pour Windows et macOS
Chiffrement de disque BitLocker pour Windows
BitLocker est une technologie de chiffrement intégrée au système d'exploitation Windows. Kaspersky Endpoint Security vous permet de contrôler et de gérer Bitlocker à l'aide de l'infrastructure Kaspersky Next. BitLocker chiffre le volume logique. BitLocker ne permet de pas de chiffrer les disques amovibles. Pour en savoir plus sur BitLocker, veuillez consulter la documentation Microsoft.
Lors du chiffrement du disque, BitLocker place le programme de démarrage et les autres fichiers auxiliaires dans la partition du système. Cette partition n'est pas chiffrée. Lors de l'installation de Windows, le système d'exploitation crée la partition système automatiquement. Si le disque est entièrement partitionné avant l'installation de Windows, le système d'exploitation ne peut pas créer de partition système. Dans ce cas, lorsque vous démarrez le chiffrement de disque BitLocker, le système d'exploitation invite l'utilisateur à repartitionner le disque et à créer une partition système. Une fois que vous aurez créé une partition système, le système d'exploitation lancera le chiffrement BitLocker.
BitLocker fournit un stockage sécurisé des clés d'accès à l'aide d'un module de plateforme sécurisée. Module de plateforme sécurisée (en anglais, Trusted Platform Module (TPM)) : puce développée pour proposer les fonctions principales associées à la sécurité (par exemple, pour stocker des clés de chiffrement). Le Trusted Platform Module s'installe en général sur la carte mère de l'ordinateur et interagit avec les autres modules système via le bus matériel. TPM est le moyen le plus sûr de stocker les clés d'accès BitLocker, puisque le TPM assure la vérification de l'intégrité du système avant le démarrage. Vous pouvez toujours chiffrer les disques sur un ordinateur sans TPM. Dans ce cas, la clé d'accès sera chiffrée à l'aide d'un mot de passe. Ainsi, BitLocker utilise les méthodes d'authentification suivantes :
Après avoir chiffré le disque dur du système, l'utilisateur doit passer par l'authentification BitLocker pour lancer le système d'exploitation. Une fois l'authentification réussie, BitLocker pourra se connecter. BitLocker n'est pas compatible avec la technologie d'authentification unique (SSO).
Après avoir chiffré le disque, BitLocker crée une clé principale. Kaspersky Endpoint Security envoie la clé principale à l'infrastructure Kaspersky Next afin que vous puissiez restaurer l'accès au disque si l'utilisateur a oublié le mot de passe, par exemple.
Si un utilisateur a chiffré un disque à l'aide de BitLocker, Kaspersky Endpoint Security envoie les informations sur le chiffrement du disque à la console Kaspersky Next. Dans ce cas, Kaspersky Endpoint Security n'envoie pas la clé principale à l'infrastructure Kaspersky Next et il est impossible de restaurer l'accès au disque. Pour que BitLocker fonctionne correctement avec l'infrastructure Kaspersky Next, déchiffrez le disque et chiffrez-le à nouveau à l'aide d'une stratégie. Vous pouvez déchiffrer un disque localement ou à l'aide d'une stratégie.
Si vous utilisez des stratégies de groupe pour Windows, désactivez l'administration de BitLocker dans les paramètres de la stratégie. Les paramètres de la stratégie Windows peuvent entrer en conflit avec les paramètres de la stratégie de Kaspersky Endpoint Security. Lors du chiffrement d'un disque, des erreurs peuvent se produire.
Chiffrement du disque FileVault pour macOS
Kaspersky Endpoint Security permet de gérer à distance le chiffrement FileVault. Le chiffrement empêche les utilisateurs non autorisés d'accéder aux données confidentielles stockées sur le disque de démarrage de l'ordinateur de l'utilisateur.
Lorsqu’un administrateur lance depuis la console Kaspersky Next le chiffrement FileVault sur un ordinateur, Kaspersky Endpoint Security invite l’utilisateur de cet ordinateur à saisir ses identifiants. Le chiffrement du disque ne démarre qu'une fois que l'utilisateur a fourni ses identifiants, que l'ordinateur a redémarré et que 30 minutes se sont écoulées depuis la réception des paramètres de stratégie sur l'ordinateur. L'intervalle minimum entre les demandes d'identifiants est également de 30 minutes.
Pour empêcher l'utilisateur de déchiffrer le disque de démarrage de son ordinateur lorsque le chiffrement FileVault est activé, l'administrateur doit déployer un profil MDM interdisant le déchiffrement du disque via JAMF. Pour déchiffrer le disque de démarrage d'un ordinateur avec un profil MDM interdisant le déchiffrement du disque, l'administrateur doit d'abord supprimer le profil.
