Cette section décrit des scénarios de migration qui impliquent un changement dans votre licence du logiciel de chiffrement Sophos. Elle couvre la migration du logiciel côté serveur ainsi que le logiciel pour systèmes d'extrémité.
Les scénarios de migration suivants sont décrits :
■ Migration vers SafeGuard Enterprise 6.
■ Migration depuis SGE 4.5x/SDE 4.6x.
■ Migration des systèmes d'extrémité vers une licence différente.
Remarque :
Pour avoir un aperçu sur les noms de produits, reportez-vous à la section À propos de Sophos SafeGuard (SafeGuard Easy) à la page 4.
Pour la migration vers Sophos Disk Encryption 5.61 (administré via Sophos Enterprise Console 5.1) reportez-vous au Guide de migration des licences Sophos Disk Encryption 5.61.
28.1 Migration vers SafeGuard Enterprise
Vous pouvez migrer SafeGuard Easy (SGE)/Sophos SafeGuard Disk Encryption 5.5x ou supérieur vers la suite SafeGuard Enterprise 6 avec l'administration centralisée pour utiliser les fonctions d'administration étendues, par exemple la gestion des utilisateurs et des ordinateurs ou les fonctionnalités de journalisation étendues.
Pour migrer SGE/SDE 5.5x ou supérieur vers SafeGuard Enterprise 6 :
■ Migrez la console d'administration.
■ Migrez les systèmes d'extrémité.
28.1.1 Migration de la console d'administration
Conditions préalables
■ Vous n'avez pas besoin de désinstaller le SafeGuard Policy Editor.
■ .NET Framework 4 avec ASP.NET 4 est requis. Il doit tout d'abord être installé. Il est fourni avec le produit SafeGuard Enterprise.
■ Configurez la dernière version du serveur SafeGuard Enterprise avant la migration. Pour plus d'informations, reportez-vous au Guide d'installation de SafeGuard Enterprise.
■ Assurez-vous de disposer des droits d'administrateur Windows.
Pour migrer la console d'administration :
1. Sur l'ordinateur sur lequel le SafeGuard Policy Editor est installé, lancez
SGNManagementCenter.msi depuis le dossier d'installation du produit. Un assistant vous guide tout au long de l'installation. Acceptez les options par défaut.
2. Si vous y êtes invité, redémarrez l'ordinateur.
3. Démarrez le SafeGuard Management Center pour effectuer la configuration initiale. Pour plus d'informations, reportez-vous au Guide d'installation de SafeGuard Enterprise.
4. Configurez les stratégies SafeGuard Enterprise selon vos besoins.
Le SafeGuard Policy Editor a été migré vers le SafeGuard Management Center.
28.1.2 Migration des ordinateurs d'extrémité
Vous pouvez migrer les ordinateurs d'extrémité protégés par Sophos SafeGuard avec une configuration non administrée vers une configuration administrée. Les ordinateurs d'extrémité sont ainsi définis dans le SafeGuard Management Center sous la forme d'objets pouvant être gérés et disposant d'une connexion au serveur SafeGuard Enterprise.
Conditions préalables
■ Le SafeGuard Policy Editor a été migré vers le SafeGuard Management Center.
■ Il n'est pas nécessaire de désinstaller le logiciel de chiffrement Sophos SafeGuard. Sophos SafeGuard version 5.5x ou supérieur doit être installé sur les systèmes d'extrémité. Les versions antérieures doivent d'abord être mises à niveau vers la version 5.50.
■ Sauvegardez l'ordinateur d'extrémité avant de démarrer la migration.
■ Assurez-vous de disposer des droits d'administrateur Windows.
Pour migrer des ordinateurs d'extrémité :
1. Installez le plus récent package de préinstallation SGxClientPreinstall.msi, qui fournit à l'ordinateur d'extrémité la configuration requise pour une installation réussie du logiciel de chiffrement courant.
Ne désinstallez pas les packages de préinstallation précédents.
2. Depuis le dossier d'installation du produit, installez la dernière version du logiciel de chiffrement Sophos SafeGuard respectif.
