Administration des comptes de l'Agent d'authentification
L'Agent d'authentification est nécessaire pour utiliser les disques protégés à l'aide de la technologie Kaspersky Disk Encryption (FDE). L'utilisateur doit s'authentifier à l'aide de l'agent avant le chargement du système d'exploitation. Pour configurer les paramètres d'authentification des utilisateurs, utilisez la tâche Administrer les comptes de l'Agent d'authentification. Vous pouvez utiliser à la fois des tâches locales pour des ordinateurs individuels et des tâches de groupe pour des ordinateurs de groupes d'administration distincts ou une sélection d'ordinateurs.
Il n'est pas possible de planifier le lancement de la tâche Administrer les comptes de l'Agent d'authentification. Il est également impossible de forcer l'arrêt d'une tâche.
Procédure d'ajout d'un compte de l'Agent d'authentification via la Console d'administration (MMC)
- Ouvrez la Console d'administration de Kaspersky Security Center.
- Dans l'arborescence de la console, sélectionnez Tâches.
La liste des tâches s'ouvre.
- Cliquez sur Nouvelle tâche.
L'Assistant de création de tâche démarre. Suivez les instructions de l'assistant.
Étape 1. Sélection du type de tâche
Choisissez Kaspersky Endpoint Security for Windows (12.6) → Administrer les comptes de l'Agent d'authentification.
Étape 2. Sélection de la commande d'administration des comptes de l'Agent d'authentification
Composez la liste des commandes d'administration des comptes de l'Agent d'authentification. Les commandes d'administration permettent d'ajouter, de modifier et de supprimer des comptes utilisateur de l'Agent d'authentification (cf. instructions ci-dessous). Seuls les utilisateurs disposant d'un compte utilisateur de l'Agent d'authentification peuvent réaliser la procédure d'authentification, charger le système d'exploitation et accéder au disque chiffré.
Étape 3. Sélection des appareils auxquels la tâche va être affectée
Sélectionnez les ordinateurs sur lesquels la tâche va être exécutée. Les options suivantes existent :
- Attribuer une tâche à un groupe d'administration. Dans ce cas, la tâche est attribuée aux ordinateurs qui appartiennent au groupe d'administration créé antérieurement.
- Choisir les ordinateurs détectés dans le réseau par le Serveur d'administration – les appareils non distribués. L'ensemble d'appareils peut reprendre des appareils dans des groupes d'administration et des appareils non distribués.
- Définir les adresses des appareils manuellement ou les importer depuis une liste. Vous pouvez définir les noms NetBIOS, les adresses IP, ainsi que les plages d'adresses IP des appareils auxquels il faut attribuer la tâche.
Étape 4. Définition du nom de la tâche
Saisissez un nom pour la tâche, par exemple, Comptes d'administrateur.
Étape 5. Fin de la création de la tâche
Quittez l'assistant. Le cas échéant, cochez la case Lancer la tâche à la fin de l'Assistant. Vous pouvez suivre la progression de l'exécution de la tâche dans les propriétés de celle-ci.
Après avoir terminé la tâche, au prochain démarrage de l'ordinateur, le nouvel utilisateur peut alors suivre la procédure d'authentification, charger le système d'exploitation et accéder au disque chiffré.
Procédure de création de la tâche Administration des comptes de l'Agent d'authentification dans Web Console
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Tâches.
La liste des tâches s'ouvre.
- Cliquez sur Ajouter.
L'Assistant de création de tâche démarre. Suivez les instructions de l'assistant.
Étape 1. Configuration des paramètres principaux de la tâche
Configurez les paramètres principaux de la tâche.
- Dans la liste déroulante Application, choisissez l'option Kaspersky Endpoint Security for Windows (12.6).
- Dans la liste déroulante Type de tâche, choisissez Administration des comptes de l'Agent d'authentification.
- Dans le champ Nom de la tâche, saisissez une courte description, par exemple, Comptes utilisateur d'administrateur.
