Installation de FRP en mode FIPS
Le client FRP utilise le
McAfee Core Cryptographic Module (
MCCM) Utilisateur et
Kernel FIPS 140-2 modules cryptographiques. Ces modules cryptographiques sont en cours de validation pour
Federal Information Processing Standard (
FIPS) 140-2 niveau 1 et FRP offre désormais la possibilité d’installer le produit en mode FIPS. MCCM fournit également des avantages en matière de performances et d’utilisation
Intel® Advanced Encryption Standard Instructions (
AES NI). Le résultat présente d’autres améliorations de performances sur les systèmes avec
AES NI prennent.
Cet article est mis à jour lorsque l’certification de conformité à la norme FIPS est atteinte.
Cet article décrit les conditions requises pour les installations de FRP existantes qui n’ont pas été installées avec le mode FIPS activé pour fonctionner désormais en mode FIPS. Les instructions couvrent les deux FRP et ePolicy Orchestrator (ePO).
FAUT
- Il n’est pas possible d’effectuer une mise à niveau en ligne d’un environnement FRP non conforme à la norme FIPS vers un environnement conforme à la norme FIPS. Pour plus d’informations sur l’exécution d’ePO en mode FIPS, reportez-vous au Guide produit d’ePO correspondant à votre version spécifique.
- Après avoir suivi ces instructions, tous les supports amovibles et les magasins de clés locales utilisateur créés dans la version non-FIPS de FRP ne seront plus utilisables. Les éléments suivants doivent être pris en compte lors de l’engagement de cette conversion :
- Assurez-vous de réinitialiser tous les équipements USB amovibles.
FAUT Cette action nécessite de sauvegarder les données sur l’équipement, de formater l’équipement et d’initialiser avec FRP 4.3, puis en copiant à nouveau les données sur l’équipement.
- Déchiffrez tous les fichiers chiffrés avec des clés locales utilisateur, supprimez les clés, puis supprimez manuellement la clé cache fichier. Ce fichier se trouve dans le dossier %APPDATA%\Roaming\McAfee\Endpoint Encryption for Files and Folders\Key Stores dossier.
- Tous les CD, DVD ou ISO créés avec des versions non-FIPS antérieures de FRP ne peuvent pas être utilisés sur site. Mais peut toujours être utilisé hors site. Ces équipements ne peuvent pas être réinitialisés.
- Tous les anciens auto-extracteurs peuvent encore fonctionner à la fois sur site et hors site. en revanche, ils fonctionnent en mode non-FIPS.
Procédure d’installation
- Déchiffrez tous les fichiers qui ont été chiffrés avec les clés précédemment générées :
- Connectez-vous à la console ePO.
- Accédez à la stratégie FRP.
- Modifier la clé de chiffrement pour Déchiffrer dans la stratégie où la clé de chiffrement est utilisée.
Par exemple, Folder Encryption, File Encryption, Removable Media.
- Enregistrez la stratégie et appliquez les modifications au client.
- Supprimez toutes les clés FRP des systèmes client en les supprimant de la Octroi de clés approvisionnement.
- Suivez la procédure ci-dessous, en fonction de l’installation de votre serveur ePO :
- Si votre serveur ePO n’est pas installé en mode FIPS :
- Supprimez toutes les clés du serveur ePO.
FAUT Une fois que vous avez supprimé toutes les clés FRP du serveur ePO, les fichiers à gauche chiffrés ne sont plus accessibles.
- Supprimez les FRP de tous les clients. Pour plus d’informations sur la désinstallation des packages client, reportez-vous à la section « désinstallation de FRP » du Guide produit FRP correspondant. Pour plus d’informations, reportez-vous à la section informations connexes de cet article.
- Réinstallez ePO en mode FIPS.
- Archivez le package FRP.
- Archivez l'extension FRP.
- Déployez FRP de l’une des façons suivantes :
- Utilisez la tâche de déploiement de FRP. Veillez à ajouter le mot clé. CERTIFICATION sur la ligne de commande de la tâche dans ePO.
- Utilisez un logiciel de déploiement tiers. Veillez à transmettre le paramètre FIPS_MODE=1 Lorsque vous installez le package client FRP, comme suit :
- 32-systèmes bits :
msiexec.exe/q/i eeff32.msi FIPS_MODE=1
- 64-systèmes bits :
msiexec.exe/q/i eeff64.msi FIPS_MODE=1
- Si votre serveur ePO est installé en mode FIPS :
- Supprimez les FRP de tous les clients. Pour plus d’informations sur la désinstallation des packages client, reportez-vous à la section « désinstallation de FRP » du Guide produit FRP correspondant. Pour plus d’informations, reportez-vous à la section informations connexes de cet article.
- Archivez le package FRP.
- Archivez l'extension FRP.
- Réinstallez le client FRP en mode FIPS.
- Déployez FRP de l’une des façons suivantes :
- Utilisez la tâche de déploiement de FRP. Veillez à ajouter le mot clé. CERTIFICATION sur la ligne de commande de la tâche dans ePO.
- Utilisez l’option de ligne de commande. Veillez à transmettre le paramètre FIPS_MODE=1 Lorsque vous installez le package client FRP, comme suit :
- 32-systèmes bits :
msiexec.exe/q/i eeff32.msi FIPS_MODE=1
- 64-systèmes bits :
msiexec.exe/q/i eeff64.msi FIPS_MODE=1