Windows Installer reconnaît les fonctions déjà installées et ne réinstalle que celles-ci. Si l'authentification au démarrage est installée, un noyau POA à jour est également disponible après une mise à jour réussie (stratégies, clés, etc.). Sophos SafeGuard est automatiquement redémarré sur l'ordinateur.
Pour installer les nouvelles fonctionnalités avec la mise à niveau, sélectionnez un type d'installation Personnalisée. Puis sélectionnez les nouvelles fonctionnalités et celles à mettre à niveau. Avec une installation sans surveillance, utilisez la propriété ADDLOCAL= pour sélectionner les fonctionnalités désirées (existantes et nouvelles).
3. Dans le SafeGuard Management Center, dans le menu Outils, cliquez sur Outil de package de configuration. Cliquez sur Créer un package de configuration (géré). Un assistant vous guide tout au long des étapes nécessaires pour créer le package de configuration.
4. Attribuez ce package de configuration aux ordinateurs Sophos SafeGuard à l'aide d'une stratégie de groupe.
L'authentification est désactivée car l'attribution utilisateur-ordinateur n'est pas migrée.
Après la migration, les ordinateurs d'extrémité ne sont donc plus protégés !
5. L'utilisateur doit redémarrer l'ordinateur d'extrémité. La première connexion est toujours effectuée avec l'ouverture de session automatique. De nouvelles clés et de nouveaux certificats sont attribués à l'utilisateur.
6. L'utilisateur doit redémarrer l'ordinateur d'extrémité une seconde fois et se connecter à l'authentification au démarrage. Les ordinateurs sont de nouveau protégés seulement après le second redémarrage.
7. Supprimez tous les packages de configuration obsolètes ou non utilisés.
L'ordinateur non administré protégé par Sophos SafeGuard est maintenant connecté au serveur SafeGuard Enterprise.
28.2 Migration depuis SGE/SDE 4.x
Vous pouvez migrer SafeGuard Easy (SGE) 4.5 ainsi que Sophos SafeGuard Disk Encryption 4.6x directement vers SafeGuard Easy 6.
Pour migrer depuis SGE 4.5x/SDE 4.6x :
■ Configurez la console d'administration SafeGuard Policy Editor.
■ Migrez les ordinateurs d'extrémité.
Cette section décrit les étapes nécessaires, explique les fonctions qui peuvent être migrées et détaille les restrictions.
28.2.1 Configuration de la console d'administration
Si le SafeGuard Policy Editor n'est pas installé, installez la dernière version. Pour plus d'informations, reportez-vous à la section Installation du SafeGuard Policy Editor à la page 17.
Si vous avez une version précédente du SafeGuard Policy Editor, mettez-la à niveau vers la dernière version. Pour plus d'informations, reportez-vous à la section À propos de la mise à niveau à la page 161.
28.2.2 Migration des ordinateurs d'extrémité
La migration directe des systèmes d'extrémité a été testée. Elle est prise en charge pour SafeGuard Easy 4.5x. La mise à niveau directe doit également fonctionner pour les versions qui se trouvent entre la version 4.3x et la version 4.4x.
La mise à niveau directe n'est pas prise en charge pour les versions antérieures à la version 4.3x.
Ces versions doivent d'abord être mises à niveau vers SafeGuard Easy 4.50.
La migration directe des systèmes d'extrémité a été testée. Elle est prise en charge pour Sophos SafeGuard Disk Encryption 4.6x.
Le chiffrement des disques durs est conservé ; vous n'avez donc pas besoin de les déchiffrer et de les chiffrer à nouveau. Il n'est pas non plus nécessaire de désinstaller SafeGuard Easy ou Sophos SafeGuard Disk Encryption.
28.2.2.1 Conditions préalables
Les conditions préalables suivantes doivent être remplies :
■ SafeGuard Easy/Sophos SafeGuard Disk Encryption doivent être exécutés sur le système d'exploitation suivant :
Windows XP Professionnel Service Pack 2 et 3
■ La version 3.01 ou ultérieure de Windows Installer doit être installée.
■ Le matériel doit respecter la configuration requise de SafeGuard Easy 6.
