâches de synchronisation LDAP.
Déployez l’écran DE 7.1.3 packages logiciels au système client.
Redémarrez le système client une fois la tâche de déploiement terminée.
Je configure un nouveau serveur ePO et je souhaite déplacer des clients en passant par lui-même. Cette action est-elle prise en charge ?
Oui. Ce scénario est pris en charge dans de 7.1.3 et versions ultérieures. REMARQUES :
Avec les versions antérieures de, le transfert d’un système d’un serveur ePO à un autre remplace les affectations utilisateur. Les données de jeton utilisateur sur le système sont également remplacées par les données du serveur de destination. Il est possible de perdre des affectations d’utilisateur et de modifier les informations d’identification des utilisateurs dans l’environnement Pre-Boot.
ECHÉANCIERS 7.1.3 présente une fonctionnalité de transfert de client. La fonctionnalité permet à l’administrateur ePO de disposer d’un mécanisme permettant le transfert des systèmes d’un serveur ePO à un autre. Le transfert se produit tout en préservant les affectations d’utilisateur et les données utilisateur. Si la fonctionnalité est activée, une DE 7.1.3 le système détecte une modification du serveur. Il demande que la nouvelle DE 7.1.3 la gestion du serveur affecte automatiquement les utilisateurs au système dans le contexte du nouveau serveur de gestion. Une fois l’affectation réussie, le système envoie ses données de jeton utilisateur jusqu’au nouveau serveur de gestion. Tous les systèmes sur lesquels le processus de transfert de système a échoué sont mis en surbrillance sur le serveur de destination par le biais d’un rapport out-of-Box intuitif.
Une autre ECHÉANCIERS 7.1.3 Guide de transfert du système client est inclus dans la version qui décrit ce processus de transfert de système en détail. Pour plus d’informations, cliquez sur dessous.
Que dois-je faire si j’installe sur un Windows 8.x système à l’aide d’UEFI natif ?
Recommandations si vous envisagez d’installer DE 7.x sur un Windows 8.x système, à l’aide de l’interface UEFI (Unified Extensible Firmware Interface) native. McAfee entreprise recommande de n’utiliser le mode UEFI natif que si le système est explicitement Windows 8 certifié. McAfee Enterprise recommande également de mettre à niveau vos systèmes UEFI vers le dernier niveau de microprogramme UEFI. Ensuite, testez-le sur un système compatible UEFI natif spécifique avant un déploiement à grande échelle. Veuillez Pour d’autres questions et réponses UEFI, reportez-vous à la section fonctionnalités ci-dessous.
Dois-je déchiffrer et chiffrer à nouveau les clients lors de la mise à niveau vers DE 7.1?
Aucun. La procédure de mise à niveau est conçue pour transférer la clé de l’ancien agent vers le nouveau agent.
Est-il possible d’automatiser la migration des utilisateurs et des systèmes d’un serveur ePO vers un autre ?
Pour savoir comment migrer de l’un des utilisateurs d’un domaine à un autre, consultez la section KB83802.
Au cours du processus d’installation, quelles méthodes sont disponibles pour éviter tous les utilisateurs utilisant le même mot de passe par défaut ?
Il existe deux méthodes :
Par le biais de la stratégie DE, vous pouvez renoncer à utiliser le mot de passe par défaut. Les utilisateurs sont alors forcés à saisir le mot de passe de leur choix.
Utilisez une règle d’affectation de stratégie avec une stratégie basée sur l’utilisateur différente (UBP), dans laquelle vous définissez un mot de passe par défaut différent pour les utilisateurs affectés au UBP.
Puis-je procéder à l’installation de sur un système et prendre une image brute (secteur par secteur) à utiliser sur les nouveaux ordinateurs ?
Aucun. Ce scénario n’est pas pris en charge. Cela entraînerait un problème de sécurité, car chaque système aurait la même clé de sécurité.
Est-il possible de modifier la taille du clavier visuel de la tablette affichée pendant le Pre-boot si je pense que la taille par défaut est trop faible ?
Aucun. Pour soumettre une demande d’amélioration de produit afin d’inclure cette fonctionnalité, reportez-vous à la section informations connexes.
Ai-je besoin d’ajouter des exclusions antivirus VirusScan pour DE ?
Aucun. Les exclusions antivirus ne sont plus nécessaires.
FAQ sur les fonctionnalités applicables à DE 7.2.0 et versions ultérieures Fonctionnement DE 7.2.x utiliser Intel Software Guard extensions (SGX) ?
Intel SGX est une architecture Intel extension, introduite avec des plates-formes de processeur Intel Core de sixième génération, conçue pour renforcer la sécurité des logiciels par le biais d’une Sandbox inversé mécanismes. Dans cette approche, les logiciels légitimes peuvent être scellés à l’intérieur d’une enclave et protégés contre ces menaces, quel que soit le niveau de privilège de la menace. L’alternative consiste à tenter d’identifier et d’isoler toutes les menaces potentielles ou les surfaces d’attaque sur la plate-forme.
L’utilisation d’Intel SGX avec permet d’améliorer la protection contre les attaques basées sur la mémoire (telles que l’attaque par démarrage à froid) sans affecter les performances des systèmes qui prennent en charge SGX et avec la stratégie appropriée appliquée.
Comment activer SGX avec DE 7.2.x?
Pour s’assurer que le service DE la fonction SGX est disponible, le support pour SGX doit être activé avant DE 7.2.0 est déployé sur un système cible.
Pour plus d’informations sur la configuration technologique requise pour cette nouvelle fonctionnalité, consultez KB87256.
FAQ sur les fonctionnalités applicables à DE 7.1 et versions ultérieures Est-il possible de repartitionner un disque chiffré avec DE ?
Aucun. Il n’est pas possible de modifier le partitionnement d’un disque déjà chiffré. Vous devez déchiffrer entièrement le disque et désinstaller avant de procéder au repartitionnement du disque.
Quelle est la longueur de clé utilisée par l’algorithme de chiffrement AES256 ?
La longueur de clé utilisée est 256 bits.
RAID est-il pris en charge ?
Il existe deux types de technologies RAID à prendre en compte : ordinateurs équipés d’un système RAID matériel ou logiciel :
DE n’a pas été testé avec le matériel RAID. Mais nous pensons que le fonctionnement de detech est correct dans les environnements où le matériel RAID pur a été mis en œuvre. Cette prévision concerne les systèmes dotés de cartes RAID internes ou de systèmes RAID externes dotés d’un contrôleur intégré. Veuillez DE/detechImpossible de prendre en charge le diagnostic ou la reprise sur sinistre pour une configuration RAID rompueLorsque le matériel RAID est en cours d’utilisation.
La fonction DE/detech ne prend pas en charge les logiciels RAID logiciels. Les disques dynamiques Windows sont une forme de logiciel RAID.
Ordinateurs lorsque le mode SATA BIOS est configuré pour utiliser RAID ou RAID sur :
En général, le mode RAID de/-technique fonctionne en mode RAID, à condition que le mode SATA BIOS de cet ordinateur puisse voir le disque.
REMARQUES :
En mode BIOS hérité/MBR DE, il s’appuie sur les appels INT13 pour accéder au disque dur de l’ordinateur.
Dans le mode UEFI (Unified Extensible Firmware Interface), DE s’appuie sur le protocole d’entrée/sortie du système, de sorte qu’il est agnostique au mode SATA du BIOS.
L’unique inconvénient de cette affirmation est, si le disque est un disque OPAL ou un disque SEDs (auto-Encryption Drives). DE doit être défini sur le mode d’interface du contrôleur d’hôte avancé (AHCI). La raison en est qu’elle a son propre pilote de contrôleur et ne dépend pas du BIOS pour l’accès au disque dur. Billets Cette restriction concerne uniquement le chiffrement matériel d’un lecteur OPAL ou SED, et non le cas où le disque dur OPAL est configuré pour le chiffrement de logiciels.
Est-il possible de chiffrer un équipement de stockage de média amovible connecté via un port USB ?
Aucun. DE détecter et de chiffrer le lecteur uniquement s’il est détecté via un port SATA.
Quel est l’DE Annuaire d’utilisateurs ?
L’annuaire des utilisateurs étend votre serveur ePO managé sur des systèmes contenant des utilisateurs non managés et n’appartenant pas au domaine. En plus des utilisateurs managés dans Active Directory, DE peuvent désormais également utiliser ces utilisateurs managés par ePO pour l’authentification Pre-Boot.
Les données utilisateur sont désormais synchronisées à partir de Active Directory et mises en cache localement dans ePO. Ce fait élimine la nécessité d’aller-retour constantes d’ePO à Active Directory. Cela permet d’améliorer considérablement les performances des vérifications de stratégie basées sur l’utilisateur.
Autres faits généraux relatifs aux annuaires d’utilisateurs :
L’annuaire des utilisateurs supprime la dépendance sur Active Directory
Un administrateur doit installer le extension de l’annuaire des utilisateurs. Vous pouvez effectuer cette installation avant ou après la mise à niveau vers DE 7.1.x. Tant que les conditions requises pour ePO sont remplies, c’est-à-dire ePO 5.1.x
Il n’existe pas de différences conceptuelles entre les utilisateurs autonomes dans EEPC 5.x et les utilisateurs dans le répertoire utilisateur
Migrer EEPC 5.x utilisateurs autonomes dans le répertoire utilisateur.
Vous pouvez créer Unités organisationnelles (UO) dans le répertoire utilisateur.
Les utilisateurs peuvent être ajoutés à une unité organisationnelle et en être supprimés.
Les utilisateurs peuvent être déplacés d’une unité organisationnelle à une autre.
Les unités organisationnelles peuvent être imbriquées.
Un utilisateur ne peut pas appartenir à plus d’une unité organisationnelle
Lors de la sélection d’une unité organisationnelle, vous pouvez voir tous les utilisateurs qui composent cette unité organisationnelle (y compris les unités organisationnelles imbriquées). Billets Vous pouvez afficher tous les utilisateurs des sous-unités organisationnelles, mais pas toutes les unités organisationnelles imbriquées. A partir du nom distinctif, vous pouvez voir la sous-unité d’organisation de chaque utilisateur à partir de laquelle il provient.
Liéesexécution de scripts, modification du WebAPI ePO User: Machine assignments?
Aucun.
Quoi Démarrage automatique du module TPM (Trusted Platform Module) ?
TPM AutoBoot est une nouvelle offre dans DE 7.1. Il renforce les fonctions de démarrage automatique classiques en utilisant un TPM, si le matériel est présent, pour protéger la clé.
Le TPM fournit un mécanisme de scellement. Les données chiffrées peuvent uniquement être déchiffrées si le système est dans un État prédéfini. Au cours du démarrage du système, le TPM mesure le microprogramme et tous les composants de démarrage. La mesure consiste à étendre un hachage stocké dans un registre TPM, avec le code sur le point d’être exécuté. Le microprogramme prend des mesures, qui ne peuvent pas être contournées. Le TPM autorise uniquement le déchiffrement de la clé. Si le système est dans le même État que lorsqu’il était sealed, toute modification, quelle que soit sa taille, provoque l’échec de l’opération. Autres faits généraux du TPM :
Le démarrage automatique TPM est différent du démarrage automatique traditionnel, car le démarrage automatique traditionnel ne fournit aucune sécurité pour le système. La clé utilisée pour chiffrer le disque est écrite en texte brut sur le disque. Le démarrage automatique TPM sécurise la clé en la chiffrant avec le TPM. Il n’est plus en texte brut.
TPM aide à sécuriser la clé, car le TPM peut déchiffrer la clé uniquement si l’état du système n’a pas changé. La clé n’est pas déchiffrée si :
Le TPM croit que l’état du système a été modifié.
Ou
Une nouvelle puce TPM est présente (nouvelle carte mère).
S’il ne peut pas déchiffrer la clé, la fonction de démarrage automatique échoue et l’authentification Pre-boot s’affiche.
Lorsque le démarrage automatique TPM est activé, le système continue de démarrer automatiquement, mais uniquement si le TPM croit que tout est dans l’ordre. Dans ce cas, l’utilisateur ne voit pas l’environnement de pré-amorçage et il se lance simplement dans Windows.
Le démarrage automatique TPM peut être utilisé avec le démarrage automatique réactif.
Le démarrage automatique TPM et le démarrage automatique réactif peuvent être utilisés avec la nouvelle mise en veille connectée. Tous deux assurent le support et le renforcement des systèmes contre les attaques de démarrage à froid.
Si la carte mère est modifiée ou si les mesures de démarrage TPM changent, l’utilisateur voit l’écran d’authentification Pre-Boot. Si un utilisateur a rencontré cette situation, il doit effectuer une récupération de demande d’authentification/réponse pour accéder à Windows.
Si des informations d’identification utilisateur de pré-amorçage valides sont connues, l’utilisateur peut simplement s’authentifier et démarrer dans Windows. Toutefois, comme l’utilisateur a été dans ce mode de démarrage automatique, ses chances de connaître les informations d’identification d’un utilisateur valides sont faibles.
TPM effectue plus que le chiffrement de la clé. Il mesure également le chemin d’accès de démarrage. Chaque fois que le système démarre, nous hacheons certaines données relatives au chemin d’accès de démarrage dans le TPM. Par conséquent, le TPM ne déchiffre la clé que si le chemin d’accès de démarrage n’a pas été modifié.
Cela signifie que lorsque le démarrage automatique TPM déverrouille le disque, il n’est pas possible de démarrer à partir d’un autre chemin d’amorçage. Si une autre option de démarrage est sélectionnée au démarrage, la fonction de démarrage automatique échoue et l’environnement Pre-boot s’affiche.
Autres faits de rôle d’administrateur TPM :
Les paramètres de stratégie pour le démarrage automatique TPM sont disponibles sous le titre "TPM utilisateur pour le démarrage automatique" et les trois options suivantes sont disponibles :
Never -La clé de disque est écrite en texte brut sur le disque. Cette option correspond à la fonctionnalité démarrage automatique d’origine.
If Available -Si le système dispose d’un TPM utilisable, le TPM est utilisé pour chiffrer la clé. Si aucun TPM n’est disponible, ou s’il est inutilisable, la clé du TPM présent sur le système est écrite en texte brut sur le disque. Cette action est conforme à la fonctionnalité démarrage automatique d’origine.
Required -AutoBoot fonctionne uniquement si le système dispose d’un TPM utilisable. L’environnement DE pré-amorçage est affiché sur les systèmes qui n’ont pas de TPM.
FAUT Si Microsoft met à jour le chargeur de démarrage Windows lors d’une mise à jour de Windows, les mesures de démarrage ont été modifiées. Par conséquent, TPM ne peut pas déchiffrer la clé et vous devez passer par un processus de récupération. Le processus de récupération nécessite un appel Help Desk, afin que le système démarre à nouveau correctement. Veuillez Le Pre-boot figure également dans le chemin d’accès de démarrage. Ainsi, lorsqu’un administrateur déploie une nouvelle version de de, Hotfix, mise à jour ou nouvelle version, il met à jour les éléments suivants :
Dédémarrage DE l’application EFI
Et
Mesures de démarrage
A l’instar du scénario de mise à jour Windows, les utilisateurs doivent effectuer un appel Help Desk pour accéder à leur système après avoir diffusé une mise à jour.
La configuration minimale requise pour le démarrage automatique TPM est la suivante :
ECHÉANCIERS 7.1.x/7.2.x prend uniquement en charge le démarrage automatique TPM sur TPM 2.0 systèmes (tous les systèmes de secours connectés prennent en charge TPM 2.0). Veuillez Systèmes plus anciens avec TPM 1.2 ne prennent pas en charge cette fonctionnalité.
ECHÉANCIERS 7.1 Mise à jour 1 (7.1.1) et versions ultérieures Ajouter la prise en charge de TPM 1.2 chipsets (systèmes UEFI uniquement).
La clé propriétaire TPM doit être gérée localement et non dans le Active Directory.