- Dans le groupe Sélection d'appareils auxquels la tâche sera affectée, choisissez la zone d'action de la tâche.
Étape 2. Administration des comptes de l'Agent d'authentification
Composez la liste des commandes d'administration des comptes de l'Agent d'authentification. Les commandes d'administration permettent d'ajouter, de modifier et de supprimer des comptes utilisateur de l'Agent d'authentification (cf. instructions ci-dessous). Seuls les utilisateurs disposant d'un compte utilisateur de l'Agent d'authentification peuvent réaliser la procédure d'authentification, charger le système d'exploitation et accéder au disque chiffré.
Étape 3. Fin de la création de la tâche
Quittez l'assistant. La nouvelle tâche apparaît dans la liste des tâches.
Pour exécuter la tâche, cochez la case en regard de la tâche et cliquez sur le bouton Démarrer.
Après avoir terminé la tâche, au prochain démarrage de l'ordinateur, le nouvel utilisateur peut alors suivre la procédure d'authentification, charger le système d'exploitation et accéder au disque chiffré.
Pour ajouter un compte utilisateur de l'Agent d'authentification, vous devez ajouter une commande spéciale à la tâche Administrer les comptes de l'Agent d'authentification. Les tâches de groupe sont pratiques, par exemple, pour ajouter un compte administrateur à tous les ordinateurs.
Kaspersky Endpoint Security vous permet de créer automatiquement des comptes utilisateur d'Agent d'authentification avant de chiffrer un disque. Vous pouvez activer la création automatique de comptes utilisateur de l'Agent d'authentification dans les paramètres de stratégie de chiffrement du disque. Vous pouvez également utiliser la technologie d'authentification unique (SSO).
Procédure d'ajout d'un compte utilisateur d'Agent d'authentification via la Console d'administration (MMC)
- Ouvrez la tâche de groupe Administrer les comptes de l'Agent d'authentification.
- Dans les propriétés de la tâche, sélectionnez l'option Paramètres.
- Cliquez sur le bouton Ajouter → Commande d'ajout de compte.
- Dans le champ Compte Windows de la fenêtre qui s'ouvre, saisissez le nom du compte utilisateur Microsoft Windows sur la base duquel le compte utilisateur de l'Agent d'authentification va être créé.
- Si vous avez saisi le nom de compte Windows manuellement, cliquez sur le bouton Autoriser pour définir l'identificateur de sécurité du compte (SID).
Si vous ne définissez pas l'identificateur de sécurité à l'aide du bouton Autoriser, celui-ci sera défini lors de l'exécution de la tâche sur l'ordinateur.
La définition de l'identificateur de sécurité de compte Windows est nécessaire pour confirmer la saisie correcte du nom de compte Windows. Si le compte Windows n'existe pas sur l'ordinateur ou dans le domaine de confiance, la tâche Administrer les comptes de l'Agent d'authentification échouera.
- Cochez la case Remplacer le compte existant si vous souhaitez qu'un compte utilisateur portant ce nom déjà saisi pour cet Agent de l'authentification soit remplacé par le compte ajouté.
Cette étape est accessible si vous ajoutez une commande de création d'un compte utilisateur de l'Agent d'authentification dans les propriétés de la tâche de groupe d'Administration des comptes de l'Agent d'authentification. Cette étape n'est pas accessible si vous ajoutez une commande de création d'un compte utilisateur de l'Agent d'authentification dans les propriétés de la tâche locale Administrer les comptes de l'Agent d'authentification.
- Dans le champ Nom d'utilisateur, saisissez le nom du compte utilisateur de l'Agent d'authentification à saisir lors de la procédure d'authentification pour accéder aux disques durs chiffrés.
- Cochez la case Autoriser l'ouverture de session par mot de passe, si vous souhaitez que l'application demande le mot de passe du compte utilisateur de l'Agent d'authentification lors de l'authentification pour l'accès aux disques durs chiffrés. Définissez le mot de passe du compte utilisateur de l'Agent d'authentification. Si nécessaire, vous pouvez demander à l'utilisateur de définir un nouveau mot de passe après la première authentification.