■ Si vous utilisez un logiciel spécifique, par exemple un middleware Lenovo, celui-ci doit respecter la configuration système requise de SafeGuard Easy 6.
■ La migration est prise en charge, si les disques surs sont chiffrés avec les algorithmes suivants : AES128, AES256, 3DES et IDEA.
■ Les utilisateurs doivent disposer d'un compte et d'un mot de passe Windows valides. S'ils ne connaissent pas leur mot de passe Windows parce qu'ils s'étaient auparavant connectés à Windows via la connexion automatique sécurisée, le mot de passe utilisateur Windows doit être réinitialisé avant la migration et le nouveau mot de passe doit être communiqué aux utilisateurs.
28.2.2.2 Restrictions
■ La migration des systèmes d'extrémité seulement avec le package SGNClient_withoutDE.msi installé n'est pas pris en charge. Vous devez tout d'abord désinstaller ce package.
■ Seul le package de chiffrement intégral du disque SafeGuard, avec les fonctions standard, peut être installé (SGNClient.msi). Si le package SGNClient_withoutDE.msi doit également être installé, cette installation doit s'effectuer dans une étape séparée car une mise à niveau directe n'est pas prise en charge pour ce package.
■ Les installations suivantes ne peuvent pas être migrées et aucune migration ne doit être tentée.
Remarque : si vous commencez à migrer dans les cas suivants, un message d'erreur apparaît (numéro d'erreur 5006).
Installations à double initialisation
Installations avec commutateur Compaq actif Installations Lenovo Computrace
Disques durs partiellement chiffrés, par exemple avec le chiffrement du secteur de démarrage uniquement
Disques durs avec des partitions masquées
Disques durs chiffrés avec l'un des algorithmes suivants : XOR, STEALTH, DES, RIJNDAEL, Blowfish-8, Blowfish-16
Scénarios à plusieurs initialisations avec une seconde partition Windows ou Linux
■ Les supports amovibles qui ont été chiffrés avec les algorithmes suivants ne peuvent pas être migrés : XOR, STEALTH, DES, RIJNDAEL, Blowfish-8, Blowfish-16.
Remarque : il a des risques de perte de données dans ces cas. Après la migration, il n'est plus possible d'accéder aux données du support amovible avec SafeGuard Easy.
■ Les supports amovibles avec des volumes Super Floppy ne peuvent pas être transformés après la migration.
■ Les supports amovibles peuvent être convertis dans un format compatible avec SafeGuard Easy 6. Après la conversion, un support de données chiffrées ne peut être lu que par SafeGuard Easy 6 et uniquement sur l'ordinateur d'extrémité sur lequel il a été converti.
28.2.2.3 Préparation des ordinateurs d'extrémité
■ Préparez les ordinateurs d'extrémité pour l'installation du logiciel de chiffrement.
Reportez-vous à la section Préparation des ordinateurs d'extrémité à la page 27.
■ Nous vous recommandons de créer une sauvegarde valide du noyau et de l'enregistrer dans un emplacement toujours accessible (par exemple, un partage réseau). Pour plus
d'informations, reportez-vous à la section Enregistrement du noyau système et création d'un support d'urgence dans l'Aide de SafeGuard Easy 4.5x/Sophos SafeGuard Disk Encryption 4.6x.
■ Pour réduire le risque de perte de données, nous vous recommandons de créer un environnement de test pour la première migration.
■ Si vous migrez à partir de versions antérieures de SafeGuard Easy, effectuez d'abord une mise à niveau vers la version 4.50.
■ Laissez les ordinateurs allumés tout au long du processus de migration.
■ Les utilisateurs doivent disposer d'un compte et d'un mot de passe Windows valides. S'ils ne connaissent pas leur mot de passe Windows parce qu'ils s'étaient auparavant connectés à Windows via la connexion automatique sécurisée, le mot de passe Windows doit être réinitialisé avant la migration et le nouveau mot de passe doit être communiqué aux utilisateurs.
Remarque : si les utilisateurs ne le connaissent pas, ils ne pourront pas se connecter à SafeGuard Easy 6. Dans ce cas, la connexion automatique à Windows est refusée. Il existe donc un risque de perte de données car les utilisateurs ne peuvent plus accéder à leurs ordinateurs.