Le système doit inclure le protocole UEFI TPM dans l’implémentation UEFI de l’OEM (configuration requise pour les systèmes en veille connectée).
Autres informations sur l’expérience utilisateur TPM :
Lorsque TPM ne peut pas déchiffrer la clé, il affiche l’environnement Pre-Boot et demande à l’utilisateur de s’authentifier. Si TPM est en doute, il ne démarre pas automatiquement le système et affiche plutôt l’environnement Pre-Boot et attend l’authentification.
Est-il désormais possible de gérer un plus grand nombre deutilisateurs lors du Pre-Boot ?
L’environnement Pre-boot a été amélioré pour prendre en charge plus de 5 000 utilisateurs sans détérioration des performances perceptibles lors de l’authentification Pre-Boot. La limite précédente était un maximum de 250 utilisateurs lors du Pre-Boot. Vous pouvez désormais configurer en toute sécurité tous les utilisateurs pour qu’ils partagent des postes de travail, qui permettent à n’importe quel utilisateur d’utiliser n’importe quel système.
Quelle est la recommandation pour le nombre d’utilisateurs affectés à l’authentification Pre-Boot ?
La recommandation générale reste inchangée. Affectez uniquement le nombre minimum d’utilisateurs pour l’authentification Pre-Boot. Autres faits généraux relatifs à l’authentification Pre-boot :
ECHÉANCIERS 7.1 par la suite, vous pouvez augmenter le nombre d’utilisateurs pris en charge par le Pre-Boot. Bien qu’il soit recommandé de réduire le nombre d’utilisateurs affectés par nœud. Les nombres ont été augmentés pour les milliers, au lieu de centaines.
Premièrement, la meilleure pratique de sécurité vise à limiter le nombre d’utilisateurs qui peuvent accéder à un système au plus petit groupe d’utilisateurs.
Deuxièmement, l’affectation d’un grand nombre d’utilisateurs à chaque nœud peut avoir une incidence sur l’évolutivité globale de l’ensemble du système. Ce qui permet de réduire le nombre maximal de nœuds pouvant être pris en charge.
Les pénalités suivantes s’appliquent si vous autorisez 5 000 utilisateurs à se connecter au Pre-boot sur un ordinateur :
L’activation prend plus de temps, car elle doit télécharger toutes les informations relatives aux utilisateurs 5 000.
La synchronisation des informations utilisateur prend plus de temps, augmentant ainsi la charge de travail sur le serveur ePO.
Les autres actions qui incluent des informations utilisateur sont plus longues à traiter. Un exemple de ces actions est l’enregistrement des informations système relatives à un client, car il inclut également des informations sur l’utilisateur.
L’évolutivité d’un serveur ePO peut être affectée. Votre serveur ePO effectue plus de tâches par intervalle de communication agent-serveur (ASCI) pour s’assurer que toutes les informations sont à jour.
Comment
Supposons que vous disposez de 100 systèmes auxquels chacun des utilisateurs a 5 000 des utilisateurs affectés. Prenez l’occurrence la plus courante, un mot de passe modifié. Pour un utilisateur, celui-ci serait capturé sur un système, chargé dans ePO, puis transféré vers les autres systèmes 99 lorsqu’ils sont synchronisés avec ePO.
Si vous forcez les utilisateurs à modifier leur mot de passe tous les 90 jours, 5 000 les utilisateurs doivent mettre à jour leur mot de passe. Il en résulte des mises à jour 500 000 (5 000 utilisateurs x 100 systèmes) que le serveur ePO doit traiter à plusieurs reprises à mesure que les systèmes se synchronisent avec ePO.
Un grand nombre d’utilisateurs entraîne une augmentation du trafic réseau. Tout ce trafic est traité sur le réseau. Bien que les données utilisateur individuelles soient de petite taille, elles sont généralement < 20 kilobytes, it is multiplied out by the number of transactions. Si un système dispose d’une liaison lente, la réception de toutes les modifications peut prendre beaucoup de temps. Si le serveur gère les mises à jour utilisateur pour de nombreux clients, le trafic réseau peut également être important. Dans le pire des cas, il se peut qu’il ne reçoive pas toutes les mises à jour pendant une période de synchronisation.
QuoiAOAC?
AOAC signifie toujours activé, toujours connecté. Microsoft appelle la fonction’veille connectée’et Intel l’appelle en tant que Smart Connect. Elles font toutes référence à la même fonction de haut niveau.
Il s’agit de la possibilité de conserver un système en mode veille à faible consommation et de le réveiller périodiquement pour récupérer des données. Par exemple, pour les mises à jour par e-mail ou Facebook, revenez à la veille. Cette activité se produit sans que l’utilisateur ne soit en connaissance ou en intervenant. Il est similaire au mode de fonctionnement de votre téléphone mobile. Autres faits généraux AOAC :
ECHÉANCIERS 7.1.x prend en charge un modèle AOAC. La prise en charge est assurée via la veille connectée. Bien qu’il soit en mode de veille, le Windows connexion est utilisé pour protéger les données contre les accès non autorisés.
AOAC change le chiffrement complet des disques. Le chiffrement complet des disques s’est historique sur la protection des données stockées passivement (lorsque le système est éteint). Plusieurs entreprises introduisent la fonction AOAC.
Avec le modèle AOAC, le système et les services doivent accéder au disque. Cela signifie que la clé de chiffrement du disque est toujours conservée en mémoire. Cependant, les systèmes qui prennent en charge AOAC sont plus vulnérables aux attaques de type démarrage à froid, car la clé est toujours en mémoire. N’oubliez pas que le système ne s’éteint pas ; Il est uniquement en mode veille.
Tous les AOAC et la veille connectée fonctionnent toujours lorsque cette fonction est activée.
Lorsque le système est en mode veille, les données ne sont jamais conservées avec le modèle AOAC. Les systèmes ne sont pas désactivés ; ils sont uniquement en mode veille. Le modèle AOAC nécessite que les disques ne soient pas déverrouillés, car :
Les systèmes peuvent être réactivés périodiquement ou via un notification d’envoi en mode push.
Les applications et services peuvent avoir besoin d’accéder au disque au cours de cette période d’éveil.
Vous pouvez utiliser les fonctions AOAC avec l’environnement Pre-boot, la fonction AutoBoot, ou les deux.Cette fonction fonctionne indépendamment de votre méthode d’authentification. Toutefois, McAfee Enterprise recommande d’utiliser l’un des éléments suivants :
Pre-Boot
Si la fonctionnalité démarrage automatique est sélectionnée, activez l’amorçage automatique TPM avec AutoBoot automatique ou l’intégration avec la technologie d’administration active d’Intel.
Fonctionnement DErenforcer la protection des systèmes contre le froid attaques de démarrage ?
Présentation générale de cette nouvelle fonction de fonctions :
Sur les plates-formes Windows modernes qui peuvent prendre en charge le nouveau mode "veille connectée", l’utilisateur peut avoir une expérience similaire à la iPad.
Ces systèmes sont toujours en état de mise sous tension.
Le système nécessite que la clé de chiffrement soit toujours en RAM, ce qui les rend vulnérables aux attaques de nettoyage de la mémoire qui peuvent nettoyer la clé de chiffrement de la mémoire RAM.
DE peut fonctionner en arrière-plan pour fournir une expérience de Windows native à l’utilisateur. Lorsque l’équipement entre dans l’état "veille connectée", la suppression efface la clé de chiffrement de la mémoire RAM. DE ce fait, il les place dans une zone sécurisée d’un système de renforcement matériel Intel afin de prévenir les attaques de démarrage à froid et de nettoyage de la mémoire. Lorsque l’équipement passe à l’état actif, la clé de chiffrement est replacée de manière transparente vers la RAM. Qui se produit après la réussite de l’authentification de l’utilisateur pour Windows.
Qu’est-ce qu’une attaque au démarrage à froid ?
Une attaque de démarrage à froid permet d’extraire des données confidentielles de la mémoire système. Elle effectue cette opération lorsque le système est sous tension ou en veille. Même si le système est protégé par un mot de passe Windows. L’attaque implique l’une des deux actions suivantes :
Redémarrage matériel du système et exécution d’un petit programme au prochain cycle de démarrage qui analyse la mémoire système à la recherche d’informations confidentielles
Suppression de la RAM d’un système mis sous tension et traduction vers un autre système pour l’analyse
Autres faits généraux de démarrage à froid :
DE renforcer les systèmes contre une attaque de démarrage à froid lorsqu’un système passe à l’un des modes d’attente. ECHÉANCIERS 7.1.x supprime la clé de la mémoire. Il est stocké dans un emplacement sécurisé qui est toujours accessible lors de la mise en veille connectée. Le système continue de fonctionner comme un utilisateur s’y attend ; Toutefois, le système est moins vulnérable à une attaque de type démarrage à froid, car la clé n’est plus en mémoire.
DE supprimer complètement la clé de la mémoire. Cette fonction renforce le système contre les attaques de type mémoire. Tous les efforts ont été entrepris pour s’assurer que la clé a été supprimée de la mémoire. Mais McAfee entreprise ne peut pas garantir sa suppression, en raison de la manière dont Windows gère la mémoire.
De plus, cette fonction ne fonctionne pas avec la sécurité basée sur la virtualisation, introduite dans Windows RS1 et versions ultérieures. Il ne peut donc pas être activé sur ces plates-formes..
La seule condition dans laquelle la clé est replacée dans la mémoire est une fois qu’un utilisateur s’est authentifié avec succès pour Windows. Le simple fait d’avoir Windows en cours d’exécution ne met pas la clé en mémoire.
Si la clé n’est pas en mémoire, elle est conservée dans une zone de stockage sécurisé qui n’est pas en mémoire. La clé peut être supprimée de la mémoire lorsque l’un des événements suivants se produit :
Le système est éteint.
L’utilisateur se déconnecte.
L’utilisateur verrouille la station de travail.
Le système attend l’authentification d’un utilisateur à l’invite de connexion Windows.
Une fois le système sorti de veille ou de veille
Si les utilisateurs sont authentifiés et qu’ils se trouvent sur leur poste de travail, la clé est en mémoire. Si les utilisateurs n’ont pas été authentifiés, ou s’ils ne sont pas sur leur poste de travail, la clé n’est pas en mémoire.
Billets Un administrateur peut sélectionner, via une stratégie, les conditions dans lesquelles la clé est supprimée.
Bien qu’un seul pilote soit requis pour gérer la clé en mémoire, il fonctionne dans l’un des deux modes. Ces deux modes sont les suivants :
Chiffre chiffré standard
Chiffrement de sécurité élevé
QuoiMode de chiffrement standard ?
Il s’agit d’un État du pilote de chiffrement, où :
La clé de chiffrement est stockée dans la mémoire RAM.
Pas de protection contre les attaques de type démarrage à froid ou à l’aide de la mémoire RAM.
Hautement optimisé pour les performances.
Utilise la même implémentation d’algorithme que dans les EEPC hérités précédents. 7.x lance.
QuoiMode de chiffrement de sécurité élevé ?
Il s’agit d’un État du pilote de chiffrement, où :
Utilise une nouvelle implémentation de l’algorithme de chiffrement AES256-CBC.
La clé de chiffrement est stockée dans un emplacement sécurisé, et non dans la mémoire RAM.
SENSIBILITÉ
La baisse des performances est importante.
Les stratégies mises en œuvre sont désactivées dans cet État.
Autres faits généraux de chiffrement de sécurité élevé :
Le pilote effectue l’échange entre les deux modes et est défini via une stratégie.
Exemple : DE 7.1 peut être échangé en mode de chiffrement de sécurité élevé lorsque le système est :
Verrou
Déconnecté
Est passé en mode veille. Veuillez Le mode de chiffrement standard reprend lorsque l’utilisateur s’est authentifié avec succès pour Windows.
Cette fonctionnalité peut être utilisée avec le démarrage automatique TPM.
Le temps de démarrage est plus lent en mode de chiffrement de sécurité élevé. A partir du démarrage initial, la clé n’est pas stockée en mémoire tant que l’utilisateur n’est pas parvenu à s’authentifier sur Windows. Si vous utilisez une tablette, il est rare que vous l’éteigniez. par conséquent, vous ne rencontrez pas toujours ce problème.
Lorsque le système exécute une tâche intensive sur le disque dur et que la station de travail est verrouillée, la station de travail s’exécute plus lentement. Les utilisateurs observent les performances trouvées lorsqu’ils sont renvoyés ultérieurement. Vu, car lorsque le système est en cours d’exécution en mode de chiffrement de sécurité élevé. Ce problème survient lorsque la clé n’est pas en mémoire.
En mode de chiffrement élevé de sécurité, vous disposez d’un compromis en matière de sécurité et de performances. Il est important de se souvenir que lorsqu’un utilisateur utilise activement son système, les performances complètes normales sont observées. Il ne s’agit que des périodes pour lesquelles l’authentification a encore eu lieu et l’impact sur les performances de l’utilisateur.
Exemple d’impact sur les performances lorsque le pilote utilise le mode de chiffrement de sécurité élevé :
Les performances de l’algorithme brut sont les suivantes : AES-ou-processeurs 64 bits :
Chiffrement standard = 1 cycle d’horloge du processeur/octet
Chiffrement de sécurité élevé = 15 cycles d’horloge du processeur/octet
32-bit non AES-processeur compatible avec :
StandardCrypt = 35 cycles d’horloge du processeur/octet
Élevé Security chiffrement = 133 cycles d’horloge du processeur/octet
Veuillez L’impact peut être supérieur à l’algorithme brut ci-dessus en raison des tests exécutés alors que les interruptions sont désactivées. Dans un autre cas, par exemple : si un système a connu un débit de 208 Mo/seconde en chiffrement standard, il peut chuter à 20 Mo/seconde en chiffrement de sécurité élevé.
Existe-t-il des exigences matérielles pour l’utilisation de cette fonctionnalité de mode de chiffrement de sécurité élevé ?
Oui. Ces informations sont fournies dans KB79291. VeuillezLe système doit prendre en charge la mise en veille connectée et il doit s’agir d’une tablette Trail de trèfle ou d’un système Haswell.
Existe-t-il une différence entre’veille connectée’et’Smart Connect' ?
Oui. Smart Connect est une technologie plus ancienne. Smart Connect dispose d’un pilote qui réactive périodiquement le système et se connecte à un serveur pour extraire des notifications. La mise en veille connectée est une nouvelle technologie qui permet au système de passer à un nouvel état d’alimentation sur le processeur.
La mise en veille connectée nécessite un nouveau matériel pour la prendre en charge. La fonctionnalité Smart Connect ne le fait pas. Vous pouvez donc disposer d’une connexion intelligente sur un système Windows 7 avec un processeur et un matériel plus anciens. Techniquement parlant, Smart Connect utilise l’état de l’alimentation S3, qui est en veille. La veille connectée utilise l’état de l’alimentation RTD3, qui est un état différent sur le processeur.
Qu’est-ce qu’une mise en veille connectée ?
La veille connectée n’est pas véritablement un mode de veille réel. Il s’exécute dans ce nouvel état d’alimentation et laisse certains services en cours d’exécution qui peuvent recevoir des notifications du serveur. La configuration matérielle requise est donc disponible uniquement sur Windows 8.x père.
Exemple : la configuration matérielle requise pour la mise en veille connectée sur Windows 8 tirer parti du mode veille connectée si toutes les conditions matérielles suivantes sont remplies :
Un indicateur de microprogramme indique la prise en charge de la norme.
Le volume de démarrage n’utilise pas de disque rotatif.
Prise en charge de NDIS 6.30 par tous les équipements réseau.
Refroidissement passif lors de la mise en veille connectée.
Billets Il existe d’autres exigences propres à la sécurité, par exemple :
La mémoire doit être soudée à la carte mère pour empêcher les vecteurs d’attaque de démarrage à froid qui impliquent la suppression de la mémoire de l’ordinateur.