- Cochez la case Autoriser l'ouverture de session par le certificat si vous souhaitez que l'application exige la connexion du jeton ou de la carte à puce à l'ordinateur lors de l'authentification pour accéder aux disques durs chiffrés. Sélectionnez un fichier de certificat pour l'authentification avec une carte à puce ou un jeton.
- Le cas échéant, saisissez dans le champ Description de la commande des informations sur le compte utilisateur de l'Agent d'authentification indispensables pour utiliser la commande.
- Dans le groupe Accès à l'authentification dans l'Agent d'authentification, configurez l'accès à l'authentification dans l'Agent d'authentification pour l'utilisateur qui utilise le compte indiqué dans la commande.
- Enregistrez vos modifications.
Procédure d'ajout d'un compte utilisateur de l'Agent d'authentification via Web Console
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Tâches.
La liste des tâches s'ouvre.
- Cliquez sur la tâche Administration des comptes de l'Agent d'authentification pour Kaspersky Endpoint Security.
La fenêtre des propriétés de la tâche s'ouvre.
- Sélectionnez l'onglet Paramètres des applications.
- Dans la liste des comptes utilisateur de l'Agent d'authentification, cliquez sur le bouton Ajouter.
L'Assistant d'administration des comptes utilisateurs de l'Agent d'authentification démarre.
- Sélectionnez le type de la commande Ajouter.
- Sélectionnez un compte utilisateur. Vous pouvez sélectionner un compte utilisateur dans la liste des comptes de domaine ou saisir le nom du compte manuellement. Passez à l'étape suivante.
Kaspersky Endpoint Security définit un identificateur de sécurité du compte (SID). Ceci est nécessaire pour vérifier le compte utilisateur. En cas de saisie incorrecte du nom d'utilisateur, Kaspersky Endpoint Security arrête l'exécution de la tâche sur une erreur.
- Configurez les paramètres du compte utilisateur de l'Agent d'authentification :
- Créer un autre compte utilisateur de l'Agent d'authentification à la place du compte existant. Kaspersky Endpoint Security analyse les comptes utilisateur existants sur l'ordinateur. Si l'identifiant de sécurité de l'utilisateur sur l'ordinateur et dans la tâche coïncide, Kaspersky Endpoint Security modifie les paramètres du compte utilisateur conformément à la tâche.
- Nom d'utilisateur. Le nom d'utilisateur du compte utilisateur de l'Agent d'authentification correspond par défaut au nom de domaine de l'utilisateur.
- Autoriser l'ouverture de session par mot de passe. Définissez le mot de passe du compte utilisateur de l'Agent d'authentification. Si nécessaire, vous pouvez demander à l'utilisateur de définir un nouveau mot de passe après la première authentification. Chaque utilisateur possède ainsi son propre mot de passe unique. Vous pouvez également définir des exigences quand à la sécurité du mot de passe pour le compte utilisateur de l'Agent d'authentification dans la stratégie.
- Autoriser l'ouverture de session par certificat. Sélectionnez un fichier de certificat pour l'authentification avec une carte à puce ou un jeton. L'utilisateur doit alors saisir le mot de passe de la carte à puce ou du jeton.
- Accès du compte utilisateur aux données chiffrées. Configurez l'accès d'utilisateur au disque chiffré. Vous pouvez, par exemple, désactiver temporairement l'authentification de l'utilisateur et ne pas supprimer le compte utilisateur de l'Agent d'authentification.
- Commentaires. Saisissez une description de compte utilisateur si nécessaire.
- Enregistrez vos modifications.
- Cochez la case en regard de la tâche et cliquez sur le bouton Démarrer.
Après avoir terminé la tâche, au prochain démarrage de l'ordinateur, le nouvel utilisateur peut alors suivre la procédure d'authentification, charger le système d'exploitation et accéder au disque chiffré.
