Stormshield Data Team
INFORMATION
Stormshield ne proposera plus d’évolutions fonctionnelles de la fonctionnalité Stormshield Data Team à partir de janvier 2025. La fonctionnalité passera en mode maintenance à partir de cette date.
Restriction en environnement DFS
- Une racine DFS ne peut pas être chiffrée.
- Les comptes SDS Enterprise ne doivent pas être hébergés sur un partage DFS.
Gérer le dossier temporaire utilisateur (%TEMP%)
Il ne faut pas indiquer plusieurs collaborateurs sur une règle affectant le dossier temporaire du profil Windows. Ce dossier est utilisé par les applications pour stocker des fichiers temporaires propres à l’utilisateur.
Si cette règle n’est pas respectée, des blocages peuvent se produire.
Gérer le dossier temporaire du système
Ce dossier est utilisé par les processus système, les services par exemple, pour stocker des fichiers temporaires et il est partagé avec les autres utilisateurs du système.
Ce dossier peut être par exemple C:\windows\temp. La localisation exacte dépend de l’installation du système d’exploitation.
Ce dossier ne doit pas être chiffré avec Stormshield Data Team.
Déplacer les dossiers disponibles hors connexion
Il est possible via l’utilitaire cachemov.exe de déplacer le dossier système - <%WINDIR%>\CSC - qui contient les fichiers disponibles hors connexion.
La prise en charge de cet environnement particulier nécessite de modifier la configuration des postes de travail via la base de registre. Pour plus d'informations, reportez-vous à la section Configurer les paramètres avancés dans la base de registre du Guide de configuration avancée.
Maintenir les performances du poste de travail
L'utilisation de Stormshield Data Team peut provoquer un ralentissement du fonctionnement des postes de travail des utilisateurs. Afin de conserver les performances habituelles, vous pouvez modifier la configuration des postes de travail via la base de registre. Pour plus d'informations, reportez-vous à la section Configurer les paramètres avancés dans la base de registre du Guide de configuration avancée.
Déplacer un dossier intra-volume
Le déplacement de dossier intra-volume est interdit lorsque les dossiers source et destination n’ont pas la même sécurité.
Si l’opération est effectuée dans l’explorateur Windows, celui-ci remplace l’opération de déplacement par l’enchaînement Copie + Suppression de la source. Dans ce cas, le dossier “déplacé” se verra appliquer la sécurité du dossier destination.
Interdire d'accéder à un fichier chiffré si le certificat est révoqué
Stormshield Data Team permet l'interdiction d'accéder à un fichier chiffré à un utilisateur dont le certificat de la clé de chiffrement est révoqué.
Dans ce cas :
- toute opération sur les fichiers sécurisés par Stormshield Data Team (ouverture, création, renommage, déplacement et suppression) est refusée.
Ces opérations échouent même si le fichier est chiffré avec une ancienne clé de chiffrement de l'utilisateur.
- toute opération sur les règles Team est impossible. Les interfaces utilisateurs sont grisées et permettent uniquement la consultation des paramètres des règles.
Stormshield Data Team utilise la configuration du contrôleur de révocation définie au niveau du compte de l'utilisateur. Veillez en particulier :
- à ne pas autoriser l'utilisateur à désactiver le contrôle de révocation,
- à configurer correctement la règle de téléchargement des listes de révocation.
Modifier les dates de derniers accès
Certaines solutions, comme les solutions d'archivage, se basent sur les dates de derniers accès de fichiers pour effectuer leurs traitements. Toutefois, lorsque Stormshield Data Team est installé sur un poste, la date de dernier accès d’un fichier est modifiée lors d’un parcours de répertoire.
Vous pouvez maîtriser la restauration des dates de dernier accès sur les fichiers et supprimer ainsi la modification de la date de dernier accès des ouvertures de fichiers par Stormshield Data Team. Pour cela, modifiez la configuration des postes de travail via la base de registre. Pour plus d'informations, reportez-vous à la section Configurer les paramètres avancés dans la base de registre du Guide de configuration avancée.
Utiliser le cache en réseau
Lors d'une utilisation du cache en réseau, les fichiers et répertoires mais également les règles, peuvent être changés hors du contrôle du système de fichiers local de l’utilisateur. Si une modification est effectuée par un utilisateur sur le réseau, les autres postes qui utilisent le partage peuvent avoir pendant un certain temps des entrées de cache incorrectes et donc des statuts incorrects dans l'explorateur Windows. En conséquence, les nouveaux états ne seront pas pris en compte immédiatement.
Pour limiter ces incohérences, vous pouvez prendre les mesures suivantes :
- Sécurisez un dossier dès sa création lorsqu'il est encore vide,
- Prévenez les utilisateurs pour qu'ils évitent de se servir du partage au moment critique,
- Évitez de détruire un dossier puis de le recréer avec le même nom et des caractéristiques différentes. Si cette opération doit être effectuée, laissez passer entre les deux opérations le temps nécessaire à la mise à jour des caches (délai de 15 minutes ou redémarrage de la machine de l'utilisateur pour prise en compte instantanée),
- Effectuez les opérations conséquentes sur une arborescence de fichiers (sécurisation/désécurisation) à des heures où pas ou peu d’utilisateurs sont connectés (par exemple pendant la pause déjeuner ou en fin de journée).
L'ajout ou la suppression de collaborateurs à une règle existante ne pose pas de problème particulier et il n'y a donc pas de précaution à prendre.