Est-il possible de cloner un disque dur (HDD) existant sur un disque de plus grande taille, de rendre le nouveau disque amorçable et d’allonger la taille de l’environnement de la fenêtre ?
Aucun. Pour migrer vers un disque dur plus volumineux, vous devez d’abord déchiffrer le disque dur, terminer le clonage, puis rechiffrer.
Est-il possible d’effectuer un effacement à distance d’un système chiffré ?
Aucun. L’environnement Pre-Boot ne dispose pas d’une fonctionnalité réseau.
PourquoiWindows 8 avez-vous besoin d’un changement important pour les produits de chiffrement ?
Microsoft a introduit de nombreuses nouvelles fonctionnalités avec Windows 8 et versions ultérieures. Ceux qui ont un impact sur le chiffrement sont les suivants :
A Unified Extensible Firmware Interface (UEFI) Boot Process
GPT Disk partitioning
Secure Boot
Hybrid Boot
Windows 8 Modern User Interface (UI)
Windows 8 Tablets
Autres faits généraux de chiffrement de sécurité élevé :
Windows 8.x comporte deux méthodes de démarrage possibles. En fonction de la configuration et des fonctionnalités de votre système,
Windows 8 installe la fonctionnalité de démarrage avec le nouveau processus de démarrage UEFI ou le processus de démarrage du BIOS hérité.
Vous ne pouvez pas modifier un paramètre de configuration et échanger Windows 8 d’un processus de démarrage à un autre. Vous devez réinstaller complètement Windows 8 en raison de la modification apportée au mécanisme de partitionnement.
A partir de Windows 8 et versions ultérieures, DE dispose DE deux environnements Pre-Boot. Un Pre-Boot pour gérer le processus de démarrage UEFI et un Pre-Boot pour gérer le processus de démarrage du BIOS.
Le client DE intelligent examine le processus de démarrage que le système est configuré pour utiliser. Il détermine ensuite quel pré-amorçage doit être installé. Ce fait permet à un administrateur de déployer sur des systèmes et de savoir que le Pre-boot approprié est installé automatiquement.
ECHÉANCIERS 7.x n’utilise pas l’interface utilisateur Windows 8 moderne (IU). Une fois Windows chargé, la seule interface utilisateur de Windows 8 est le moniteur d’état de la barre d’état système, qui est uniquement disponible sur le bureau. Elle n’est pas disponible dans l’interface utilisateur moderne.
QuoiDémarrage automatique?
AutoBoot est un compte qui contourne efficacement la protection fournie par DE. Lorsque cette option est activée, les utilisateurs ne voient pas l’écran d’authentification Pre-Boot.
QuoiDémarrage automatique réactif ?
La fonctionnalité démarrage automatique réactif est une amélioration de la fonctionnalité de démarrage automatique traditionnelle qui existe sur Windows et OS X. En mode de démarrage automatique, le lecteur est chiffré. Cependant, l’utilisateur ne voit pas l’écran d’authentification Pre-Boot et démarre directement dans le système d’exploitation.
Contrairement au démarrage automatique classique, la fonctionnalité démarrage automatique réactif présente un autre élément de fonctionnalité. Lorsque cette option est activée, les demandes d’authentification Windows sont surveillées par le produit. Si un utilisateur dépasse le nombre maximal d’échecs d’authentification spécifié, le démarrage automatique réactif active automatiquement l’authentification Pre-boot, désactive l’AutoBoot et redémarre immédiatement l’ordinateur. Une fois ces actions effectuées, l’utilisateur doit réussir l’authentification Pre-boot avant d’accéder au système d’exploitation.
Cette fonctionnalité permet à la stratégie d’authentification de passer automatiquement de l’AutoBoot (déverrouillé, non sécurisé) au Pre-Boot (verrouillé, sécurisé). Elle est basée sur certaines conditions désignées par l’administrateur.
Autres faits généraux de démarrage automatique réactifs :
Pour activer le démarrage automatique réactif (non activé par défaut), un administrateur doit effectuer les deux opérations suivantes :
Sélectionner le paramètre de stratégie de produit 'Disable and restart system after (1–10) failed logons or unlocks (Windows only, Vista onwards)'.
Et
Spécifiez le nombre d’échecs de connexion ou les déverrouillages autorisés.
La stratégie doit ensuite être affectée aux systèmes qui nécessitent la fonctionnalité de démarrage automatique réactif.
Exemple pour l’utilisation de la fonctionnalité démarrage automatique réactif. Vous souhaitez chiffrer les systèmes partagés, que tout utilisateur de l’organisation peut avoir besoin d’y accéder. Par conséquent, vous ne pouvez pas affecter un utilisateur ou un groupe d’utilisateurs spécifique à l’authentification Pre-Boot. La fonctionnalité démarrage automatique réactif peut être une solution acceptable dans les cas de figure où vous serez contraint de déployer à l’aide de la fonctionnalité démarrage automatique.
Les lecteurs sont chiffrés sur un système doté d’un démarrage automatique réactif s’ils sont définis dans la stratégie de chiffrement. Toutefois, dans la mesure où l’authentification n’est pas activée lorsque le démarrage automatique est activé, les données ne sont pas protégées.
Quelles sont les principales fonctionnalités de la fonctionnalité démarrage automatique réactif ?
Cette fonctionnalité est uniquement côté client ; Cette fonctionnalité est un client uniquement. Les événements d’audit sont téléchargés vers ePO lors de la prochaine synchronisation, mais le serveur ePO n’a aucune interaction avec cette fonctionnalité.
Cette fonctionnalité est uniquement Windows. Le démarrage automatique réactif n’est pas disponible sur Mac OS X. En raison des modifications apportées à Apple, Management of Native Encryption (MNE) a remplacé le produit EEMac. Pour plus d’informations, consultez ARTICLE KB79375.
Vous pouvez spécifier le nombre maximal de tentatives infructueuses. Un administrateur ePO peut spécifier ce numéro dans la stratégie. Elle a une valeur minimale de 1 et une valeur maximale de 10.
S’applique à toutes les tentatives d’authentification Windows. Elle s’applique à la fois aux connexions Windows et aux tentatives de déverrouillage.
Il fonctionne avec le chiffrement de logiciels et Opal.
Les utilisateurs peuvent utiliser la récupération de demande d’authentification/réponse pour permettre au système d’accéder à Windows lorsqu’un utilisateur dépasse le nombre maximal de tentatives de tentatives définies.
Un utilisateur Windows peut faire partie d’un groupe de travail ou d’un utilisateur de domaine.
Les événements sont audités. Un administrateur ePO peut voir quels systèmes ont été activés. L’événement 30070 : « démarrage automatique désactivé : nombre maximal d’échecs de connexion dépassé » est envoyé au serveur ePO, mais uniquement après la prochaine authentification réussie à Windows, et lorsque la connectivité à ePO est possible. Veuillez Le moment où le système pense qu’il est attaqué, il désactive AutoBoot et redémarre le système. Il n’y a pas de temps pour envoyer un événement à ePO. par conséquent, ePO ne sait pas si le verrouillage est mis en œuvre.
Aucune action de l’administrateur n’est requise pour réactiver la fonctionnalité démarrage automatique réactif sur un système où elle a été désactivée. Ce qui peut se produire en cas d’échec d’une tentative d’authentification de Windows. Une fois que le client a redémarré le système et accédé Windows, le démarrage automatique réactif est réactivé automatiquement. Le système n’a pas besoin de communiquer avec ePO pour réactiver le démarrage automatique.
Quelle est l’expérience de l’utilisateur lorsque le système utilise la fonctionnalité démarrage automatique réactif ?
Lorsque les utilisateurs allument leur ordinateur, ils démarrent directement dans Windows. Le démarrage automatique signifie qu’il n’y a pas d’authentification Pre-Boot. Les utilisateurs accèdent directement à la connexion Windows. En supposant qu’ils s’authentifient toujours avec Windows, leur expérience ne change pas.
L’utilisateur rencontre ce qui suit après avoir dépassé le nombre maximal de tentatives d’authentification Windows ayant échoué:
L’authentification Pre-boot est automatiquement activée et la fonctionnalité démarrage automatique est désactivée.
Un arrêt incorrect de Windows se produit et le système redémarre.
Lorsque l’ordinateur redémarre, l’écran d’authentification Pre-boot s’affiche et l’utilisateur doit s’authentifier pour accéder à Windows.
Une fois qu’un utilisateur dépasse le nombre maximal de tentatives infructueuses définies,un utilisateur ne peut pas:
Authentification à l’aide des informations d’identification Windows
Utiliser la récupération automatique pour passer le Pre-Boot et l’accès Windows Veuillez Si le système a toujours fonctionné en mode de démarrage automatique, il est peu probable que les utilisateurs aient été affectés afin d’autoriser toute authentification Pre-boot réussie.
Un utilisateur, pour accéder à Windows lorsqu’il est présenté avec l’authentification Pre-boot, l’accès à Windows doit :
Authentifiez-vous à l’écran Pre-Boot.
Ou
Passez en revue l’un des mécanismes de récupération standard.
Comment réactiver la fonctionnalité démarrage automatique réactif et désactiver l’authentification Pre-Boot pour revenir à mes workflow précédents ?
L’utilisateur doit s’authentifier au Pre-boot ou passer par le processus de récupération nécessaire pour accéder à Windows. Une fois le Windows chargé et le démarrage DE services activé, le démarrage automatique réactif est réactivé automatiquement.
Quelles fonctionnalités d’intégration d’Intel Active Management Technology (AMT) fonctionne-t-elle avec le démarrage automatique réactif ?
Bien que, en théorie, vous puissiez utiliser le cas d’utilisation avec reconnaissance de l’emplacement de l’intégration d’Intel AMT à la fonctionnalité démarrage automatique réactif, l’utilisation combinée n’est pas adaptée pour deux raisons principales.
Tout d’abord, alors que la fonctionnalité démarrage automatique réactif est activée, la fonctionnalité AMT n’est pas utilisée dans le Pre-boot, car le système démarre directement dans Windows.
Deuxièmement, du point de vue de la sécurité et de l’utilisation, il est préférable d’utiliser la fonctionnalité AMT et le cas d’utilisation avec reconnaissance de l’emplacement. Ces deux options permettent un démarrage automatique sécurisé et autorisé du système dans Windows. Si vous avez activé cette fonctionnalité, il s’agit de la solution la plus sécurisée par rapport à la fonctionnalité démarrage automatique réactif.
Vous pouvez envisager d’utiliser AMT pour supprimer ou réduire les appels au Help Desk auprès des utilisateurs lorsque la fonctionnalité de démarrage automatique réactif active l’environnement Pre-Boot. Cette fonctionnalité peut réduire la nécessité d’un appel au service d’assistance pour poursuivre au-delà de l’environnement Pre-Boot. Toutefois, vous pouvez toujours rencontrer un cas où l’appel de Help Desk est requis. Plus important encore, la fonctionnalité AMT assure la sécurité des données en exigeant une authentification Pre-boot automatique à fournir par le serveur. En revanche, le démarrage automatique n’a pas d’authentification Pre-Boot et ne fournit aucune sécurité de données.
L’expérience utilisateur semble être la même si les conditions suivantes s’appliquent :
Lorsque l’intégration AMT et la fonctionnalité démarrage automatique réactif sont utilisées
Lorsque l’utilisateur ne parvient pas à s’authentifier trop souvent
Veuillez Toutefois, les différences principales sont les suivantes :
Exemple de scénario : FAUT Vous avez activé la fonctionnalité Intel AMTReconnaissance de l’emplacement'. McAfee Enterprise recommande d’utiliser cette fonctionnalité et pas le démarrage automatique réactif. En effet, parce qu’il assure la sécurité des données en s’authentifiant à partir du serveur. Si nécessaire, vous pouvez définir une stratégie Windows pour désactiver l’utilisateur s’il ne parvient pas à s’authentifier après un seuil défini.
La fonctionnalité démarrage automatique réactif est une solution non sécurisée qui démarre dans Windows à l’aide d’informations cryptographiques déjà présentes sur le client.
L’intégration d’Intel AMT est une solution sécurisée qui contacte ePO et demande l’autorisation de démarrer dans Windows. Il reçoit ensuite les informations de chiffrement nécessaires pour le faire.
Sur un système client utilisant la fonctionnalité démarrage automatique réactif, la fonctionnalité AMT n’est pas utilisée dans le Pre-Boot. Lorsqu’un utilisateur ne parvient pas à s’authentifier à plusieurs reprises, le démarrage automatique réactif active l’environnement Pre-Boot et redémarre le système.
L’environnement Pre-boot utilise AMT et contacte ePO pour recevoir l’autorisation de démarrer. Si ePO ne répond pas, l’utilisateur est dans la même situation que le démarrage automatique classique réactif sans AMT.
L’utilisateur est renvoyé à l’écran d’authentification de la Windows. Le démarrage automatique actif est activé, car le système a démarré dans Windows. L’utilisateur peut continuer à saisir des mots de passe incorrects jusqu’à ce Windows désactive l’utilisateur.
Ce scénario peut forcer un appel Help Desk. La fonctionnalité démarrage automatique réactif est une activité côté client. Il n’y a aucune communication avec le serveur ePO et aucune heure n’est disponible pour communiquer avec le serveur lorsque la fonctionnalité répond aux tentatives de connexion qui ont échoué.
QuoiChiffrement initial rapide (secteur utilisé uniquement) ?
Le chiffrement initial rapide est la possibilité d’installer le produit de sur un système et d’effectuer un chiffrement en quelques minutes. Par rapport à plusieurs heures qui sont requises dans des circonstances normales.
Fonctionnalités clés de chiffrement initial rapide (secteurs utilisés uniquement) :
La fonction principale de chiffrement initial rapide est destinée au chiffrement initial d’un système à l’origine d’une nouvelle installation/image. Le système est assis sur un bureau d’un technicien informatique et n’est pas utilisé par l’utilisateur. Vous pouvez consulter les cas d’utilisation de la configuration en interne ou de la configuration par un tiers à partir des FAQ sur l’activation hors ligne.
Cette fonctionnalité ne peut pas être utilisée avec un disque Opal. Il n’est pas nécessaire d’utiliser le chiffrement initial rapide avec un disque Opal, car le disque est toujours chiffré de manière techniquement. Le processus DE désactivation active le mécanisme de verrouillage du lecteur. Actuellement, un disque Opal passe d’inactif à actif et entièrement chiffré en quelques minutes. Consultez également les FAQ sur l’activation hors ligne.
Vous ne pouvez pas utiliser le chiffrement initial rapide dans le cadre du processus d’activation normal.
Pour afficher un document détaillé couvrant les avantages du chiffrement de votre ordinateur en quelques minutes à l’aide de la fonctionnalité de chiffrement initial rapide, consultez KB81093.
Le chiffrement initial rapide peut être utilisé avec un disque dur normal (HDD) ou un disque SSD (Solid State Disk). Toutefois, il est important de lire les considérations relatives à Secteur utilisé uniquement (voir ci-dessous).
Autre chiffrement initial rapide (secteur utilisé uniquement) :
Le chiffrement initial rapide supprime la protection contre les pannes d’alimentation. Qui fournit une protection contre les fuites de données en cas de panne d’alimentation ou de fermeture forcée. Il effectue le chiffrement initial aussi rapidement que le permet le matériel. Il chiffre également uniquement les secteurs en cours d’utilisation.
Le chiffrement initial rapide diffère de la méthode DE 7.1 et les versions antérieures ont fonctionné. En règle générale, le produit suppose qu’il chiffre un système en cours d’utilisation. Il donne la priorité à l’expérience utilisateur pour réduire l’impact sur la routine quotidienne de l’utilisateur. Ce fait peut permettre à l’utilisateur de continuer à fonctionner pendant le chiffrement et offre une protection contre les pannes de courant ou la fermeture forcée. Dans un déploiement standard, le processus de chiffrement met plus de temps à se terminer. En effet, le chiffrement de tous les secteurs des volumes et des partitions. Il chiffre toute zone spécifiée dans la stratégie de chiffrement. Même les secteurs vides qui ne contiennent aucune donnée sont chiffrés.