28.2.2.4 Fonctionnalités migrées
Le tableau ci-dessous indique quelles fonctionnalités sont migrées et comment elles sont gérées dans SafeGuard Easy 6.
SafeGuard Easy 6 Migration
SGE 4.5x/SDE 4.6x
Les clés des disques durs sont protégées par l'authentification au démarrage. Elles ne sont Oui
Disques durs chiffrés
donc à aucun moment exposées. Si le mode de protection à l'initialisation a été sélectionné dans SafeGuard Easy 6, désinstallez la version actuelle.
L'algorithme de chiffrement du disque dur n'est pas modifié par la migration. En conséquence,
SafeGuard Easy 6 Migration
SGE 4.5x/SDE 4.6x
l'algorithme réel de ce type de disque dur migré peut différer de la stratégie générale.
Les supports amovibles chiffrés restent chiffrés et les données qui y sont copiées sont chiffrées.
Oui Supports amovibles chiffrés
(seulement applicable lors de
la migration depuis SGE 4.5x) Vous pouvez accéder aux données chiffrées. Les supports amovibles qui étaient non chiffrés avant la migration restent non chiffrés après la migration.
Les noms utilisateur et les mots de passe Windows sont utilisés dans SafeGuard Easy 6.
Non Noms utilisateur et mots de
passe SGE/SDE
Les noms utilisateur et mots de passe précédents ne sont donc plus utiles. Après la migration, le premier utilisateur qui se connecte à Windows est défini comme utilisateur principal au sein de la POA (sauf s'il est spécifié sur la liste de comptes de service).
Pour garantir la cohérence de tous les
paramètres, aucune migration automatique n'est Non
Stratégies
exécutée. Les paramètres doivent être réinitialisés dans le SafeGuard Easy 6.
L'authentification de préinitialisation (PBA) est remplacée par l'authentification au démarrage (POA).
Non Authentification de
préinitialisation
Vous pouvez continuer à utiliser les jetons/cartes à puce dans SafeGuard Easy 6. Néanmoins, les Dans une
certaine mesure Jetons/cartes à puce
(seulement applicable lors de
la migration depuis SGE 4.5x) informations d'identification ne sont pas migrées.
Les jetons utilisés auparavant doivent donc être regénérés dans SafeGuard Easy 6 et configurés à l'aide des stratégies. Les informations
d'identification sous forme de fichier sur les jetons/cartes à puce restent tels quels et peuvent uniquement être utilisés pour se connecter aux ordinateurs avec la prise en charge de SafeGuard Easy/Sophos SafeGuard Disk Encryption. Si besoin est, le middleware du jeton/carte à puce doit être mis à jour vers une version prise en charge par SafeGuard Easy 6.
Vous pouvez continuer à utiliser la connexion par empreinte digitale. Le matériel et le logiciel Dans une
certaine mesure Connexion avec le lecteur
d'empreintes digitales Lenovo
du lecteur d'empreintes digitales doivent être pris en charge par SafeGuard Easy 6 et les données d'empreintes digitales de l'utilisateur doivent être redéployées. Pour plus
d'informations sur la connexion par empreinte digitale, reportez-vous à l'Aide de l'utilisateur de SafeGuard Easy 6.
28.2.2.5 Démarrage de la migration
Remarque :
L'installation peut être effectuée sur un système SGE/SDE en cours d'exécution. Aucun déchiffrement de disques durs ou de volumes chiffrés n'est nécessaire. Il est préférable d'effectuer l'installation de manière centralisée en mode sans surveillance. L'installation via le dossier de configuration n'est pas recommandée.
Utilisez le package de chiffrement intégral du disque SafeGuard (SGNClient.msi) depuis le dossier d'installation du produit, avec la fonction standard définie. Vous ne pouvez pas utiliser le package SafeGuard SGNClient_withoutDE.msi pour effectuer la migration.
Pour migrer des ordinateurs d'extrémité :
1. Cliquez deux fois sur le fichier WIZLDR.exe dans le dossier de programme de SafeGuard Easy de l'ordinateur d'extrémité que vous souhaitez migrer. Cette opération démarre l'assistant de migration.