Si la gestion du chiffrement de disque FileVault n'est pas activée dans la console Kaspersky Next, les utilisateurs disposant des droits d'administrateur peuvent chiffrer et déchiffrer le disque de démarrage de leur ordinateur depuis les Réglages système. Pour en savoir à propos de FileVault, consultez la documentation Apple.
Si l'ordinateur dispose de plusieurs comptes utilisateur, le chiffrement FileVault rend le disque inaccessible à tous les utilisateurs, à l'exception de celui qui a saisi ses identifiants.
Paramètres de chiffrement des données pour Pro View
Paramètre |
Système d'exploitation |
Description |
|---|---|---|
Action sur les appareils |
|
Chiffrer tous les disques durs. Si vous choisissez cette option, l'application chiffre tous les disques durs lors de l'application de la stratégie. Déchiffrer tous les disques durs. Si vous choisissez cette option, l'application déchiffre tous les disques durs chiffrés antérieurement lors de l'application de la stratégie. |
Utiliser le chiffrement matériel |
|
Si la case est cochée, l'application adopte le chiffrement au niveau du matériel. Ceci vous permet d'accélérer le chiffrement et d'utiliser moins de ressources de l'ordinateur. |
Utiliser l'authentification BitLocker sur les tablettes Windows |
|
L'utilisation d'une authentification qui requiert une saisie au clavier dans l'environnement préalable au démarrage, même si la plateforme ne dispose pas de cette possibilité (par exemple, claviers tactiles sur les tablettes). L'écran tactile des tablettes est indisponible dans l'environnement de démarrage. Pour réaliser une authentification BitLocker sur de telles tablettes, l'utilisateur doit absolument connecter un clavier USB par exemple. Si la case est cochée, l'utilisation de l'authentification qui requiert une saisie au clavier dans l'environnement préalable au démarrage est autorisée. Il est recommandé d'utiliser ce paramètre uniquement pour les appareils qui, pendant le chargement préalable, disposent de modes alternatifs de saisie de données, par exemple un clavier USB en plus du clavier tactile. Si cette case est décochée, le chiffrement de disque BitLocker n'est pas possible sur les tablettes. |
Méthode d'authentification |
|
Trusted Platform Module (TPM). Si vous avez choisi cette option, BitLocker utilise le Trusted Platform Module (TPM). Module de plateforme sécurisée (en anglais, Trusted Platform Module (TPM)) : puce développée pour proposer les fonctions principales associées à la sécurité (par exemple, pour stocker des clés de chiffrement). Le Trusted Platform Module s'installe en général sur la carte mère de l'ordinateur et interagit avec les autres modules système via le bus matériel. Pour les ordinateurs tournant sous les systèmes d'exploitation Windows 7 et Windows Server 2008 R2, seul le chiffrement à l'aide du module TPM est disponible. Si le module TPM n'est pas installé, le chiffrement BitLocker n'est pas possible. L'utilisation d'un mot de passe sur ces ordinateurs n'est pas prise en charge. L'appareil équipé du Trusted Platform Module peut créer des clés de chiffrement qui peuvent être déchiffrées uniquement à l'aide de celui-ci. Le Trusted Platform Module chiffre les clés de chiffrement à l'aide de la clé racine de stockage correspondante. La clé racine de stockage se trouve à l'intérieur du Trusted Platform Module. Cela offre un niveau de sécurité complémentaire pour les clés de chiffrement contre les tentatives d'attaque. Cette option est sélectionnée par défaut. Mot de passe. Si vous avez choisi cette option, Kaspersky Endpoint Security demande le mot de passe à l'utilisateur lorsque celui-ci souhaite accéder au disque chiffré. Cette option peut être choisie si la Trusted Platform Module (TPM) n'est pas utilisée. Trusted Platform Module (TPM) ou mot de passe si le TPM n'est pas disponible. Si cette option est sélectionnée, l'utilisateur peut accéder aux clés de chiffrement à l'aide d'un mot de passe en l'absence du Trusted Platform Module (TPM). Si la case n'est pas cochée et que le TPM n'est pas disponible, le chiffrement complet du disque ne démarre pas. Utiliser un code PIN pour le TPM. Quand la case est cochée, l'utilisateur doit saisir un code PIN pour accéder à la clé de chiffrement conservée dans le module de plateforme sécurisée (TPM). Si cette case n'est pas cochée, l'utilisateur n'est pas autorisé à utiliser le code PIN. Pour accéder à la clé de chiffrement, l'utilisateur utilise un mot de passe. |