Le chiffrement initial rapide chiffre uniquement les secteurs utilisés. Le produit interroge le système d’exploitation pour lequel les secteurs sont en cours d’utilisation par le système de fichiers. Le produit chiffre alors uniquement les secteurs marqués comme étant utilisés dans les volumes et les partitions. Par volume et partition spécifiés dans la stratégie de chiffrement. Lors d’une nouvelle installation, ce nombre représente généralement un petit sous-ensemble de la taille totale du disque.
Lorsque de nouvelles données sont écrites sur le disque, dans la mesure où de nouveaux secteurs sont utilisés, ils sont chiffrés.
Le chiffrement initial rapide est uniquement disponible sur Windows avec DE 7.1. En raison des modifications apportées à Apple, MNE a remplacé le produit EEMac.
Pour activer le chiffrement initial rapide dans le cadre d’une package d’activation hors ligne, utilisez l’une des deux options suivantes :
SkipUnused (valeur par défaut désactivée)
DisablePF (valeur par défaut désactivée)
Cette fonctionnalité n’est pas activée par défaut pour l’activation hors ligne. Vous devez explicitement activer le chiffrement initial rapide.
Le chiffrement initial rapide est disponible uniquement dans le cadre du processus d’activation hors ligne. L’option d’activation hors ligne est appelée Ignorer les secteurs inutilisés.
Autre chiffrement initial rapide (secteurs utilisés uniquement) informations sur l’expérience utilisateur :
Lorsque le chiffrement initial rapide est activé, l’utilisateur doit saisir Oui lors de l’utilisation des secteurs utilisés uniquement. Cette action permet de s’assurer que vous avez lu l’exclusion de responsabilité et que vous comprenez l’utilisation de cette fonctionnalité. Il est important de lire les considérations relatives au secteur utilisé uniquement.
Lorsqu’un utilisateur ne tape pas oui à l’invite, le package d’activation hors ligne n’est pas généré et le processus échoue. Vous devez reconstruire à nouveau le package et saisir correctement’Oui’ou supprimer l’option secteurs utilisés uniquement de la package.
L’option de chiffrement initial rapide utilisée par le secteur affecte-t-elle uniquement les disques durs et SSD de la même manière ?
Il y a un impact et une implication plus importants sur SSDs en raison du mode de fonctionnement de SSDs. Pour plus d’informations sur les problèmes de performances signalés sur certains SSDs, consultez KB66256. Informations générales sur les autres secteurs utilisés uniquement :
L’option « utiliser le secteur uniquement » signifie qu’aucun secteur du disque n’est chiffré. Le produit chiffre uniquement les secteurs que les États du système d’exploitation sont en cours d’utilisation. Tous les autres secteurs (espace blanc) sont laissés dans un État non chiffré jusqu’à ce qu’ils soient utilisés. Même si ces secteurs contiennent des données confidentielles précédemment supprimées. Tous les nouveaux secteurs écrits en fonctionnement normal sont écrits dans un État chiffré.
La recommandation relative à l’utilisation de l’option secteurs utilisés uniquement s’applique à la fois aux nouveaux disques HDD et SSD. Cette fonctionnalité peut être utilisée avant que les données de l’entreprise confidentielle ne soient écrites sur le disque.
Lorsque vous recyclez un disque plus ancien qui était entièrement chiffré avec DE, cette fonctionnalité peut toujours être utilisée. En supposant que tous les volumes qui contenaient des données confidentielles étaient chiffrés précédemment. Si cette condition n’est pas remplie, il est conseillé de ne pas utiliser cette fonction.
Pour afficher les données qui montrent les améliorations apportées lors de l’utilisation du chiffrement initial rapide (secteur utilisé uniquement), reportez-vous à KB77844.
FAUT N’utilisez pas cette fonctionnalité sur les disques qui contenaient auparavant des données d’entreprise confidentielles. Chiffrez l’ensemble du volume/de la partition/disque.
Puis-je redémarrer un ordinateur pendant le chiffrement du disque dur ?
Deux scénarios sont à prendre en compte :
Vous ne pouvez pas redémarrer l’ordinateur lorsque vous utilisez Chiffrement initial rapide et lorsque le DisablePF la fonctionnalité est activée. Un redémarrage du système dans ces conditions entraînerait une perte de données.
Avec le chiffrement complet des disques (FDE), un redémarrage est possible. Avec le FDE, le chiffrement se poursuit lorsque l’ordinateur a redémarré.
Quelle est la taille maximale du disque dur DE prise en charge ?
Quel que soit le BIOS ou l’UEFI pris en charge, DE prend en charge. Le BIOS est techniquement limité à 2.2 TB, où UEFI est limité à 9.4 ZB.
Pour plus d’informations sur la limitation UEFI, reportez-vous à la section http://www.uefi.org/sites/default/files/resources/UEFI_Drive_Partition_Limits_Fact_Sheet.pdf
Puis-je toujours effectuer une activation normale ou hors ligne avecLa protection contre les pannes d’alimentation a activé et chiffre tous les secteurs, et pas seulement ceux qui sont en cours d’utilisation ?
Oui. Vous devez explicitement activer le chiffrement initial rapide pour qu’il soit utilisé. S’il n’est pas activé, le processus normal d’activation et de chiffrement initial est utilisé.
Puis-je désactiver l’option de protection contre les pannes d’alimentation mais autoriser la fonctionnalité de chiffrement des secteurs utilisés uniquement ?
Oui. Vous pouvez sélectionner n’importe quelle combinaison des deux options. Toutefois, en raison des problèmes de sécurité potentiels liés à l’utilisation du chiffrement « secteurs utilisés uniquement » sur les lecteurs recyclés (disques incorrects), il est possible de désactiver cette option. Il est important de lire les considérations relatives au secteur utilisé uniquement.
QuoiUEFI?
UEFI (Unified Extensible Firmware Interface) définit l’interface micrologicielle de prochaine génération pour votre ordinateur personnel. Le micrologiciel du système de base d’entrée et de sortie (BIOS), initialement écrit en assembly et utilisant des interruptions logicielles pour l’e/s, a défini le système PC depuis sa création. Cependant, les modifications apportées au paysage informatique ont fait la formation d’une définition de microprogramme moderne à la nouvelle génération de tablettes et d’équipements. Autres faits UEFI :
UEFI est géré via le Forum UEFI. Ensemble de chipsets, matériels, systèmes, micrologiciels et fournisseurs de systèmes d’exploitation. Le Forum gère les spécifications, les outils de test et les implémentations de référence qui sont utilisés sur un grand nombre d’ordinateurs UEFI.
L’objectif de l’UEFI est de définir une méthode standard pour que le système d’exploitation communique avec le microprogramme de la plate-forme au cours du processus de démarrage. Avant UEFI, le mécanisme principal de communication avec le matériel au cours du processus de démarrage était des interruptions logicielles. Les PC modernes peuvent effectuer des entrées/sorties de blocage plus rapides et plus efficaces entre le matériel et les logiciels. En outre, UEFI permet à des conceptions d’utiliser le potentiel complet de leur matériel.
UEFI permet la conception modulaire de microprogramme qui permet aux concepteurs de matériel et de système une plus grande flexibilité dans la conception de microprogrammes pour les environnements informatiques modernes les plus exigeants. Tandis que les e/s étaient limitées par des interruptions logicielles, UEFI favorise le concept de normes de codage basées sur les événements et indépendants de l’architecture.
ECHÉANCIERS 7.1 prend en charge la version UEFI 2.3.1 et versions ultérieures.
Les systèmes Windows 7 (64 bits) et Windows 8 (32 bits et 64 bits) et versions ultérieures prennent en charge un processus de démarrage UEFI.
Quelles sont les principales fonctionnalités d’utilisation d’UEFI avec DE ?
Il existe différents outils de récupération pour les systèmes dotés d’un processus de démarrage UEFI. Etant donné qu’il s’agit d’un processus de démarrage différent, un outil de récupération différent est requis pour gérer les différents processus de démarrage.
Detech est également un application UEFI. Un application de détechnologie est utilisé pour la récupération sur les systèmes à l’aide d’un processus de démarrage UEFI. Veuillez Vous ne pouvez pas utiliser les outils de détechnologie BIOS (hérité) avec un système de démarrage UEFI.
FAUT Un système avec un processus de démarrage UEFI ne fonctionne pas avec les disques partitionnés MBR. Windows nécessite un nouveau mécanisme de partitionnement de disque, appelé GPT, pour démarrer sous UEFI.
Tous les jetons et lecteurs pris en charge fonctionnent dans le BIOS et l’UEFI, avec les exceptions suivantes : pour examiner les jetons pris en charge pour l’authentification dans de 7.1.x, consultez KB79787.
Pour examiner les lecteurs pris en charge pour l’authentification dans de 7.1.x, consultez KB79788.
Tous les jetons biométriques
Jetons USB eToken de SafeNet
DE Pre-boot est un application. Si vous pensez que l’UEFI est similaire à un système d’exploitation, le Pre-boot devient un application natif UEFI. Par comparaison, la version Pre-boot du BIOS est un système d’exploitation de lui-même. Dans les deux cas, le Pre-boot doit être exécuté en premier afin que, après une authentification réussie, la clé DE chiffrement puisse être chargée et que le processus de démarrage puisse continuer. Dans le monde UEFI, lorsqu’un utilisateur s’authentifie avec succès à l’écran DE pré-amorçage.
Tous les équipements à écran tactile ne sont pas pris en charge dans UEFI. Si vous pensez que l’UEFI est similaire à un système d’exploitation, les OEM doivent fournir des pilotes logiciels pour le matériel contenu dans cet équipement. Pour UEFI, l’environnement Pre-boot prend en charge le protocole simple pointer et le protocole pointeur Absolute. Un ou plusieurs de ces protocoles sont censés être mis en œuvre pour tous les équipements à écran tactile rencontrés. Si un fabricant ou un OEM de l’implémentation UEFI n’a pas pu mettre en œuvre l’un ou l’autre de ces mécanismes, la prise en charge de l’équipement à écran tactile ne peut pas être garantie. Veuillez McAfee entreprise a constaté son propre test interne, car toutes les implémentations UEFI des OEM n’implémentent pas réellement ces interfaces. Dans ce cas, le créateur de l’implémentation UEFI sur ce système sort des sections de la spécification UEFI.
Les lecteurs GPT sont pris en charge avec UEFI. Ils sont pris en charge en tant que disques de démarrage ou secondaires.
Implémentation UEFI dans tous les fournisseurs. Les mises en œuvre UEFI diffèrent selon les fournisseurs de matériel. Selon l’implémentation UEFI, les problèmes peuvent aller de l’une des valeurs suivantes :
Protocoles manquants requis pour prendre en charge les disques Opal.
Problèmes de prise en charge de la norme USB fournie dans l’environnement Pre-boot, et utilisée par lors de l’utilisation du mode UEFI natif.
Disques Opal pris en charge dans UEFI :
La prise en charge des lecteurs à auto-chiffrement Opal sur les systèmes UEFI est disponible uniquement sur les systèmes conformes au logo Windows 8 ou ultérieur, qui ont été équipés d’un disque Opal à chiffrement automatique lorsqu’ils sont fabriqués.
La prise en charge des disques à chiffrement automatique Opal sous UEFI n’est pas proposée dans les cas suivants :
Adaptation des disques Opal aux systèmes pré-Windows 8
Ou
La réadaptation aux systèmes Windows 8 qui n’étaient pas livrés avec les disques Opal par les fabricants.
La raison de ce qui précède est due à un protocole de sécurité UEFI requis pour la gestion des systèmes Opal. Elle est obligatoire uniquement lorsqu’un disque à chiffrement automatique est installé au moment de l’expédition. Sans le protocole de sécurité, la gestion des disques Opal n’est pas possible.
VeuillezCe fait n’affecte pas la prise en charge des disques Opal sous BIOS. Pour obtenir la liste des modèles de lecteurs pris en charge, consultez KB81136.
La prise en charge des disques GPT (GUID partition table) est-elle prise en charge ?Windows 7
En tant que disque de démarrage, non. En tant que disque secondaire, oui. De plus, il revient au système d’exploitation de prendre en charge le lecteur secondaire en mode GPT et pour que le BIOS prenne en charge les disques volumineux pour que le detech (autonome) puisse les récupérer.
Windows 8 et versions ultérieures
Les disques principal et secondaire de la table de partition GUID (GPT) sont pris en charge sur Windows 8 avec 7.1.0 et versions ultérieures.
NOTES:
Les systèmes basés sur UEFI ne peuvent démarrer qu’à partir d’un disque GPT principal.
Les systèmes basés sur le BIOS ne peuvent pas démarrer à partir d’un disque GPT principal. Sur ces systèmes à partir de EEPC 7.0 et versions ultérieures, les disques GPT sont uniquement pris en charge en tant que lecteur secondaire.
Quelle est l’expérience de l’utilisateur lorsque le système utilise UEFI ?
Les environnements Pre-boot ressemblent et se comportent de la même façon. Un utilisateur n’a pas pu déterminer la différence entre l’environnement de pré-amorçage UEFI et le BIOS.
Pourquoi dois-je créer et utiliser le support de récupération de la fonctionnalité detech WinPE, lorsque la version autonome detech inclut davantage de fonctionnalités. Par exemple, la création d’un démarrage d’urgence ?
La version WinPE est beaucoup plus rapide que la version autonome.
La version WinPE vous permet également d’accéder au disque dur chiffré, de corriger Windows problèmes ou de copier des données utilisateur sur un autre lecteur avant de procéder à la régénération.
Vous pouvez également exécuter l’un des outils Windows de même que et accéder au réseau.
Billets Detech standalone n’est pas rétrocompatible. Utilisez toujours une version de support de récupération detech correspondante. Si le client dispose DE 7.1 installé, création d’une détechnique 7.1 Support de récupération autonome pour effectuer des actions de récupération.
FAUT Il n’est pas possible pour McAfee Enterprise de fournir à ses clients un CD de récupération WinPE, car une licence Microsoft valide est requise.
Quoi Démarrage sécurisé ?
Le démarrage sécurisé est une fonctionnalité activée par UEFI, mais Microsoft impose des mises en œuvre spécifiques pour les PC x86 (Intel). Le démarrage sécurisé est activé sur tous les systèmes dotés de l’autocollant du logo Windows 8.
UEFI comporte un processus de validation de microprogramme, appelé démarrage sécurisé, qui est défini au chapitre 27 de l’UEFI. 2.3.1 Notice. Le démarrage sécurisé définit comment le microprogramme de la plate-forme gère les certificats de sécurité, la validation du microprogramme et une définition de l’interface (protocole) entre le microprogramme et le système d’exploitation. Il crée une racine de confiance qui commence dans UEFI. Qui valide le module suivant dans la chaîne avant de le charger et de l’exécuter. La validation vérifie qu’elle n’a pas été modifiée depuis qu’elle a été signée numériquement. Grâce à l’architecture de démarrage sécurisé et à l’établissement d’une chaîne d’approbation, le client est protégé contre les logiciels malveillants s’exécutant dans le processus de démarrage. Seuls des chargeurs de code et des chargeurs de démarrage certifiés et signés peuvent être exécutés avant le chargement du système d’exploitation lui-même. Autres informations générales sur le démarrage sécurisé :
ECHÉANCIERS 7.1.x prend en charge le démarrage sécurisé.
DE est signé, le processus DE démarrage sécurisé l’approuve.
Le démarrage sécurisé ne fonctionne pas sur les systèmes Windows 8 ou ultérieurs basés sur le BIOS. Elle ne fonctionne que sur les systèmes UEFI.