2. Dans l'assistant de migration, entrez le mot de passe SYSTEM et confirmez en cliquant sur Suivant. Dans Dossier de destination, cliquez sur Suivant, puis sur Terminer. Un fichier de configuration de migration SGEMIG.cfg est créé.
3. Dans l'Explorateur Windows, renommez le fichier SGEMIG.cfg en SGE2SGN.cfg.
Remarque : les droits du propriétaire/de l'auteur doivent être définis pour ce fichier et pour le chemin d'accès au dossier dans lequel il est stocké pendant la migration. Autrement, la migration risque d'échouer et un message indiquant que le fichier SGE2SGN.cfg est introuvable s'affiche.
4. Entrez la commande "msiexec" à l'invite de commande pour installer les éléments suivants sur les systèmes d'extrémité : le dernier package d'avant installation et le dernier package de chiffrement intégral du disque SafeGuard. Ajoutez le paramètre MIGFILE qui indique le chemin d'accès au fichier de configuration de migration SGE2SGN.cfg :
Exemple :
msiexec /i \\Distributionserver\Software\Sophos\SafeGuard\SGxClientPreinstall.msi msiexec /i \\Distributionserver\Software\Sophos\SafeGuard\SGNClient.msi
/L*VX“\\Distributionserver\Software\Sophos\SafeGuard\%Computername%.log“
MIGFILE=\\Distributionserver\Software\Sophos\SafeGuard\SGE2SGN.cfg
■ Une fois la migration effectuée, SafeGuard Easy 6 est prêt sur l'ordinateur.
■ Si la migration échoue, SafeGuard Easy/Sophos SafeGuard Disk Encryption restent disponibles sur l'ordinateur. Le cas échéant, SafeGuard Enterprise est automatiquement supprimé.
28.2.2.6 Connexion à l'ordinateur d'extrémité après la migration Pour se connecter à l'ordinateur d'extrémité après la migration :
1. Redémarrez l'ordinateur. La première connexion est toujours effectuée avec l'ouverture de session automatique. De nouvelles clés et de nouveaux certificats sont attribués à l'utilisateur.
2. Redémarrez de nouveau l'ordinateur. Connectez-vous à l'authentification au démarrage.
Les ordinateurs sont de nouveau protégés seulement après le second redémarrage.
3. Pour déchiffrer le disque dur ou ajouter et supprimer des clés de chiffrement du disque dur, redémarrez de nouveau l'ordinateur.
Après une migration réussie, les éléments suivants sont disponibles dans SafeGuard Easy après la connexion à l'authentification au démarrage:
■ les clés et algorithmes des volumes chiffrés ;
Les volumes chiffrés restent inchangés et les clés de chiffrement sont automatiquement converties dans un format compatible avec Sophos SafeGuard.
■ Les clés et les algorithmes des supports amovibles chiffrés.
Ils doivent être convertis dans un format compatible avec Sophos SafeGuard.
28.2.2.7 Configuration des systèmes d'extrémité migrés
Les ordinateurs d'extrémité sont initialement configurés par des packages de configuration qui permettent, entre autres, d'activer l'authentification au démarrage.
Conditions préalables :
La configuration des systèmes d'extrémité doit avoir lieu seulement après l'activation de la POA et la connexion de l'utilisateur à Windows.
1. Créez le package de configuration initiale dans le SafeGuard Policy Editor avec les paramètres de stratégie requis. Cliquez sur Outils > Outil de package de configuration et créez le package de configuration initial avec les paramètres de stratégie requis.
2. Installez le package de configuration sur les ordinateurs d'extrémité.
Remarque : les stratégies transférées avec le premier package de configuration Sophos SafeGuard doivent correspondre à la configuration précédente de l'ordinateur SDE/SGE.
28.2.2.8 Conversion des clés des supports amovibles chiffrés
Le support amovible chiffré reste inchangé, mais les clés doivent être converties dans un format compatible avec SafeGuard Easy 6.
La stratégie appropriée de chiffrement basé sur volume doit être présente sur l'ordinateur avant la conversion. Faute de quoi les clés ne sont pas converties.