Pour modifier le mot de passe et d'autres paramètres du compte de l'Agent d'authentification, vous devez ajouter une commande spéciale à la tâche Administrer les comptes de l'Agent d'authentification. Les tâches de groupe sont pratiques, par exemple, pour remplacer le certificat d'un jeton d'administrateur sur tous les ordinateurs.
Procédure de modification d'un compte utilisateur d'Agent d'authentification via la Console d'administration (MMC)
- Ouvrez la tâche de groupe Administrer les comptes de l'Agent d'authentification.
- Dans les propriétés de la tâche, sélectionnez l'option Paramètres.
- Cliquez sur le bouton Ajouter → Commande de modification de compte.
- Dans la fenêtre qui s'ouvre, indiquez dans le champ Compte Windows le nom du compte d'utilisateur Microsoft Windows que vous souhaitez modifier.
- Si vous avez saisi le nom de compte Windows manuellement, cliquez sur le bouton Autoriser pour définir l'identificateur de sécurité du compte (SID).
Si vous ne définissez pas l'identificateur de sécurité à l'aide du bouton Autoriser, celui-ci sera défini lors de l'exécution de la tâche sur l'ordinateur.
La définition de l'identificateur de sécurité de compte Windows est nécessaire pour confirmer la saisie correcte du nom de compte Windows. Si le compte Windows n'existe pas sur l'ordinateur ou dans le domaine de confiance, la tâche Administrer les comptes de l'Agent d'authentification échouera.
- Cochez la case Modifier le nom d'utilisateur et saisissez le nouveau nom pour le compte utilisateur de l'Agent d'authentification si vous souhaitez que l'application Kaspersky Endpoint Security remplace le nom de l'utilisateur par celui repris dans le champ ci-dessous pour tous les comptes utilisateur de l'Agent d'authentification créés sur la base du compte utilisateur Microsoft Windows portant le nom repris dans le champ Compte Windows.
- Cochez la case Modifier les paramètres de l'ouverture de session par mot de passe si vous souhaitez pouvoir modifier les paramètres d'entrée par mot de passe.
- Cochez la case Autoriser l'ouverture de session par mot de passe, si vous souhaitez que l'application demande le mot de passe du compte utilisateur de l'Agent d'authentification lors de l'authentification pour l'accès aux disques durs chiffrés. Définissez le mot de passe du compte utilisateur de l'Agent d'authentification.
- Cochez la case Modifier la règle de changement de mot de passe lors de l'authentification dans l'Agent d'authentification et saisissez le nouveau mot de passe pour le compte utilisateur de l'Agent d'authentification si vous souhaitez que l'application Kaspersky Endpoint Security remplace le mot de passe par celui repris dans le champ ci-dessous pour tous les comptes de l'Agent d'authentification créés à partir du compte utilisateur Microsoft Windows portant le nom repris dans le champ Compte Windows.
- Définissez la valeur du paramètre de modification du mot de passe lors de l'authentification dans l'Agent d'authentification.
- Cochez la case Modifier les paramètres de l'ouverture de session par certificat si vous souhaitez pouvoir modifier les paramètres d'entrée par certificat électronique du token ou carte à puce.
- Cochez la case Autoriser l'ouverture de session par le certificat, si vous souhaitez que l'application demande de saisir le mot de passe du token ou de la carte à puce connecté à l'ordinateur lors de l'authentification pour l'accès aux disques durs chiffrés. Sélectionnez un fichier de certificat pour l'authentification avec une carte à puce ou un jeton.
- Cochez la case Modifier la description de la commande et modifiez la description si vous souhaitez que l'application Kaspersky Endpoint Security modifie la description de la commande pour tous les comptes utilisateur de l'Agent d'authentification créés sur la base du compte utilisateur Microsoft Windows portant le nom repris dans le champ Compte Windows.