QuoiDémarrage hybride/ Démarrage rapide/démarrage rapide ?
Dans les versions précédentes de Windows, un arrêt traditionnel fermait toutes les sessions utilisateur, les services et les équipements, et fermait également le noyau pour préparer un arrêt complet. Windows 8 ferme les sessions utilisateur, mais plutôt que de fermer la session du noyau, Windows 8 la mettre en veille prolongée. Les heures d’arrêt et de démarrage sont plus rapides. Veuillez Microsoft Windows 8 ajoute la prise en charge du démarrage rapide (précédemment connu sous le nom de démarrage hybride); avec la version de Windows 10 et versions ultérieures, cette fonctionnalité est désormais connue sous le nom de démarrage rapide.
Autre démarrage hybride, Démarrage rapide, démarrage rapide informations générales :
ECHÉANCIERS 7.1.x ne prend pas en charge Démarrage hybride, Démarrage rapide et Démarrage rapide ne sont pas pris en charge. DE fonctionnalités sont affectées si elles sont activées.
L’authentification unique (SSO) fonctionne dans un fichier de démarrage hybride. DE prend en charge les SSO sur un c.v. à partir de la mise en veille prolongée, contrairement aux versions précédentes de EEPC.
ECHÉANCIERS 7.1 inclut des améliorations dans tous les domaines de performances, qui sont inexceptionnellement rencontrés avec un processeur compatible avec AES-NI. Dans les tests internes, ECHÉANCIERSa rencontré des temps de démarrage chiffrés/non chiffrés comparables à l’aide d’un démarrage hybride.
Je vois des références à Windows RT. Qu'est-ce que c'est?
Windows RT (anciennement appelé Windows on ARM) est une version de Windows 8 pour les équipements ARM. Seuls les logiciels écrits pour l’interface d’interface utilisateur moderne Windows 8 sont exécutés sur Windows RT, à l’exception de Microsoft Office 2013 RT et de Internet Explorer 10. Tous les application écrits à l’aide des API Win32, qui sont les applications les plus récentes, ne s’exécutent pas sur Windows RT.
Qu’est-ce qu’un WindowsCOMPRIME?
Un Windows tablette est un équipement de type tablette capable et certifié d’exécuter des Windows. Il existe deux principales catégories de Windows tablettes :
Comprimés alimentés par des processeurs Intel
Tablettes alimentées par des processeurs ARM
Autres informations générales sur les tablettes :
ECHÉANCIERS 7.x ne existant support Windows tablettes à l’aide d’un processeur ARM et Windows RT
ECHÉANCIERS 7.x prend en charge les tablettes Windows à l’aide d’un processeur Intel. Ces tablettes sont considérées comme n’importe quel autre système Windows. Toutefois, examinez les précautions suivantes :
Capacité du processeur
Prise en charge de l’écran tactile
Capacité du processeur sur les tablettes. L’équipe de développement de produits a noté que certains Prévisualisations des Windows tablettes des fabricants contiennent des processeurs moins puissants. Certaines d’entre elles ne disposant pas de fonctionnalités AES-NI. Les clients doivent être conscients des capacités du processeur pour s’assurer que l’utilisateur bénéficie d’une expérience optimale lorsque le système est chiffré.
Prise en charge de l’écran tactile sur les tablettes.
Certains Windows des tablettes disposent de claviers. ainsi, la prise en charge de l’écran tactile n’est pas un problème. Pour les équipements ne disposant pas de claviers, ces équipements nécessitent l’authentification de l’utilisateur à l’aide de l’interface tactile dans Pre-Boot.
Quoiactivation hors ligne ?
L’activation hors ligne permet d’activer l’activation sans connexion à ePO.
Autres faits généraux relatifs à l’activation hors ligne :
Processus de haut niveau pour l’activation hors ligne :
Un administrateur crée un package hors ligne sur le serveur ePO. Cette package contient la première stratégie qui doit être créée, ainsi qu’une liste d’utilisateurs hors ligne.
Une fois la package créée, elle peut être distribuée aux clients avec le packages MSI nécessaire à l’installation DE. Si l’installation DE est réussie, l’package hors ligne est exécutée et la stratégie est appliquée et mise en œuvre.
Vous pouvez désormais vous connecter avec les « utilisateurs hors ligne » dans Pre-Boot.
Il n’existe aucun journal audit dans ePO pour trouver des informations sur un système activé via l’activation hors ligne. Comportement attendu, car le système n’a jamais communiqué avec ePO ; Il n’existe aucune information sur ce système.
Si un équipement est activé uniquement via l’activation hors ligne, vous n’êtes pas en mesure de prouver qu’il a été chiffré. Si le système n’a jamais communiqué avec ePO. Il n’existe pas d’informations dans ePO qui peuvent être utilisées à des fins d’audit, en cas de perte ou de vol. Une fois que le système communique avec ePO et passe en mode en ligne, toutes les informations normales sont présentes dans ePO. Une fois le transfert terminé, il prouve l’état de chiffrement du système.
L’ajout d’utilisateurs du domaine local (ALDU) ne fonctionne pas en mode hors ligne. ALDU est un processus en deux étapes qui nécessite qu’ePO effectue l’affectation de l’utilisateur/du système. Etant donné qu’ePO n’est pas disponible pour l’activation hors ligne, ALDU ne peut pas se terminer et ne peut pas être utilisé.
Pour définir la stratégie initialepour l’activation hors ligne, utilisez les paramètres disponibles dans l’utilitaire de création de package hors ligne.
Un système rejette tous les utilisateurs hors ligne lorsque le système parvient à communiquer avec le serveur ePO.
Quels sont les cas d’utilisation hors ligne ?
Les trois principaux cas d’utilisation mentionnés par l’activation hors ligne sont les suivants :
Configuration en interne.
La configuration par un tiers.
Un système distant qui ne se connecte jamais à ePO.
Veuillez Il existe d’autres cas d’utilisation où l’activation hors ligne peut être utile ; mais, DE 7.1 se concentre sur ces trois cas d’utilisation.
Un cas d’utilisation de la configuration en interne pour l’activation hors ligne est l’endroit où vous pouvez avoir votre propre processus de configuration. Le processus peut indiquer qu’un système doit être installé sur le système d’exploitation, ainsi que toutes les applications approuvées par l’entreprise. Le disque doit être entièrement chiffré avant d’être remis à l’utilisateur. Au point de configuration, il se peut que vous ne disposiez pas de la connectivité réseau, car les équipements peuvent se trouver sur une étagère dans une pièce distincte.
Configuration par un cas d’utilisation tierce pour l’activation hors ligne. Il se peut que vous disposiez d’une tierce partie externe pour configurer vos équipements. Dans ce cas, vous ne souhaitez pas ouvrir votre pare-feu pour autoriser les connexions à ePO, mais vous avez besoin que tous les ordinateurs portables soient chiffrés avant d’être remis.
Le cas d’utilisation hors ligne d’un système distant qui ne se connecte jamais à ePO.
Vous avez un client dans un emplacement à distance.
Le client n’a pas de connectivité réseau.
Le système peut collecter des données confidentielles et doit être chiffré.
Vous pouvez distribuer un CD avec les packages MSI. Les packages installent McAfee Agent, DE et l’activation hors ligne package.
Les packages MSI ensuite exécutés pour installer, activer et chiffrer le système.
Comment la récupération fonctionne-t-elle pour l’activation hors ligne ?
Si l’administrateur a choisi d’enregistrer la clé de chiffrement, la clé est écrite dans un fichier sur un disque. Il incombe ensuite à l’utilisateur de transférer cette clé chiffrée à l’administrateur à l’aide d’une méthode approuvée par l’entreprise. Lorsque les administrateurs disposent de la clé chiffrée, ils peuvent les déchiffrer lorsque cela est nécessaire à l’aide du serveur ePO qui a créé l’package hors ligne. Le résultat de ce processus de déchiffrement est un fichier XML standard qui peut être utilisé avec les outils DE récupération.
Autres faits généraux relatifs à l’activation hors ligne :
Une seule option de récupération est disponible pour une activation hors ligne. Cette option est une récupération locale à l’aide des outils DE récupération.
Si l’administrateur a désactivé la récupération locale, le seul choix est d’utiliser les outils DE récupération pour corriger les problèmes rencontrés avec le système. Il est également possible de connecter le système à ePO. A quel moment les utilisateurs et les stratégies seront-ils remplacés par les informations fournies par ePO. Toutefois, ce scénario nécessite la possibilité de démarrer dans Windows.
Il n’existe aucune option de récupération supplémentaire pour l’activation hors ligne lorsque :
La récupération locale est désactivée
Et
Vous n’avez pas enregistré la clé de chiffrement.
Quelles sont les principales fonctionnalités relatives à l’activation hors ligne pour l’installation ?
Tenez compte des systèmes activés par l’activation hors ligne en tant que systèmes non managés. Cela est dû au fait que vous ne les voyez peut-être pas dans ePO et que vous ne pouvez pas les gérer dans ePO.
FAUT Il n’existe pas de version autonome et non managée de de pour les systèmes hors ligne et activés. L’activation hors ligne peut vous permettre de créer un système autonome chiffré en fonction d’une stratégie spécifique. Toutefois, lorsque la première mise en œuvre de stratégie est terminée, vous ne pouvez pas mettre à jour la stratégie ou les utilisateurs. Il n’existe aucune console locale ni aucune méthode pour mettre à jour les informations de stratégie ou d’utilisateur. Toutefois, un mécanisme de récupération de clés est pris en charge. Pour plus d’informations, consultez la FAQ sur la récupération des utilisateurs hors ligne ci-dessous.
Pour l’activation hors ligne, il est important de pouvoir installer le fait sur le système. La méthode d’installation que vous utilisez (par exemple, un CD/DVD pour les utilisateurs avec packages MSI qu’il est possible d’exécuter, ou une méthode plus automatisée) dépend de votre environnement spécifique.
Les conditions d’installation suivantes sont requises pour l’activation hors ligne :
McAfee Agent
Agent McAfee Endpoint Encryption
ECHÉANCIERS
Package hors ligne créé par l’administrateur
Un système peut être activé via l’activation hors ligne d’EPO plus tard à partir d’ePO.
Lorsqu’un système activé hors ligne se connecte à ePO, voici ce qui se produit:
En supposant que l’activation hors ligne a été effectuée à des fins de configuration, le système se connecte à ePO à un point unique.
Lorsque le système parvient à communiquer avec ePO, le client passe en mode en ligne.
Le mode en ligne est défini comme une connexion normale entre le McAfee Agent et ePO. considérez qu’il s’agit d’une installation normale.
Autres détails :
Elle ignore la stratégie hors ligne qui a été mise en œuvre et supprime également tous les utilisateurs hors ligne. Il reçoit la stratégie réelle d’ePO, la liste des utilisateurs affectés en fonction de l’activation normale et enregistre sa clé de chiffrement dans ePO. Vous pouvez l’afficher en tant que seconde, mais automatique. FAUT N’oubliez pas que toutes les informations hors ligne sont supprimées si l’utilisateur n’est pas connu du serveur ePO avant la connexion. Si l’utilisateur hors ligne est connu du serveur ePO, les stratégies ePO sont déployées. Cependant, toutes les données stockées en mode hors ligne ne sont pas supprimées.
Qu’est-ce qu’unutilisateur hors ligne ?
Un utilisateur hors ligne est un utilisateur qui est utilisé pour l’authentification Pre-Boot et qui existe uniquement dans un package hors ligne spécifique. Autres informations sur les utilisateurs hors ligne :
Un utilisateur hors ligne est différent d’un utilisateur normal dans DE. Les utilisateurs hors ligne existent uniquement dans ce package hors ligne spécifique. Ces utilisateurs n’existent pas dans Active Directory et fondamentalement n’existent nulle part sauf dans cette package hors ligne.
Vous ne pouvez pas ajouter d’utilisateurs hors ligne à un système activé hors ligne à l’issue de l’activation et ils sont en dehors dans le champ pendant un certain temps.
Un utilisateur hors ligne commence par le mot de passe par défaut
Vous pouvez récupérer un mot de passe si un utilisateur hors ligne l’oublie, car les utilisateurs peuvent utiliser la fonctionnalité de récupération locale pour effectuer une récupération.
Considérations relatives à l’utilisation de jetons (autres qu’un mot de passe) pour les utilisateurs hors ligne :
Les mots de passe et les cartes à puce qui prennent en charge l’auto-initialisation peuvent fonctionner en mode hors ligne.
Les cartes à puce qui sont des PKI ne peuvent pas fonctionner car il n’existe aucun back-end pour récupérer les informations nécessaires pour authentifier l’utilisateur.
La prise en charge de la biométrie n’est pas possible.
Les jetons à initialisation automatique sont identifiés dans l’article DE jetons DE pris en charge. KB79787.
Autres informations sur la récupération des utilisateurs hors ligne :
Lorsqu’un administrateur désactive la récupération locale, les utilisateurs hors ligne sont verrouillés. Si un autre utilisateur est présent sur le système, il peut utiliser pour démarrer le système ou connecter le système à ePO. Toutefois, cette alternative nécessite que le système démarre dans Windows.
Lorsque l’utilisateur hors ligne a oublié à la fois son mot de passe et ses réponses de récupération locale, l’utilisateur est désormais verrouillé. Si un autre utilisateur est présent sur le système, il se peut qu’il démarre le système ou qu’il connecte le système à ePO. Toutefois, cette alternative nécessite que le système démarre dans Windows.
Si vous disposez d’un utilisateur hors ligne appelé Bob, et qu’un utilisateur AD appelé Bob, lorsque Bob passe du mode hors connexion au mode en ligne, qu’arrive-t-il au mot de passe ?
En supposant que AD utilisateur Bob s’est connecté au système au moins une fois. Un ALDU était actif sur la stratégie ePO, puis Bob est affecté au système une fois que le Bob hors ligne a été supprimé. Veuillez A ce stade, l’utilisateur AD Bob peut avoir deux possibilités. Si vous vous connectez au Pre-Boot pour la première fois, Bob possède le mot de passe par défaut. Si ce n’est pas le cas, et si ePO possède déjà des informations d’identification pour Bob, ces informations d’identification d’ePO se trouvent sur le système.
Une stratégie hors ligne est-elle identique à une stratégie définie dans ePO ?
Aucun. Certains paramètres de stratégie requièrent une interaction, par exemple ajouter des utilisateurs du domaine local (ALDU). Ces paramètres de stratégie ne peuvent pas être utilisés dans une activation hors ligne.
Autres informations générales sur la stratégie hors ligne :
Vous ne pouvez pas mettre à jour la stratégie d’un système activé hors ligne une fois l’activation terminée et une fois qu’elle a été effectuée dans le champ pendant un certain temps. L’activation hors ligne met uniquement en œuvre la première stratégie. Aucune mise à jour n’est possible après l’application de la première stratégie.
Un système rejette tous les utilisateurs hors ligne lorsque le système parvient à communiquer avec le serveur ePO. Elle supprime la stratégie hors ligne et demande à ePO de fournir la stratégie appropriée.
Les paramètres suivants sont disponibles pour une stratégie hors ligne :
Back up the Device Key
Path to the recovery key
Enable temporary autoboot
Enable autoboot
Don’t display the previous user name
Enable SSO
Enable boot manager
PBFS Size
Opal PBFS Size
Require user changes their password
User name must match Windows logon user name
Enable self-recovery
User smart card PIN
Enable USB in preboot
FAUT Lorsque l’ordinateur est équipé d’un disque Opal, les activations hors ligne utilisent d’abord le chiffrement Opal. Les préférences OPAL sont codées en dur dans les packages d’activation hors ligne et n’utilisent pas les paramètres de stratégie personnalisés.
Qu’arrive-t-il àclés de chiffrement lors de l’activation hors ligne ?
