pour Windows et macOS
Chiffrement de disque BitLocker pour Windows
BitLocker est une technologie de chiffrement intégrée au système d'exploitation Windows. Kaspersky Endpoint Security vous permet de contrôler et de gérer Bitlocker à l'aide de l'infrastructure Kaspersky Next. BitLocker chiffre le volume logique. BitLocker ne permet de pas de chiffrer les disques amovibles. Pour en savoir plus sur le fonctionnement de BitLocker, consultez la documentation de Microsoft.
Lors du chiffrement du disque, BitLocker place le programme de démarrage et les autres fichiers auxiliaires dans la system partition. Cette partition n'est pas chiffrée. Lors de l'installation de Windows, le système d'exploitation crée la partition système automatiquement. Si le disque est entièrement partitionné avant l'installation de Windows, le système d'exploitation ne peut pas créer de partition système. Dans ce cas, lorsque vous démarrez le chiffrement de disque BitLocker, le système d'exploitation vous invite à repartitionner le disque et à créer une partition système. Une fois que vous aurez créé une partition système, le système d'exploitation lancera le chiffrement BitLocker.
BitLocker fournit un stockage sécurisé des clés d'accès à l'aide d'un module de plateforme sécurisée. Module de plateforme sécurisée (en anglais, Trusted Platform Module (TPM)) : puce développée pour proposer les fonctions principales associées à la sécurité (par exemple, pour stocker des clés de chiffrement). Un module de plateforme sécurisée est généralement installé sur la carte mère de l'ordinateur et interagit avec tous les autres modules du système par le bus matériel. L'utilisation du module de plateforme sécurisée est le moyen le plus sûr de stocker des clés d'accès BitLocker, car ce module permet de vérifier l'intégrité du système avant le démarrage. Sur les ordinateurs sans TPM, vous pouvez également chiffrer des disques. Dans ce cas, la clé d'accès sera chiffrée à l'aide d'un mot de passe. Ainsi, BitLocker utilise les méthodes d'authentification suivantes :
Après avoir chiffré le disque dur du système, l'utilisateur doit passer par l'authentification BitLocker pour lancer le système d'exploitation. Une fois l'authentification réussie, BitLocker pourra se connecter. BitLocker n'est pas compatible avec la technologie d'authentification unique (SSO).
Après avoir chiffré le disque, BitLocker crée une clé principale. Kaspersky Endpoint Security envoie la clé principale à Kaspersky Next afin que vous puissiez restaurer l'accès au disque si l'utilisateur a oublié leur mot de passe, par exemple.
Si un utilisateur a chiffré un disque à l'aide de BitLocker, Kaspersky Endpoint Security envoie les informations sur le chiffrement du disque à la console Kaspersky Next. Dans ce cas, Kaspersky Endpoint Security n'envoie pas la clé principale à Kaspersky Next, et il est impossible de restaurer l'accès au disque. Pour que BitLocker fonctionne correctement avec Kaspersky Next, déchiffrez le disque et chiffrez-le à nouveau à l'aide d'une stratégie. Vous pouvez déchiffrer un disque localement ou à l'aide d'une stratégie.
Si vous utilisez des stratégies de groupe pour Windows, désactivez l'administration de BitLocker dans les paramètres de la stratégie. Les paramètres de la stratégie Windows peuvent entrer en conflit avec les paramètres de la stratégie de Kaspersky Endpoint Security. Lors du chiffrement d'un disque, des erreurs peuvent se produire.
Chiffrement du disque FileVault pour macOS
Kaspersky Endpoint Security permet de gérer à distance le chiffrement FileVault. Le chiffrement empêche les utilisateurs non autorisés d'accéder aux données confidentielles stockées sur le disque de démarrage de l'ordinateur de l'utilisateur.
Lorsqu'un administrateur lance le chiffrement FileVault sur l'ordinateur à partir de la console Kaspersky Next, Kaspersky Endpoint Security invite l'utilisateur à saisir ses identifiants. Le chiffrement du disque ne démarre qu'une fois que l'utilisateur a fourni les informations d'identification, que l'ordinateur a redémarré et que 30 minutes se sont écoulées depuis la réception des paramètres de stratégie sur l'ordinateur. L'intervalle minimum entre les demandes d'identifiants est également de 30 minutes.
Pour empêcher un utilisateur de déchiffrer le disque de démarrage d'un ordinateur lorsque le chiffrement FileVault est activé, un administrateur doit utiliser JAMF pour déployer un profil MDM interdisant le déchiffrement du disque. Pour déchiffrer le disque de démarrage d'un ordinateur avec un profil MDM interdisant le déchiffrement du disque, l'administrateur doit d'abord supprimer le profil.