Remarque :
Après la conversion, un support de données chiffrées ne peut être lu que par SafeGuard Easy 6 et uniquement sur l'ordinateur d'extrémité sur lequel il a été converti.
1. Déconnectez les supports de l'ordinateur et réinsérez-les de nouveau. Ceci pour s'assurer que vous pouvez déchiffrer les supports amovibles ou ajouter et supprimer les clés pour le chiffrement des supports amovibles.
2. Dans l'Explorateur Windows, cliquez deux fois sur les supports auxquels vous voulez accéder.
3. Vous êtes invité à confirmer la transformation des clés de chiffrement dans un format compatible avec SafeGuard Easy 6.
■ Si vous confirmez la conversion, un accès complet aux données migrées est assuré.
■ Si vous refusez la conversion, les données migrées peuvent tout de même être lues et modifiées.
28.3 Migration des systèmes d'extrémité vers une licence différente
Vous pouvez migrer les systèmes d'extrémité sur lesquels seul le chiffrement basé sur fichier est installé (SGNClient_withoutDE.msi) afin qu'ils prennent aussi en charge le chiffrement intégral du disque SafeGuard (SGNClient.msi) :
1. Sur le système d'extrémité, désinstallez le package SGNClient_withoutDE.msi.
2. Désinstallez le package de configuration correspondant.
3. Dans le dossier d'installation du produit, installez le package SGNClient.msi. Un assistant vous guide tout au long de l'installation. Acceptez les options par défaut et assurez-vous de sélectionner une installation Complète pour installer toutes les fonctions de chiffrement disponibles.
4. Créez un nouveau package de configuration et déployez-le sur l'ordinateur d'extrémité.
Remarque :
Les clés locales créées lors de l'installation du package d'installation SGNClient_withoutDE.msi sont toujours disponibles.
29 À propos de la désinstallation
Cette section couvre les rubriques suivantes :
■ Bon usage en matière de désinstallation
■ Désinstallation du logiciel de chiffrement Sophos SafeGuard.
■ Empêcher la désinstallation du logiciel de chiffrement Sophos SafeGuard
■ Protection antialtération Sophos
29.1 Bon usage en matière de désinstallation
Lorsque le logiciel de chiffrement Sophos SafeGuard est installé sur le même ordinateur que le SafeGuard Policy Editor, assurez-vous de bien suivre cette procédure de désinstallation afin de pouvoir continuer à les utiliser :
1. Désinstallez le SafeGuard Policy Editor.
2. Désinstallez le package de configuration Sophos SafeGuard.
3. Désinstallez le logiciel de chiffrement Sophos SafeGuard.
4. Installez à nouveau le package que vous souhaitez continuer à utiliser.
29.2 Désinstallation du logiciel de chiffrement Sophos SafeGuard.
La désinstallation du logiciel de chiffrement Sophos SafeGuard des ordinateurs d'extrémité implique les étapes suivantes :
■ Déchiffrement des données chiffrées.
■ Désinstallation du logiciel de chiffrement.
Les stratégies appropriées doivent être effectives sur les ordinateurs d'extrémité pour permettre le déchiffrement et la désinstallation.
29.2.1 Empêcher la désinstallation du logiciel de chiffrement Sophos SafeGuard
Pour renforcer la protection de vos ordinateurs d'extrémité, nous vous recommandons d'interdire la désinstallation locale de Sophos SafeGuard. Définissez l'option Désinstallation autorisée de la stratégie Paramètres spécifiques à la machine sur Non et déployez cette stratégie sur les ordinateurs d'extrémité. Les tentatives de désinstallation sont alors annulées et les tentatives non autorisées sont journalisées.
Pour renforcer la protection de vos ordinateurs d'extrémité, nous vous recommandons d'interdire la désinstallation locale de Sophos SafeGuard. Définissez l'option Désinstallation autorisée de la stratégie Paramètres spécifiques à la machine sur Non et déployez cette stratégie sur les ordinateurs d'extrémité. Les tentatives de désinstallation sont alors annulées et les tentatives non autorisées sont journalisées.