Lorsque l’administrateur configure le package d’activation hors ligne, une option est disponible pour indiquer si les clés sont enregistrées ou non. La décision d’enregistrer les clés, ainsi que leur emplacement, n’est qu’à la seule discrétion de l’administrateur. Il ne s’agit pas d’un élément que l’utilisateur peut choisir ou manipuler.
Autres faits généraux relatifs à la clé de chiffrement :
Une fois que vous avez reçu la clé chiffrée, un administrateur peut la déchiffrer et exporter les informations au format XML utilisé par les outils DE récupération.
Si vous enregistrez une clé de chiffrement à partir d’un système sur lequel le processus d’activation hors ligne est terminé, vous ne pouvez pas importer la clé dans ePO. Toutefois, vous pouvez stocker toutes vos clés dans un emplacement sécurisé et utiliser ePO pour les déchiffrer et générer les fichiers XML de récupération requis.
Si les clés de chiffrement ne peuvent pas être enregistrées en raison d’une autre erreur, le disque dur du client doit être reformaté. Le processus d’activation hors ligne doit ensuite être redémarré.
La clé de chiffrement n’est pas écrite dans un fichier texte brut sur le disque et la clé de chiffrement est toujours chiffrée. Si un application tiers interceptait la clé, il ne serait pas utile de le faire. Il n’est pas non plus en mesure d’identifier le système dont il appartenait.
Le seul emplacement où la clé de chiffrement pour une activation hors ligne peut être déchiffrée est le serveur ePO qui a créé l’package hors ligne. Aucun autre serveur ePO ne peut déchiffrer la clé.
Toutes les activations hors ligne n’ont pas la même clé de chiffrement. Lors de la première mise en œuvre de stratégie, la clé de chiffrement est générée. Ce fait permet de s’assurer que toutes les activations hors ligne ont une clé différente.
Autres faits de cas d’utilisation de clé de chiffrement :
Concernant la clé de chiffrement du système dans le cas d’utilisation de la configuration interne :
Il se peut que vous souhaitiez ou non enregistrer la clé. N’oubliez pas que lors de la première connexion au serveur ePO, la clé est chargée. Ce scénario couvre essentiellement les nouveaux systèmes. Il y a peu de données utilisateur à perdre si l’une des situations suivantes se présente :
Tout défaut physique détecté provoque le blocage du disque
Ou
Vous avez verrouillé un système
Veuillez Vous pouvez enregistrer la clé sur un lecteur USB ou sur un partage réseau spécifique en cas de récupération requise.
Concernant les clés de chiffrement du système dans la configuration par un scénario tiers :
Il est probable que vous ne souhaitez pas enregistrer la clé de chiffrement par le tiers. Vous devez donc spécifier de ne pas enregistrer la clé à un emplacement quelconque. AVERTISSEMENTSi le application tiers copie chaque clé de chiffrement pour tous les systèmes de votre organisation, cela peut être considéré comme un risque de sécurité.
Etant donné que ce scénario couvre essentiellement les nouveaux systèmes, il n’y a que peu de données utilisateur à perdre dans les cas suivants :
Tout défaut physique détecté provoque le blocage du disque.
Ou
Vous avez verrouillé un système.
En ce qui concerne les clés de chiffrement, où les clés de chiffrement du système ne se connectent jamais à ePO :
Il est probable que vous souhaitiez enregistrer la clé de chiffrement sur un lecteur USB ou sur le disque dur. Cette étape est facultative et est purement à la discrétion de l’administrateur. Il est ensuite de votre responsabilité de s’assurer que la clé de chiffrement est transportée en toute sécurité vers ePO à des fins de conservation. Ce transport peut être réalisé en fonction de tout mécanisme approuvé par votre organisation pour les clés de chiffrement. Une fois que l’administrateur ePO dispose d’une copie de la clé enregistrée, il peut être utilisé à des fins de récupération.
Ce qui est inclus dans laSystème de fichiers Pre-Boot (système PBFS) ?
SYSTÈME PBFS contient toutes les informations nécessaires pour fournir à l’utilisateur la possibilité de s’authentifier. Ces informations incluent, sans s’y limiter, les éléments suivants :
Fichiers nécessaires à l’environnement de pré-amorçage
Fichiers de langue pour toutes les langues client prises en charge
Polices utilisées pour afficher les caractères de toutes les langues prises en charge
Thème affecté au client
Les utilisateurs affectés au client
Autres faits système PBFS :
Si vous déployez sur un client et augmentez la taille de la système PBFS dans la stratégie par la suite, la taille de système PBFS ne change pas sur le client déployé. Le paramètre de taille système PBFS est appliqué uniquement lorsque la système PBFS est créée ou créée à nouveau pendant une procédure de récupération.
Il est possible de créer et de personnaliser des thèmes de pré-amorçage dans ePO.
Vous ne pouvez pas appliquer pendant le Pre-boot un clavier anglais lors DE la première installation DE 7.x vers un système d’exploitation non anglais. La raison est que, par défaut, le programme d’installation affiche le clavier localisé associé au système d’exploitation Windows localisé sur lequel le produit est installé.
Combien de temps faut-il pour qu’un nouvel utilisateur soit disponible dans système PBFS ?
Il n’y a aucune brève réponse à cette question. Les scénarios suivants essaient de couvrir les situations les plus courantes :
Scénario 1
Si un seul utilisateur non initialisé est affecté à un système. Un seul intervalle de communication agent-serveur est requis, étant donné que l’utilisateur est vérifié via la tâche de synchronisation LDAP EE dans ePO. VeuillezUn utilisateur non initialisé est un utilisateur qui ne s’est pas connecté auparavant à un système. Par conséquent, aucune donnée de jeton n’est présente pour cet utilisateur.
Scénario 2
Si un nouvel utilisateur non initialisé est ajouté à un système auquel des utilisateurs ont déjà été affectés. Elle peut nécessiter deux ASCI avant que l’utilisateur ne soit entièrement disponible dans système PBFS.
Scénario 3
Si un utilisateur initialisé vient d’être ajouté à un système qui a peut-être déjà été affecté ou non des utilisateurs. Deux ASCI sont requis jusqu’à ce que l’utilisateur soit entièrement disponible dans système PBFS. La raison en est que les données de jeton de cet utilisateur sont déjà initialisées.
Pour résumer : lorsqu’un utilisateur est affecté à un système, les stratégies de ce système sont incrémentées. Au cours de la mise en œuvre de stratégie, un événement de demande de données utilisateur est déclenché. Lorsque ePO renvoie cet événement, tous les utilisateurs qui ont été affectés sont vérifiés et téléchargés sur le client.
Pour un utilisateur non initialisé, où il n’y a aucune donnée de jeton, l’événement secondaire n’est pas nécessaire pour extraire toutes les données utilisateur requises vers le bas, et vers système PBFS. Comme pour les autres scénarios, elle nécessite deux événements pour rendre un utilisateur pleinement disponible dans système PBFS.
En outre, si le client utilise l’option de stratégie Ajouter un utilisateur du domaine local (ALDU), il existe un 2.5 Expiration de l’intervalle ASCI déclenchée. Se produit lorsque la demande ALDU n’a pas répondu à. En cas de dépassement de ce délai, une nouvelle mise en œuvre de stratégie est requise pour charger les données utilisateur à des fins de vérification. Quelle est la DE 7.x Configuration requise pour les thèmes personnalisés ?
Créez le thème personnalisé en fonction des exigences suivantes :
Image avec les dimensions 1024 x 768
Assurez-vous que le format du fichier est. PNG
Une taille de fichier d’environ 600 Ko
Veuillez Utilisateurs mise à niveau à partir de EEPC 6.x, un nouveau thème par défaut est fourni dans le cadre de 7.1.x. Si vous utilisez des thèmes personnalisés avec EEPC 6.x, créez à nouveau vos thèmes personnalisés à partir de 7.1.x Thème par défaut après la mise à niveau. Cette approche permet de s’assurer que l’interface utilisateur correcte est affichée et que le son correct est entendu. Si tel n’est pas le cas, continue à afficher le EEPC 6.x interface utilisateur et utilisation de EEPC 6.x fichiers. Les utilisateurs qui souhaitent déployer le nouveau thème par défaut sur tous leurs postes clients existants ou ont leur propre thème personnalisé doivent suivre la procédure décrite dans la procédure DE 7.1 Notes de publication. Ces étapes permettent de s’assurer qu’elles utilisent le bon thème au cours de l’PBA.
Qu’est-ce que Vérification intelligente Pre-Boot (PBSC) ?
PBSC est une fonctionnalité de DE qui effectue plusieurs vérifications de la compatibilité matérielle de Pre-Boot. Les vérifications permettent de s’assurer que l’environnement DE pré-amorçage peut fonctionner correctement sur un système. Il teste les zones qui ont été identifiées pour provoquer des problèmes d’incompatibilité dans le précédent.
Autres informations générales de la vérification intelligente Pre-boot :
L’objectif de la vérification intelligente Pre-boot est d’aider à fournir un déploiement en toute simplicité du chiffrement complet de disque. Ce qui est possible grâce à la recherche des conditions d’erreur courantes dans l’environnement Pre-Boot. Si les vérifications ne sont pas activées, la productivité peut être affectée lorsque des problèmes de déploiement peuvent verrouiller les utilisateurs hors du système. La vérification intelligente Pre-boot désactive la désactivation en cas DE problème et permet au système de revenir à l’authentification Windows uniquement.
La fonctionnalité de vérification intelligente Pre-boot n’est pas activée par défaut, car elle introduit un ou plusieurs systèmes redémarrés dans le processus d’activation. Certains clients peuvent accepter cette situation, et d’autres peuvent ne pas.
Lorsque la fonctionnalité de vérification intelligente Pre-boot détecte un problème, l’échec du chargement de l’environnement Pre-boot ou d’un problème de transfert à Windows. Ether le système redémarre automatiquement ou l’utilisateur doit forcer le redémarrage du système. Qui permet à PBSC d’essayer un autre ensemble de configurations de compatibilité pour résoudre le problème. Si une configuration fonctionne, et que le système démarre dans Windows, l’option DE devient entièrement activée et la stratégie DE chiffrement est mise en œuvre.
Si toutes les configurations de compatibilité ont été tentées et que des problèmes irrécupérables sont détectés, l’exécution DE Pre-boot est contournée. Dans ce cas, le système démarre en Windows, et DE est désactivé. A ce stade, un audit est envoyé à ePO, qui alerte l’échec, et les activations ultérieures sur le système sont bloquées.
Lorsqu’un système réussit la vérification intelligente Pre-boot, il active la stratégie DE chiffrement et met en œuvre la stratégie DE chiffrement.
Que se passe-t-il si un système échoue à la vérification intelligente Pre-Boot ?
Si un système échoue à la vérification intelligente Pre-boot, il n’active pas DE. Par conséquent, la désactivation (et le chiffrement si défini dans la stratégie) ne se poursuit pas et le système revient à l’authentification Windows seule.
Autres informations générales sur l’échec de la vérification intelligente Pre-boot :
Pour un système qui continue de s’exécuter via la vérification intelligente Pre-boot, l’administrateur ePO peut uniquement voir que le système n’est pas activé et qu’il n’est pas chiffré.
Ils peuvent consulter le journal des audit afin d’obtenir la progression de la dernière synchronisation du système avec ePO.
L’administrateur peut voir qu’un système n’a pas été activé, en raison de l’audit de l’échec.
Pour qu’un administrateur puisse constater qu’un système a échoué lors de la vérification intelligente Pre-boot, consultez le journal audit du système.
Si un système échoue à la vérification intelligente Pre-boot, il continue de tenter d’activer la mise en œuvre DE la stratégie suivante. Toutefois, l’activation est immédiatement abandonnée. Toutes les activations suivantes sont immédiatement abandonnées jusqu’à ce que l’une des opérations suivantes se produise :
Vous désactivez PBSC de la stratégie
Vous supprimez la valeur de Registre : Software\McAfee Full Disk Encryption\MfeEpePc\SafeFailStatus\Status
Veuillez De plus, une solution temporaire peut consister à configurer une réponse automatique dans ePO en fonction de l’ID d’événement. Ainsi, lorsqu’un événement arrive dans ePO (l’événement qui indique l’échec de PBSC), ePO peut affecter automatiquement une nouvelle stratégie à ce système. Cette stratégie est configurée pour désactiver les tentatives d’activation ultérieures et donc arrêter les futures tentatives d’activation. Pour plus d’informations, consultez la documentation ePO.
Comment puis-je savoir si la vérification intelligente Pre-boot a modifié la configuration ?
Ces informations ne sont pas exposées dans DE 7.1. Elle est transparente pour l’utilisateur et est automatiquement exécutée.
Si la vérification intelligente Pre-boot n’a apporté aucune modification et que le système n’a pas fonctionné. Cela signifie-t-il que je peux désactiver cette vérification à des fins de déploiement ?
C’est à la discrétion des clients qu’ils désactivent la vérification. Toutefois, la variabilité est commune aux systèmes qui ont le même numéro de modèle. Par exemple, un utilisateur aurait peut-être été rendu dans le BIOS et a modifié ses paramètres USB.
Les modifications apportées aux paramètres USB peuvent avoir une incidence sur l’intégration avec ce BIOS, de sorte que PBSC ajoute une valeur ici. Toutefois, si vous utilisez des mots de passe BIOS pour empêcher vos utilisateurs d’apporter de telles modifications, il se peut que vous n’utilisiez pas PBSC.
Quelles versions d’Intel La technologie d’administration active (AMT) est prise en charge à l’aide d’ePO Deep Command et DE ?
Pour connaître les versions de AMT prises en charge, reportez-vous à la section ARTICLE KB79422.
VeuillezLa version AMT fait partie des informations qu’un administrateur peut afficher sur un ordinateur. Les informations assemblées sont renvoyées à ePO Deep Command.
Autres informations générales sur Intel AMT :
Un administrateur peut apprendre à déterminer s’il peut utiliser la fonctionnalité Intel AMT sur un système particulier. Obtenu en affichant les propriétés du système dans ePO. Dans ePO, vous pouvez voir les informations AMT relatives à ce système spécifique. McAfee ePO la découverte et la génération de rapports Deep Command (Free) fournissent également ces informations pour tous les systèmes managés dans ePO et les affiche dans un tableau de bord. Pour être compatible avec DE, Deep Command doit signaler le statut AMT comme post-configuration. DE plus, requiert la version de AMT 6.0 ou version ultérieure.
Comment les informations Intel AMT relatives à un système sont transférées dans ePO.
Vous avez d’abord installé les extensions de commande approfondie. Y compris les extensions de découverte et de génération de rapports, et les packages archivés sur le serveur ePO.
Vous devez déployer les packages Deep Command sur les clients, ce qui revient à indiquer si AMT est activé. De plus, si le système a activé AMT, le client renvoie les fonctionnalités AMT prises en charge.
Deep Command ajoute une tâche serveur de planification à ePO qui marque automatiquement les systèmes avec AMT. Cette tâche est planifiée pour s’exécuter tous les jours et peut être modifiée. Pour plus d’informations, reportez-vous à la documentation d’ePO Deep Command.
Si le système n’a pas activé AMT, reportez-vous au tableau de bord synthèse de la découverte et rapports de génération de rapports pour obtenir les informations de prise en charge AMT à partir d’un client.
Combien de types d’actions Intel AMT peuvent être mis en file d’attente sur un système ?
Deux types :
Actions transitoires
Actions permanentes.
Exemples d’actions permanentes et transitoires :
Action transitoire est une action exécutée x nombre de fois, puis supprimée de la file d’attente des actions. Voici quelques exemples :
Réinitialiser le mot de passe utilisateur
Déverrouiller le nombre de fois x
Déverrouiller à partir de jusqu’à
Démarrage d’urgence
Restaurer MBR
Intégrantexploit est une action qui reste dans la file d’attente des actions, jusqu’à ce que l’administrateur la supprime.