- Cochez la case Modifier la règle d'accès à l'authentification dans l'Agent d'authentification si vous souhaitez que l'application Kaspersky Endpoint Security remplace la règle d'accès de l'utilisateur à l'authentification dans l'Agent d'authentification par la valeur ci-dessous pour tous les comptes utilisateur de l'Agent d'authentification créés à partir du compte utilisateur Microsoft Windows portant le nom repris dans le champ Compte Windows.
- Définissez la règle d'accès à l'authentification dans l'Agent d'authentification.
- Enregistrez vos modifications.
Procédure de modification d'un compte utilisateur d'Agent d'authentification via Web Console
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Tâches.
La liste des tâches s'ouvre.
- Cliquez sur la tâche Administration des comptes de l'Agent d'authentification pour Kaspersky Endpoint Security.
La fenêtre des propriétés de la tâche s'ouvre.
- Sélectionnez l'onglet Paramètres des applications.
- Dans la liste des comptes utilisateur de l'Agent d'authentification, cliquez sur le bouton Ajouter.
L'Assistant d'administration des comptes utilisateurs de l'Agent d'authentification démarre.
- Sélectionnez le type de la commande Modifier.
- Sélectionnez un compte utilisateur. Vous pouvez sélectionner un compte utilisateur dans la liste des comptes de domaine ou saisir le nom du compte manuellement. Passez à l'étape suivante.
Kaspersky Endpoint Security définit un identificateur de sécurité du compte (SID). Ceci est nécessaire pour vérifier le compte utilisateur. En cas de saisie incorrecte du nom d'utilisateur, Kaspersky Endpoint Security arrête l'exécution de la tâche sur une erreur.
- Cochez les cases en regard des paramètres que vous souhaitez modifier.
- Configurez les paramètres du compte utilisateur de l'Agent d'authentification :
- Créer un autre compte utilisateur de l'Agent d'authentification à la place du compte existant. Kaspersky Endpoint Security analyse les comptes utilisateur existants sur l'ordinateur. Si l'identifiant de sécurité de l'utilisateur sur l'ordinateur et dans la tâche coïncide, Kaspersky Endpoint Security modifie les paramètres du compte utilisateur conformément à la tâche.
- Nom d'utilisateur. Le nom d'utilisateur du compte utilisateur de l'Agent d'authentification correspond par défaut au nom de domaine de l'utilisateur.
- Autoriser l'ouverture de session par mot de passe. Définissez le mot de passe du compte utilisateur de l'Agent d'authentification. Si nécessaire, vous pouvez demander à l'utilisateur de définir un nouveau mot de passe après la première authentification. Chaque utilisateur possède ainsi son propre mot de passe unique. Vous pouvez également définir des exigences quand à la sécurité du mot de passe pour le compte utilisateur de l'Agent d'authentification dans la stratégie.
- Autoriser l'ouverture de session par certificat. Sélectionnez un fichier de certificat pour l'authentification avec une carte à puce ou un jeton. L'utilisateur doit alors saisir le mot de passe de la carte à puce ou du jeton.
- Accès du compte utilisateur aux données chiffrées. Configurez l'accès d'utilisateur au disque chiffré. Vous pouvez, par exemple, désactiver temporairement l'authentification de l'utilisateur et ne pas supprimer le compte utilisateur de l'Agent d'authentification.
- Commentaires. Saisissez une description de compte utilisateur si nécessaire.
- Enregistrez vos modifications.
- Cochez la case en regard de la tâche et cliquez sur le bouton Démarrer.
Pour supprimer un compte utilisateur d'Agent d'authentification, vous devez ajouter une commande spéciale à la tâche Administrer les comptes de l'Agent d'authentification. Les tâches de groupe sont pratiques, par exemple, pour supprimer le compte utilisateur d'un employé licencié.
Procédure de suppression d'un compte utilisateur d'Agent d'authentification via la Console d'administration (MMC)
- Ouvrez la tâche de groupe Administrer les comptes de l'Agent d'authentification.
- Dans les propriétés de la tâche, sélectionnez l'option Paramètres.
