Configurer les middleware nécessaires aux comptes Carte ou token USB
Pour communiquer avec une carte à puce ou un token USB, SDS Enterprise requiert la présence d'un middleware sur les postes des utilisateurs.
SDS Enterprise permet d'utiliser toute carte ou token USB dès lors que son constructeur fournit un module cryptographique PKCS#11 (interface standard) compatible.
SDS Enterprise fournit par défaut le middleware Stormshield Data Security, mais vous pouvez en utiliser d'autres en les spécifiant dans la politique de sécurité.
Dans ce cas, vous devez installer manuellement les middleware sur les postes des utilisateurs.
Pour les cartes ou tokens dont le fabricant a publié ses minidrivers auprès de Microsoft, vous pouvez utiliser le middleware Stormshield Data Security afin de bénéficier d'un fonctionnement Plug-and-Play.
De plus, pour faire fonctionner le type de compte Carte ou token USB pour vos utilisateurs, vous devez au préalable installer l'extension pour carte sur les postes de travail, comme indiqué dans les sections ci-dessous.
Le Configurateur de l'extension pour carte permet de consulter le middleware utilisé par SDS Enterprise pour communiquer avec la carte ou le token USB. Le middleware utilisé est inscrit en base de registre. Si besoin, l'extension permet également de sélectionner un autre middleware que vous avez spécifié dans la politique de sécurité.
L'installation de l’extension est également requise pour le fonctionnement des comptes Single Sign-on (SSO). Le middleware Stormshield Data Security est utilisé pour ce type de compte. Pour plus d'informations sur les comptes SSO, reportez-vous à la section Créer un compte Single Sign-On (SSO).
La politique de sécurité liste les middleware que SDS Enterprise peut utiliser sur les postes des utilisateurs pour communiquer avec les cartes ou tokens USB.
Si vous configurez la politique de sécurité via SDMC, reportez-vous à la section Définir les paramètres génériques des comptes. Par défaut, le middleware Stormshield Data Security est sélectionné. Vous ne pouvez sélectionner qu'un seul middleware via SDMC.
Depuis le fichier de configuration .json de la politique, vous pouvez spécifier manuellement plusieurs middleware à utiliser (paramètre cardMiddlewares). Pour plus d'informations, reportez-vous au Guide de configuration avancéeSDS Enterprise
Lorsque la politique de sécurité est déployée et prise en compte par les postes des utilisateurs, le middleware à utiliser est inscrit dans la base de registre. Si plusieurs middleware sont spécifiés dans la politique, SDS Enterprise prend en compte, par ordre d'apparition, le premier middleware de la liste qui est fonctionnel sur le poste. C'est-à-dire qu'il doit être disponible et s'exécuter sans erreur.
Les informations de configuration du middleware utilisé sont inscrites dans les clés de registre suivantes :
-
HKEY_LOCAL_MACHINE\SOFTWARE\Arkoon\Security BOX Enterprise\Kernel\Components\Pkix
-
Pkcs11CardDll
: chemin vers la DLL du middleware, -
Pkcs11CardLabel
: nom du middleware.
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Arkoon\Security BOX Enterprise\Properties\NewUserWizardGP1 et NewUserWizardGP2
-
eCKA_[ATTRIBUTE]
: valeurs correspondant à des paramètres contrôlant l'utilisation de divers attributs PKCS#11 lors de la communication avec les cartes à puce/tokens USB.
-
A chaque démarrage de SDS Enterprise, la base de registre lui indique ainsi le middleware à utiliser. Nous vous déconseillons de modifier manuellement ces valeurs.
Vous pouvez sélectionner un autre middleware à utiliser à tout moment depuis le poste d'un utilisateur. Les valeurs en base de registre sont alors mises à jour automatiquement. Pour plus d'informations, reportez-vous à la section Configurer l'extension pour carte.
L'extension SDS Enterprise pour carte et token USB ou compte Single Sign-on peut être installée sur les postes des utilisateurs en même temps que les autres fonctionnalités. Pour plus d'informations, reportez-vous à la section Déployer le package d'installation des agents SDS Enterprise et une politique de sécurité personnalisée sur les postes des utilisateurs.
Pour une installation ultérieure, suivez la procédure ci-dessous :
- Ouvrez le menu Démarrer de la barre de tâches du poste utilisateur.
- Ouvrez le Panneau de configuration et choisissez la fonctionnalité Ajout/Suppression de programmes.
- Sélectionnez dans la liste la ligne correspondant à SDS Enterprise.
- Cliquez sur Changer. Vous entrez en mode Maintenance.
- Choisissez l’option Modifier puis passez les différents écrans.
- Sélectionnez la fonctionnalité Stormshield Data Card extension.
- Terminez la procédure d'installation.
Pour ouvrir le Configurateur de l'extension pour carte :
-
Cliquez sur le menu Démarrer > Stormshield Data Security Suite > Configurateur de l’extension carte.
Le menu Type de carte ou de clé USB affiche le middleware utilisé par SDS Enterprise sur le poste de travail, comme défini par la politique de sécurité.
Vous pouvez sélectionner un autre middleware. La liste déroulante présente tous ceux spécifiés dans la politique de sécurité, dans leur ordre d'apparition dans la politique. Dans ce cas, la configuration de middleware est modifiée dans la base de registre et un redémarrage de SDS Enterprise est requis.
Si le nouveau middleware sélectionné est indisponible, une erreur s'affiche.
-
Cliquez sur Informations pour analyser les problèmes d'accès aux cartes ou tokens. Le menu permet de tester le module d'interface PKCS#11 : le nombre de lecteurs visibles est indiqué. Si la DLL PKCS#11 n’est pas accessible, un message d’erreur le signale ; vérifiez alors le nom et le chemin de la DLL ainsi que la présence des éléments prérequis à cette DLL (notamment d’autres DLL).
L'écran suivant montre que l’extension carte est présente et configurée pour des cartes Gemalto. Il n’y a cependant pas de token USB effectivement présent.
L'écran suivant montre qu'un token USB est inséré et présente les caractéristiques du token USB ainsi que les objets publics (notamment les clés publiques et les certificats).
Vous pouvez également sélectionner un autre middleware depuis le menu SDS Enterprise :
-
Faites un clic droit sur l'icône SDS Enterprise depuis la barre des tâches Windows, puis sélectionnez le menu Choisir un type de carte ou de clé USB. Le menu n'est visible que lorsqu'aucun utilisateur n'est connecté. À la différence du Configurateur de l'extension pour carte, ce menu affiche seulement les middleware installés sur le poste et fonctionnels.
Vous pouvez consulter les objets privés (essentiellement les clés privées) depuis le Configurateur de l’extension carte :
- Cliquez sur Information.
- Sélectionnez la ligne Statut : non connecté dans l’écran d’information.
- Cliquez sur Voir les objets privés. Ce bouton n’est pas actif tant que la ligne précédente n’a pas été sélectionnée.
- Saisissez le code PIN.
Le bouton Enregistrer permet d’enregistrer le contenu de la fenêtre dans un fichier texte.