Déverrouiller la planification
Déverrouiller définitivement
Autres faits permanents et transitoires :
Pour chaque action Intel AMT, vous pouvez uniquement affecter les éléments suivants en une seule fois :
Un système, ou un utilisateur, un maximum d’une action transitoire.
Et
Une action permanente.
Vous ne pouvez avoir qu’un seul processeur Intel AMT transitoire, et une action permanente. Décision de conception prise pour cette première mise en œuvre de l’intégration avec Intel AMT. Si d’autres cas d’utilisation se produisent, cette décision peut être revisitée. L’architecture sous-jacente a été conçue pour gérer davantage d’actions si nécessaire.
Quelle est la signification de l’accès local initié par le client (CILA) et du Accès à distance (CIRA) initiée par le client par rapport à Intel AMT ?
La définition des paramètres locaux et distants est définie dans le cadre du processus de configuration AMT.
CILA est une demande AMT d’une adresse réseau interne.
CIRA est une demande AMT d’une adresse réseau distante.
Veuillez Par défaut, le paramètre de stratégie par défaut pour CIRA est désactivé. Cette décision était un soucieux pour l’équipe de développement de produits de protéger les clients contre les expositions accidentelles.
CIRA est pris en charge et doit être activé explicitement. Si vous désactivez CIRA, cela signifie que si un gestionnaire de Agent est exposé à Internet, il ne peut répondre à aucune des demandes AMT. L’équipe de développement de produits considère que les clients doivent décider s’ils souhaitent activer cette fonctionnalité.
Lorsque j’observe un Wakeand Patch (Remote Unlock) Or Contextual Security (Unlock) sur un client, l’environnement Pre-boot semble patienter environ 20 secondes avant de poursuivre son amorçage dans le système d’exploitation. est-ce normal ?
De nombreux facteurs sont utilisés pour déterminer la durée de cette période. La vitesse du réseau et la charge de travail du serveur ePO sont deux facteurs possibles. Il existe un problème connu dans le micrologiciel AMT, ce qui peut entraîner un délai de 20 secondes avant que les événements CILA ne quittent le terminal. L’effet de ce problème sur DE est qu’il peut prendre plus de 20 secondes pour qu’un déverrouillage hors bande se produise dans un environnement CILA. McAfee Enerprise est en train de Rechercher ce problème. Pour passer en revue les autres 7.1 Problèmes connus, voir KB84502.
Les paramètres et les stratégies Deep Command sont requis pour DE 7.1 intégration?
Commande ePO Deep 1.5.0 les stratégies Intel AMT sont obligatoires. Ce qui permet de s’assurer que les éléments suivants sont correctement configurés dans les stratégies :
Accès à distance doit être activé.
Activez l’accès local initié par le client (CILA). Sélectionnez le gestionnaire de agent correct.
Pour le type de connexion, sélectionnez BIOS et système d’exploitation.
Si vous souhaitez que le client initie Accès à distance (CIRA), assurez-vous que vous avez configuré les éléments suivants :
Suffixe de domaine Domestique
Gestionnaire de agent zone démilitarisée
Autoriser le tunnel initié par l’utilisateur
Quels sont les cas de première utilisation implémentés dans DE 7.1.x vous utilisez Intel (AMT) et McAfee ePO Deep Command ?
Les quatre premiers cas d’utilisation mis en œuvre dans DE 7.1.0 agit
Qu’est-ce queRéinitialisation du cas d’utilisation du mot de passe ?
Cette fonctionnalité utilise Intel AMT pour envoyer de nouvelles données de jeton à un client. Dans ce cas d’utilisation, un utilisateur a démarré son système et a oublié son mot de passe. Ils peuvent appeler un service d’assistance ou un administrateur et demander à ce qu’ils réinitialisent le mot de passe. L’administrateur crée un mot de passe à usage unique qui est transmis via Intel AMT au client lors du Pre-Boot. L’utilisation d’Intel AMT constitue une solution de réinitialisation de mot de passe plus rapide que la méthode de demande d’authentification/réponse longue établie. Autre réinitialiser le mot de passe général chiffres
Voici les principales étapes du cas d’utilisation du mot de passe de réinitialisation :
L’utilisateur démarre son ordinateur, ne parvient pas à se connecter et appelle le service d’assistance.
L’utilisateur accède à la section récupération dans l’environnement Pre-Boot et fournit à l’utilisateur du service d’assistance un nom d’utilisateur ePO.
L’opérateur Help Desk recherche dans ePO le système utilisé par l’utilisateur.
L’utilisateur Help Desk utilise la fonctionnalité Intel AMT pour réinitialiser son mot de passe à l’aide d’un mot de passe à usage unique temporaire.
Pour que le système spécifié reçoive les nouvelles données de jeton, ePO écrit l’élément dans la file d’attente de travaux. L’environnement Pre-boot lit la file d’attente de travaux et extrait la clé à l’aide de la pile réseau fournie par Intel AMT.
Le client reçoit les nouvelles données de jeton et quitte automatiquement l’écran de récupération et revient à l’écran du mot de passe. Ce fait indique à l’utilisateur que le nouveau mot de passe a été reçu. De plus, l’utilisateur entend un bip pour indiquer que les nouvelles données de jeton ont été reçues.
L’utilisateur s’authentifie ensuite avec son mot de passe à usage unique et définit un nouveau mot de passe.
Actions requises lorsqu’un utilisateur requiert une réinitialisation du mot de passe. Pour déterminer le système sur lequel se trouve l’utilisateur, l’utilisateur sur le client, dans l’environnement Pre-boot, doit passer à l’écran de récupération. Dans l’écran de récupération, ils peuvent afficher l’ID d’ordinateur et le nom de l’ordinateur. Ils peuvent fournir ces informations à l’administrateur ou au centre d’assistance et trouver l’ordinateur dans ePO. La procédure est nécessaire car les actions Intel AMT fonctionnent sur les systèmes et non sur les utilisateurs.
Autre mot de passe de réinitialisationInformations sur les rôles d’administrateur :
Lorsqu’un administrateur doit vérifier qu’une modification s’est déroulée correctement, ou valider la raison pour laquelle elle ne fonctionne pas. L’administrateur peut trouver les informations dans la AMTService.log pièces. REMARQUES :
Aucun événement n’est généré dans ePO, car il n’existe aucune API ePO pour générer un événement à partir du gestionnaire de agent.
L’administrateur peut trouver le fichier AMTService. log sur le serveur ePO à l’adresse /\DB\Logs\AMTService.log. Il est également collecté dans le cadre du MER serveur.
Les éléments suivants ne sont pas recommandés lorsqu’un administrateur souhaite identifier le système utilisé par l’utilisateur. L’administrateur peut envoyer la commande Intel AMT à tous les systèmes auxquels l’utilisateur a accès.
Motivation
Supposons que l’utilisateur peut accéder à deux ordinateurs portables.
Ils démarrent l’ordinateur portable-1 et reçoivent l’instruction de modification de leur mot de passe.
Ils passent par le processus et démarrent Windows.
Ils activent désormais l’ordinateur portable-2, qui reçoit également la demande de modification du mot de passe.
Leurs données de jeton sont mises à jour vers la mot de passe à usage unique et elles sont invitées à les modifier à nouveau.
En théorie, ce qui précède peut fonctionner dans un environnement contrôlé ou lorsque l’utilisateur en a connaissance.
Autre expérience utilisateur de réinitialisation du mot de passe :
L’administrateur a utilisé la fonctionnalité Intel AMT pour modifier le mot de passe de l’utilisateur. L’utilisateur sait que le nouveau mot de passe de récupération a été fourni au client. Si l’utilisateur est assis sur l’écran de récupération, il voit que l’écran récupération disparaît. Peu de temps après, il sera remplacé par l’écran de connexion. Cette indication confirme que les nouvelles informations de mot de passe ont été reçues. Billets Lorsque les nouvelles données de jeton sont reçues, l’utilisateur entend un bip.
Qu’est-ce queCas d’utilisation de la sécurité contextuelle ?
Le cas d’utilisation de la sécurité contextuelle (également appelé reconnaissance de l’emplacement) est une nouvelle fonctionnalité d’authentification dans l’environnement DE pré-amorçage. Il permet aux systèmes de s’authentifier sans intervention de l’utilisateur. Au lieu de demander des informations d’identification à un utilisateur, l’environnement Pre-boot utilise Intel AMT pour établir une connexion réseau à ePO. Ensuite, l’environnement Pre-boot récupère une clé qu’il utilise pour s’authentifier dans l’environnement Pre-boot, puis démarre l’ordinateur dans le système d’exploitation. L’environnement Pre-Boot et ePO permet de déterminer si le système se trouve au bureau ou se connecte via Internet. La sécurité contextuelle permet aux administrateurs de configurer des systèmes pour qu’ils s’authentifient automatiquement via ePO et se remontent au bureau. Cependant, lorsque le système est absent du bureau, l’écran d’authentification Pre-boot s’affiche.
Voici quelques exemples d’utilisation où la sécurité contextuelle est utile :
Les clients souhaitant ne pas afficher l’environnement de pré-amorçage lorsque leurs utilisateurs sont au bureau. Mais l’afficher lorsqu’ils sont en dehors du bureau ou en cas de perte/vol du système.
Chiffrez un système qui se trouve toujours au bureau. Mais sans affecter l’utilisateur aux notions de Pre-boot, et demandez-lui de s’authentifier automatiquement via ePO et AMT. Cependant, affichez le Pre-boot si l’ordinateur est volé à partir du bureau.
Les clients qui ont partagé des ordinateurs utilisés par de nombreuses personnes. Imaginez une salle de réunion, une salle de formation, des ordinateurs portables et des postes de travail dans un environnement hospitalier/.
Les clients souhaitant supprimer les problèmes de synchronisation des mots de passe en n’affichant jamais l’environnement Pre-Boot. Mais en ayant la protection, en cas de perte ou de vol de l’ordinateur. Les utilisateurs s’authentifient pour la première fois au Windows, alors qu’en arrière-plan, DE a automatiquement authentifié via ePO et AMT.
Comment la sécurité contextuelle fonctionne-t-elle ?
Lorsque l’environnement Pre-boot démarre, il tente de contacter ePO et demande l’autorisation de démarrer. ePO est sous contrôle et décide si la clé de déverrouillage doit être renvoyée. Si le client ne peut pas contacter ePO, ou si ePO ne parvient pas à renvoyer la clé de déverrouillage au client, l’environnement Pre-boot est affiché. L’écran Pre-boot reste affiché pendant qu’il attend qu’un utilisateur s’authentifie correctement. Si ePO envoie la clé de déverrouillage, l’ordinateur est déverrouillé. Les clés de déverrouillage sont envoyées au client via un canal sécurisé, sécurisé par le matériel AMT. Autres faits de sécurité contextuels :
L’authentification de sécurité contextuelle se produit réellement sur le client, mais les informations proviennent d’ePO.
La sécurité contextuelle ne contourne pas le Pre-Boot. L’environnement Pre-boot est toujours actif et toujours actif. L’environnement Pre-boot continue à s’arrêter et à démarrer le système d’exploitation lorsqu’une authentification réussie se produit. Dans ce cas d’utilisation, l’authentification provient d’ePO.
L’authentification unique (SSO) ne fonctionne pas dans ce cas d’utilisation de la sécurité contextuelle, car l’authentification au Pre-boot est effectuée sur l’ordinateur et non sur un utilisateur. Etant donné que DE ne sait pas quel utilisateur doit se connecter, il ne peut pas relire les données SSO capturées.
Avec la sécurité contextuelle, l’utilisateur ne doit se connecter qu’une seule fois. Dans ce cas, l’authentification utilisateur a lieu à l’invite Windows et non l’invite DE Pre-Boot.
L’utilisation de la sécurité contextuelle signifie que l’utilisateur se connecte simplement à Windows avec son dernier mot de passe Windows. Ce fait peut supprimer toute préoccupation concernant la synchronisation des mots de passe pour les utilisateurs qui utilisent continuellement cette fonctionnalité.
Avec un utilisateur mobile qui consacre du temps à l’extérieur et à l’extérieur, ces utilisateurs ont besoin de leurs informations d’identification pour s’authentifier lors du Pre-boot lorsqu’ils ne sont pas au bureau.
L’ordinateur démarre automatiquement en Windows, dans la mesure où ePO renvoie une réponse positive. Il démarre automatiquement le système d’exploitation après le traitement de la réponse.
Si un ordinateur est volé lors de l’utilisation de la sécurité contextuelle, il affiche l’environnement Pre-Boot. L’environnement Pre-boot est indiqué, car le système ne peut pas communiquer avec ePO et attend qu’un utilisateur s’authentifie.
Le cas d’utilisation le plus inexceptionnelle est d’utiliser uniquement cette fonctionnalité pour les ordinateurs de bureau ou les ordinateurs portables qui ne quittent pas le réseau du bureau.
Autres faits de rôle d’administrateur de sécurité contextuel :
Pour que les administrateurs puissent activer la fonctionnalité de sécurité contextuelle, ils doivent :
Spécifier la durée du déverrouillage, soit de manière permanente, soit à une planification
Veuillez Un administrateur peut également décider si l’action est exploitable pour les ordinateurs locaux ou distants.
Lorsqu’un administrateur reçoit des plaintes d’un utilisateur qui, de temps en temps, la sécurité contextuelle ne fonctionne pas, pour vérifier que sur le serveur ePO, examinez le fichier’AMTService. log'. Ce fichier se restaure et présente une limite de taille de fichier (la limite de taille par défaut est définie via Deep Command). Le paramètre est configurable).
Lorsque l’administrateur Active la fonctionnalité de sécurité contextuelle, elle peut l’activer de manière permanente ou pendant une période définie.
Pour les options période définie, un administrateur peut spécifier l’un des éléments suivants :
Un ou plusieurs redémarrages
De date/heure de début à date/heure de fin
Planification hebdomadaire des heures bloquées ou disponibles
Pour les utilisateurs mobiles, il est préférable de toujours mettre en œuvre l’authentification Pre-boot, car techniquement, un utilisateur ne se connecte pas au Pre-boot dans ce cas d’utilisation. DE n’ignore pas les mises à jour de mot de passe, car il ne sait pas quel utilisateur Pre-boot doit appliquer les mises à jour de mot de passe.
Lors de l’utilisation de la sécurité contextuelle, le système reste dans l’environnement Pre-Boot. Il effectue une nouvelle tentative toutes les cinq minutes, si le serveur ePO est occupé et ne peut pas répondre au système.
Si le système ne parvient pas à accéder à ePO lors de la première tentative, il tente à nouveau de le faire. Il tente de contacter ePO toutes les cinq minutes. Ce comportement est vrai pour les demandes CILA (locales). Cependant, pour les demandes CIRA (distantes), l’ordinateur contacte uniquement ePO une seule fois. Si aucune réponse n’est reçue, le système doit être redémarré pour pouvoir contacter ePO à nouveau.
Le serveur ePO n’est plus disponible et le client ne peut pas contacter le serveur ePO. Si l’utilisateur ne connaît pas ses informations d’identification de pré-amorçage, il est bloqué dans l’environnement Pre-Boot. Sa seule option est d’appeler le service d’assistance et de procéder à une récupération du système avec le processus de demande d’authentification et de réponse.
Lorsque CIRA est activé, cela signifie qu’un système qui ne se trouve pas sur le réseau ne peut pas démarrer automatiquement. DE n’indique aucune décision concernant l’affichage de PBA. Si DE'Out of Band management' est activé, DE tente d’envoyer un appel pour obtenir de l’aide.
La puce AMT vérifie ensuite l’environnement et voit si celui-ci est branché sur le réseau distant ou local.
Réseau local. Il publie un CILA sur le serveur ePO.
Réseau distant. Si un serveur CIRA a été spécifié, il tente de s’y connecter de manière sécurisée.
PBA se déverrouille et passe à Windows si les conditions suivantes sont vraies :
Un appel de CILA ou CIRA, entraîne la réussite de la connexion avec le serveur.