- Cliquez sur le bouton Ajouter → Commande de suppression de compte.
- Dans la fenêtre qui s'ouvre, saisissez dans le champ Compte Windows le compte utilisateur Windows à partir duquel le compte utilisateur de l'Agent d'authentification que vous souhaitez supprimer a été créé.
- Si vous avez saisi le nom de compte Windows manuellement, cliquez sur le bouton Autoriser pour définir l'identificateur de sécurité du compte (SID).
Si vous ne définissez pas l'identificateur de sécurité à l'aide du bouton Autoriser, celui-ci sera défini lors de l'exécution de la tâche sur l'ordinateur.
La définition de l'identificateur de sécurité de compte Windows est nécessaire pour confirmer la saisie correcte du nom de compte Windows. Si le compte Windows n'existe pas sur l'ordinateur ou dans le domaine de confiance, la tâche Administrer les comptes de l'Agent d'authentification échouera.
- Enregistrez vos modifications.
Procédure de suppression d'un compte utilisateur d'Agent d'authentification via Web Console
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Tâches.
La liste des tâches s'ouvre.
- Cliquez sur la tâche Administration des comptes de l'Agent d'authentification pour Kaspersky Endpoint Security.
La fenêtre des propriétés de la tâche s'ouvre.
- Sélectionnez l'onglet Paramètres des applications.
- Dans la liste des comptes utilisateur de l'Agent d'authentification, cliquez sur le bouton Ajouter.
L'Assistant d'administration des comptes utilisateurs de l'Agent d'authentification démarre.
- Sélectionnez le type de la commande Supprimer.
- Sélectionnez un compte utilisateur. Vous pouvez sélectionner un compte utilisateur dans la liste des comptes de domaine ou saisir le nom du compte manuellement.
- Enregistrez vos modifications.
- Cochez la case en regard de la tâche et cliquez sur le bouton Démarrer.
Suite à l'exécution de la tâche, l'utilisateur, lors du prochain démarrage de l'ordinateur, ne pourra pas réaliser la procédure d'authentification et charger le système d'exploitation. Kaspersky Endpoint Security interdira l'accès aux données chiffrées.
Pour afficher la liste des utilisateurs qui peuvent s'authentifier à l'aide de l'agent et charger le système d'exploitation, vous devez accéder aux propriétés de l'ordinateur administré.
Procédure de consultation de la liste des comptes utilisateur d'Agent d'authentification via la Console d'administration (MMC)
- Ouvrez la Console d'administration de Kaspersky Security Center.
- Dans l'arborescence de la console, sélectionnez Appareils.
- Ouvrez les propriétés de l'ordinateur d'un double clic.
- Dans la fenêtre des propriétés de l'ordinateur, choisissez la section Tâches.
- Dans la liste des tâches, sélectionnez Administrer les comptes de l'Agent d'authentification et ouvrez les propriétés de la tâche en double-cliquant.
- Dans les propriétés de la tâche, sélectionnez l'option Paramètres.
Vous avez alors accès à la liste des comptes utilisateur d'Agent d'authentification sur cet ordinateur. Seuls les utilisateurs de la liste peuvent s'authentifier à l'aide de l'Agent et charger le système d'exploitation.
Procédure de consultation de la liste des comptes utilisateur d'Agent d'authentification via Web Console
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Appareils administrés.
- Cliquez sur le nom de l'ordinateur sur lequel vous souhaitez afficher la liste des comptes utilisateur d'Agent d'authentification.
- Dans les propriétés de l'ordinateur, sélectionnez l'onglet Tâches.
- Dans la liste des tâches, sélectionnez Administration des comptes de l'Agent d'authentification.
- Dans les propriétés des tâches, sélectionnez l'onglet Paramètres des applications.
Vous avez alors accès à la liste des comptes utilisateur d'Agent d'authentification sur cet ordinateur. Seuls les utilisateurs de la liste peuvent s'authentifier à l'aide de l'Agent et charger le système d'exploitation.
Haut de page