Si la gestion du chiffrement FileVault n'est pas activée dans la console Kaspersky Next, les utilisateurs disposant de droits d'administrateur peuvent chiffrer et déchiffrer les disques de démarrage de l'ordinateur à partir des paramètres système. Pour en savoir à propos de FileVault, consultez la documentation Apple.
Si un ordinateur possède plusieurs comptes utilisateurs, le chiffrement FileVault rend le disque inaccessible à tous les utilisateurs, sauf à celui qui a saisi ses identifiants.
Paramètres de chiffrement des données pour Pro View
Paramètre |
SE |
Description |
|---|---|---|
Action sur les appareils |
|
Chiffrer tous les disques durs. Si vous choisissez cette option, l'application chiffre tous les disques durs lors de l'application de la stratégie. Déchiffrer tous les disques durs. Si vous choisissez cette option, l'application déchiffre tous les disques durs chiffrés antérieurement lors de l'application de la stratégie. |
Utiliser le chiffrement matériel |
|
Si la case est cochée, l'application adopte le chiffrement au niveau du matériel. Cela permet d'augmenter la vitesse du chiffrement et de réduire l'utilisation des ressources de l'ordinateur. |
Utiliser l'authentification BitLocker sur les tablettes Windows |
|
L'utilisation d'une authentification qui requiert une saisie au clavier dans l'environnement préalable au démarrage, même si la plateforme ne dispose pas de cette possibilité (par exemple, claviers tactiles sur les tablettes). Le clavier tactile des tablettes n'est pas accessible dans cet environnement. Pour réaliser une authentification BitLocker sur de telles tablettes, l'utilisateur doit absolument connecter un clavier USB par exemple. Si la case est cochée, l'utilisation de l'authentification qui requiert une saisie au clavier dans l'environnement préalable au démarrage est autorisée. Il est recommandé d'utiliser ce paramètre uniquement pour les appareils qui, pendant le chargement préalable, disposent de modes alternatifs de saisie de données, par exemple un clavier USB en plus du clavier tactile. Si cette case est décochée, le chiffrement de disque BitLocker n'est pas possible sur les tablettes. |
Méthode d'authentification |
|
Trusted Platform Module (TPM). Si vous avez choisi cette option, BitLocker utilise le Trusted Platform Module (TPM). Module de plateforme sécurisée (en anglais, Trusted Platform Module (TPM)) : puce développée pour proposer les fonctions principales associées à la sécurité (par exemple, pour stocker des clés de chiffrement). Le Trusted Platform Module s'installe en général sur la carte mère de l'ordinateur et interagit avec les autres modules système via le bus matériel. Pour les ordinateurs tournant sous les systèmes d'exploitation Windows 7 et Windows Server 2008 R2, seul le chiffrement à l'aide du module TPM est disponible. Si le module TPM n'est pas installé, le chiffrement BitLocker n'est pas possible. L'utilisation d'un mot de passe sur ces ordinateurs n'est pas prise en charge. L'appareil équipé du Trusted Platform Module peut créer des clés de chiffrement qui peuvent être déchiffrées uniquement à l'aide de celui-ci. Le Trusted Platform Module chiffre les clés de chiffrement à l'aide de la clé racine de stockage correspondante. La clé racine de stockage se trouve à l'intérieur du Trusted Platform Module. Cela offre un niveau de sécurité complémentaire pour les clés de chiffrement contre les tentatives d'attaque. Cette action est sélectionnée par défaut. Mot de passe. Si vous avez choisi cette option, Kaspersky Endpoint Security demande le mot de passe à l'utilisateur lorsque celui-ci souhaite accéder au disque chiffré. Cette option peut être choisie si la Trusted Platform Module (TPM) n'est pas utilisée. Trusted Platform Module (TPM) ou mot de passe si le TPM n'est pas disponible. Si cette option est sélectionnée, l'utilisateur peut accéder aux clés de chiffrement à l'aide d'un mot de passe en l'absence du Trusted Platform Module (TPM). Si la case n'est pas cochée et que le TPM n'est pas disponible, le chiffrement complet du disque ne démarre pas. Utiliser un code PIN pour le TPM. Quand la case est cochée, l'utilisateur doit saisir un code PIN pour accéder à la clé de chiffrement conservée dans le module de plateforme sécurisée (TPM). Si cette case n'est pas cochée, l'utilisateur n'est pas autorisé à utiliser le code PIN. Pour accéder à la clé de chiffrement, l'utilisateur utilise un mot de passe. |