Le serveur envoie la clé de chiffrement.
Sinon, si aucune clé n’est reçue, elle reste à PBA.
Autre expérience utilisateur de la sécurité contextuelle :
Exemple d’utilisation de cas :
Les actions entreprises par les utilisateurs lorsqu’ils utilisent un système de bureau dans le bureau avec des fonctionnalités de sécurité contextuelles. N’avez jamais eu besoin de vous connecter au Pre-boot auparavant, mais voyez ensuite l’écran Pre-boot, et ils ne connaissent pas leurs informations d’identification. Les utilisateurs ont le choix entre plusieurs options :
Tout d’abord, il peut patienter cinq minutes avant que la tentative suivante ne contacte ePO. Ce qui est vrai, car il s’agit d’une demande CILA (locale).
Ensuite, ils peuvent désactiver et réactiver leur système. Ce qui fait que l’environnement Pre-boot contacte immédiatement ePO lorsqu’il redémarre.
En dernier lieu, ils peuvent toujours s’authentifier en entrant le nom d’utilisateur et le mot de passe d’un autre utilisateur connu qui peut s’authentifier au Pre-Boot.
Qu’est-ce queWake and Patch (Remote Unlock) Utiliser le cas ?
Ce cas d’utilisation permet d’effectuer une planification urgente ou régulière wake and patch Computer. Ces ordinateurs sont arrêtés et doivent être réveillés pour que la mise à jour puisse leur être appliquée. Cette Wake and Patch (Remote Unlock) les cas d’utilisation sont similaires aux cas d’utilisation de la sécurité contextuelle. Les questions suivantes ont déjà répondu à la sécurité contextuelles’appliquent également à Wake and Patch (Remote Unlock échéant
Comment cela fonctionne-t-il ?
Est-ce le contournement de l’environnement Pre-Boot ?
Si je était un utilisateur debout à l’avant de l’ordinateur, est-il possible de démarrer automatiquement dans Windows ?
L’authentification unique (SSO) fonctionne-t-elle dans ce cas d’utilisation ?
Que se passe-t-il si ePO est occupé et ne peut pas répondre au système ?
Si le système ne parvient pas à accéder à ePO lors de la première tentative, il tente à nouveau d’effectuer cette opération ?
Comment un administrateur peut-il activer cette fonctionnalité ?
Cette fonctionnalité peut-elle être définie de manière permanente ou uniquement pour une période spécifique ?
L’authentification a-t-elle réellement lieu sur le client, et les informations proviennent d’ePO ?
Autrement Wake and Patch (Remote Unlock) informations générales :
Lorsque le serveur ePO est occupé, et ne répond pas après une demande Wake on LAN. Le système client reste dans l’environnement Pre-Boot et tente à nouveau toutes les cinq minutes. Bien que vrai pour les demandes CILA (local), pour les demandes CIRA (à distance), l’ordinateur ne contacte qu’une seule fois ePO. Si aucune réponse n’est reçue, le système doit être redémarré pour qu’il contacte le serveur ePO.
Pour accéder à un système périodiquement, il doit être configuré pour envoyer les messages CIRA à l’aide de l’horloge d’alarme. La fonctionnalité réveil d’alarme bascule sur le système à l’heure spécifiée.
Autrement Wake and Patch (Remote Unlock) Informations sur les rôles d’administrateur :
Un administrateur peut voir le nombre de systèmes dans Windows pour Wake and Patch (Remote Unlock) traités. Les résultats peuvent être vus via la requête Evénement client produit de produit avec un filtre approprié. Les résultats dépendent des systèmes qui ont communiqué avec le serveur ePO pour envoyer les informations audit.
Un administrateur ne peut pas déterminer quels systèmes ne l’ont pas dépassé lors du Pre-boot lors de l’utilisation de Wake and Patch fonction. Etant donné que le système ne démarre pas dans Windows, il n’y a aucune entrée dans la 'DE: Product Client Event' Demander.
Un administrateur peut échelonner la Wake and Patch (Remote Unlock)ou le contact interval.to ePO. Un administrateur doit échelonner la Deep Command Power On ou leur demande de réactivation sur LAN équivalente.
Les systèmes sont mis sous tension lorsqu’ils sont corrigés dans l’environnement SILA (local) (lorsque l’action est initiée par le serveur). Dans d’autres cas, le client contacte ePO ; Par conséquent, il peut être considéré comme étant activé, car il a contacté le serveur ePO.
Qu’est-ce queCas d’utilisation de la correction à distance ?
Cette fonctionnalité offre aux administrateurs la possibilité d’effectuer un démarrage d’urgence ou DE remplacer l’MBR sur un système client via AMT. Cela n’a pas besoin de toucher physiquement l’ordinateur. Ce qui permet à un administrateur de résoudre un problème sur un système client qui est à mi-distance du monde.
Exemple d’utilisation du cas 1 :
Un administrateur à Santa Clara tente d’exécuter un démarrage d’urgence sur un utilisateur situé au Japon. L’utilisateur a besoin d’une récupération urgente avant toute réunion importante.
L’utilisation de ce processus ne nécessite aucune intervention de l’utilisateur. Ils peuvent simplement vous surveiller pour réparer leur système client. Qui est correcte pour CILA (local). Pour CIRA (distant), elle échoue initialement, mais une fois que le système se connecte via CIRA, elle est traitée. Veuillez Le temps nécessaire à la correction à distance dans l’exemple ci-dessus dépend en grande partie de la vitesse du réseau. Lorsqu’il a démarré sur l’image, la durée de démarrage d’urgence est la même, si vous l’avez fait manuellement. Elle suit en fait le même processus, mais de manière automatisée.
Exemple d’utilisation du cas 2 :
Le processus de correction à distance a réussi et l’utilisateur a obtenu l’accès à Windows. L’utilisateur peut donner sa présentation, mais ne dispose d’aucune connexion au serveur ePO de l’entreprise..
Dans ce cas, l’utilisateur doit repasser le processus lorsqu’il redémarre son client. Cette action est la suivante : si le Pre-boot a été endommagé, le client aurait dû être amorcé de façon urgente. Il ne peut pas être réparé tant que le client ne parvient pas à communiquer avec le serveur ePO.
Comment la correction à distance fonctionne-t-elle ?
A un niveau élevé, une image disque de petite taille (1.44 Mo en taille, mais seul 300k est utilisé) est diffusé en mode push sur le système client. Lorsqu’il est reçu sur le client, il redémarre et démarre à l’aide du réseau de démarrage à partir de l’IDE-R. Cette image effectue ensuite les actions de correction nécessaires et démarre le processus pour démarrer Windows. Autres faits généraux relatifs à la correction à distance :
La fonctionnalité de correction à distance ne fonctionne que sur les ordinateurs à l’aide d’un processus de démarrage du BIOS.
La fonctionnalité de correction à distance ne existant fonctionnent dans un environnement UEFI. La redirection IDE ne fonctionne pas dans UEFI et cette fonctionnalité est requise pour la correction à distance.
Les actions possibles pour la correction à distance sont les suivantes :
La première consiste à effectuer un démarrage d’urgence.
La seconde consiste à remplacer le MBR.
Autres faits de rôle administrateur de correction à distance :
Pour utiliser la fonctionnalité de correction à distance, un administrateur sélectionne un ou plusieurs systèmes, puis sélectionne l’action « hors bande – correction ». Enfin, spécifie'Démarrage d’urgence'ou 'Restaurer les MBR Endpoint Encryption', avant de cliquer sur BIEN.
Les informations suivantes s’appliquent à un administrateur pour recevoir des notifications de la progression de la correction à distance :
L’administrateur est informé uniquement qu’il a démarré et lorsqu’il a terminé.
Une fois l’opération terminée, l’administrateur est informé de la réussite de l’opération.
Le journal des audit sur le client est renvoyé à ePO uniquement lors de la prochaine Agent à la communication avec le serveur (ASCI).
L’administrateur peut exécuter une requête sur les événements client pour rechercher les clients présentant un événement de déverrouillage.
Un administrateur souhaite remplacer le MBR, si :
Un produit tiers a remplacé accidentellement le MBR, tandis que le système était chiffré.
Ou
Si le système a été infecté par un MBR virus
Pour les deux versions ci-dessus, vous devez réintégrer le système à Windows afin que toute autre correction puisse avoir lieu.
Lors de la sélection d’une correction, un administrateur peut sélectionner une image de disque spécifique. Il existe différentes images pour le démarrage du BIOS et la correction Opal et non-Opal.
L’option automatique est l’option par défaut, celle que vous devez toujours utiliser, sauf indication contraire. L’option automatique utilise les informations reçues du client pour sélectionner l’image correcte. Si les informations ne sont pas disponibles, la correction n’est pas effectuée. Cette option vous permet de spécifier l’image exacte qui est envoyée à l’ordinateur.
FAUT Si l’administrateur sélectionne l’image de disque incorrecte pour le client, lorsque l’image est sélectionnée manuellement. L’interface utilisateur (IU) indique que vous pouvez potentiellement endommager le disque en utilisant une mauvaise image. Cette option a été ajoutée pour l’événement lorsque le fournisseur de chiffrement ou le type de BIOS n’est pas disponible.
Autres faits d’expérience utilisateur de correction à distance :
Notification de la progression de la correction à distance à l’utilisateur.Un message s’affiche à l’écran lorsque l’image a été téléchargée et le processus de correction démarre. Veuillez Téléchargement de l’image sur le client via AMT, dans certaines instances, vous pouvez voir un glyphe clignotant dans le coin supérieur droit de l’écran. Cette lumière indique que AMT reçoit du trafic réseau. Là encore, la durée dépend en grande partie du trafic et de la vitesse du réseau. Si le réseau est rapide, l’utilisateur peut voir Windows charge soudainement.
Lorsqu’une correction à distance est effectuée, il se peut qu’un utilisateur ne voit pas le glyphe clignotant. Cette fonctionnalité est uniquement incluse dans AMT version 7. Par conséquent, si vous disposez de la version 6 AMT, vous ne voyez pas cette dernière.
Lorsqu’un utilisateur effectue une correction à distance, qu’il est à court de temps et doit quitter son emplacement actuel, il n’est pas nécessaire de relancer l’ensemble du processus. Cela s’explique par le fait que le processus recommence automatiquement. Lorsque l’administrateur a ajouté la demande de correction à distance, il se place dans la file d’attente des actions jusqu’à ce qu’elle soit terminée. Ou l’administrateur le supprime. Le résultat est qu’il tente d’effectuer la correction chaque fois que vous basculez sur le client jusqu’à ce qu’il réussisse.
Comment la correction à distance a-t-elle débuté sur le client lorsqu’elle est locale ?
Voici une vue d’ensemble du processus lorsque le système client est connecté au réseau de l’entreprise local :
L’utilisateur démarre le système et constate qu’il ne fonctionne pas.
L’utilisateur appelle l’administrateur et lui demande de l’aide.
L’administrateur sélectionne l’action de correction appropriée et l’action commence immédiatement à traiter. Cette action est également connue sous le nom de SILA (Server Initiated Local Access).
Si le système client est détecté et qu’il est possible de se connecter à, la redirection démarre et répare automatiquement le système.
Toutefois, si le système client est introuvable sur le réseau local, l’action échoue et l’état reste en attente dans la file d’attente. Cette situation peut ensuite être traitée uniquement lorsque le système appelle. Dans ce cas, le système ne peut pas être contacté car l’environnement Pre-boot est bloqué. Un flux similaire, tel que décrit dans le scénario suivant ci-dessous, peut également être utilisé.
Comment la correction à distance a-t-elle débuté sur le client lorsqu’elle est à distance ?
Voici un aperçu du processus lorsque le système est connecté via un réseau public :
L’utilisateur démarre le système et constate qu’il ne fonctionne pas.
L’utilisateur appelle l’administrateur et lui demande de l’aide
L’administrateur sélectionne l’action de correction appropriée et l’action commence immédiatement à traiter. Dans ce cas, l’action échoue, car elle ne parvient pas à trouver le système dans le réseau de l’entreprise.
L’administrateur demande à l’utilisateur de lancer un appel pour obtenir de l’aide à partir du BIOS. Cet appel varie d’un OEM à un autre. Mais il a tendance à se trouver sous des options de démarrage et, dans certains systèmes, il vous suffit d’appuyer sur CTRL + ALT + F1.
Lorsque cette option est sélectionnée, le système se connecte à l’étourdissement (Deep Command Gateway Services). Le gestionnaire de Agent détecte alors ce service et envoie un message à Deep Command.
Deep Command traite l’action associée au système. Dans ce cas, il s’agit de l’action de correction.
Veuillez La correction sur CIRA peut prendre beaucoup plus de temps que lors de l’exécution de la même action dans l’entreprise. Sur certains systèmes, cette opération peut prendre jusqu’à 20 minutes en fonction de l’utilisation du réseau au cours du traitement. Retour au contenu
Présentationles rapports peuvent-ils être utilisés par un administrateur pour savoir que l’action AMT a été effectuée avec succès sur le client ?
DE n’a qu’une action côté serveur, ce qui est destiné à la correction. Pour déterminer si elle est terminée, un administrateur doit consulter le journal des tâches du serveur ePO. Pour ce faire, exécutez une requête sur le journal des événements audit pour voir les événements de client. Toutes les autres actions (déverrouillage/réinitialisation, mot de passe utilisateur) sont initiées par le client. Lorsque l’administrateur configure ces actions, il existe une entrée dans le journal d’audit des utilisateurs ePO pour enregistrer que la demande a été ajoutée à la file d’attente’DE : hors bande action'. Ensuite, lorsque le client PBA demande de l’aide, il crée un élément audit sur le client. Cet élément de audit est envoyé à ePO lors du prochain intervalle de communication agent-serveur lors du chargement de Windows. Ces événements s’affichent dans la requête’DE : produit client Evénements'.
Quels rapports ou journaux peuvent être visualisés par l’administrateur pour déterminer ce qu’ils ont rencontré et à quel endroit puis ne pas avoir réussi à terminer l’action ?
L’administrateur doit consulter la requête AMTService. log et la requête Evénements du client DE produit.
Où un administrateur peut-il voir qu’une ou plusieurs actions AMT ont été effectuées avec succès sur un client (ou plusieurs clients) ?
Exécutez la requête d’événement du client DE produit.
Un administrateur peut-il créer des rapports sur les actions AMT, par exemple pour afficher le nombre de systèmes qui ont été automatiquement amorcés aujourd’hui à l’aide de la fonctionnalité de déverrouillage à distance ?
Exécutez la requête’DE : produit client Events’avec un filtre approprié. Cette requête repose sur les systèmes qui ont réussi à communiquer avec le serveur ePO pour envoyer les informations audit.
Présentationun administrateur peut-il s’engager à résoudre un problème hors bande AMT ? Quelles sont les premières étapes qu’il faut effectuer ?
L’administrateur doit déterminer si le problème provient d’une tâche CILA (locale) ou d’une tâche CIRA (distante).
Dans le cas où une tâche CIRA (distante) a été effectuée, que fait l’administrateur maintenant ?
Demandez à l’administrateur de démarrer le système client et d’accéder au BIOS. Ou redémarrez l’ordinateur pour Windows et utilisez l’état de sécurité et de gestion Intel pour demander de l’aide. Demandez-lui de consulter le fichier’AMTService. log’pour voir si une demande a été reçue. Si tel est le cas, l’appel du support implique DE Support technique. Si ce n’est pas le cas, il implique des Support technique Deep Command.
Que se passe-t-il si le problème de type hors bande AMT était dû à une tâche CILA (locale) ?
Demandez à l’administrateur d’utiliser l’action Deep Command pour démarrer le client dans le BIOS. En cas DE réussite, l’appel au support implique DE Support technique. Si ce n’est pas le cas, il implique des Support technique Deep Command.
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.