Précisions sur les cas d'utilisation

Stormshield Data Management Center

SDMC ne permet pas de gérer une infrastructure à clés publiques (PKI), contrairement à Stormshield Data Authority Manager version 10.

Cartes à puce/tokens

Pour que le middleware SDS Enterprise fonctionne correctement, les "Smart Card Minidrivers" du support cryptographique concerné doivent être installés sur le poste de travail.

Le changement de lecteur pour un même support cryptographique au cours d'une même session Windows n'est pas supporté. Si vous avez commencé à utiliser une carte dans un lecteur donné, vous devez redémarrer votre session Windows pour pouvoir utiliser cette carte dans un autre lecteur.

La création d'un compte sur une carte virtuelle n'est possible qu'avec des clés RSA d'une taille de 2048 bits maximum. Cette limitation vaut également pour un compte de type SSO dont les clés sont stockées sur une carte virtuelle.

Les cartes virtuelles (Virtual Smart Card de Microsoft) et certains types de cartes à puce associées à leur middleware ne supportent pas l'algorithme de chiffrement RSA-OAEP-SHA-256. Cette incompatibilité empêche le déchiffrement des fichiers .sdsx. Pour plus d'informations, reportez-vous à la Base de connaissances (anglais uniquement).

Kernel

Après l'installation de l'agent SDS Enterprise ou un changement dans la politique de sécurité, il est nécessaire de redémarrer le poste de travail pour que la politique soit correctement prise en compte.

Brancher simultanément deux supports cryptographiques (token ou/et carte) sur une machine peut entraîner des dysfonctionnements. Cette restriction ne s'applique pas lorsque le middleware Stormshield Smartcard Support est utilisé.

Lorsque le paramétrage Windows d’affichage des éléments est configuré à plus de 100%, le bandeau SDS de la mire de connexion ou de la fenêtre « A propos » ne prend pas toute la taille de la fenêtre.

Lors d'un import de clés PGP, le redimensionnement de la fenêtre Mot de passe requis entraîne un mauvais positionnement des boutons Annuler et OK.

Lors de la sélection d'un correspondant depuis l'annuaire LDAP pour une opération de chiffrement, dans le cas où le correspondant dispose de plusieurs certificats, SDS Enterprise propose toujours le certificat le plus récent même si celui-ci est révoqué. L'opération de chiffrement échoue donc. Nous vous recommandons de supprimer les certificats révoqués de votre annuaire LDAP.

Lors de l'installation sur le poste de travail d'un utilisateur d'un compte .usi provenant du SDAM, les valeurs des paramètres issues du fichier de configuration de la politique .json prévalent au démarrage du kernel et à la connexion de l'utilisateur.

Le type de compte SSO pour se connecter au compte SDS Enterprise s'appuie sur le fonctionnement du type de compte Carte ou token USB. L'installation de l'extension carte des agents est donc nécessaire pour le faire fonctionner.

En cas de blocage d'un compte SDS Enterprise, seul le déblocage de compte Mot de passe via le mot de passe de secours est possible.

Il n'est pas possible de désactiver un protocole de téléchargement de listes de révocation en particulier (HTTP, FILE, etc.).

La date de dernier téléchargement de la liste de révocation n'est plus affichée dans le contrôleur de révocation. Cependant une entrée dans le journal d'événements Windows est générée.

Le certificat du compte de recouvrement doit disposer des usages de chiffrement de données (Data Encipherment) et de chiffrement de clés (Key Encipherment).

Stormshield Data File

Gestion des accès des utilisateurs - il n'est pas possible d'utiliser le menu "Modifier l'accès" en sélectionnant à la fois des fichiers et des dossiers.

Les documents Microsoft OneNote ne sont actuellement pas supportés par SDS Enterprise.

Lorsqu'on protège un fichier au format .sdsx ou que l'on retire la protection d'un fichier .sdsx, les droits Windows appliqués sur le fichier sont restreints au seul utilisateur de la session et à l'héritage du dossier parent.

Si la sauvegarde d’un document protégé en cours d’édition est impossible (le document a été renommé ou supprimé entre temps, ou bien le document se trouve sur un partage réseau et la connexion est interrompue), l’utilisateur doit modifier l’emplacement de sauvegarde ou renommer son document.

La modification simultanée par plusieurs utilisateurs d'un document protégé par Stormshield Data File est possible.

Les clés RSA des certificats strictement inférieures à 2048 bits ne sont pas supportées pour le format SDSX.

La protection des dossiers de déchiffrement temporaire en local avec la fonctionnalité Team n'est pas supportée.

Stormshield Data Share

La protection automatique de dossiers n'est pas supportée pour les dossiers déjà protégés par Team.

Par défaut, les applications Microsoft ne sont pas autorisées à "Enregistrer sous" dans les espaces collaboratifs synchronisés afin d'éviter de diffuser les fichiers en clair.

Lorsque la protection automatique de documents est activée sur un dossier et que vous utilisez la fonction "Enregistrer sous" sur les applications concernées, vous devez fermer l'application à l'origine de l'enregistrement pour que le fichier soit visible dans le dossier protégé automatiquement.

Le chemin du document à partir de la racine du dossier synchronisé ne doit pas contenir plus de 185 caractères, extension comprise (e.g., .pptx, .sdsx). Sinon, le document ne sera pas protégé et ne sera plus accessible.

Afin que les documents déplacés dans un espace synchronisé Dropbox soient automatiquement protégés, utilisez le glisser-déplacer ou le copier-coller. Si vous utilisez le menu contextuel Déplacer vers Dropbox sur un document, celui-ci ne sera pas protégé.

Lorsqu'on applique une règle de protection automatique sur le contenu d'un dossier ou lorsqu'on retire la protection du contenu d'un dossier après désactivation d'une règle de protection automatique, les droits Windows appliqués sur les fichiers contenus dans le dossier sont restreints au seul utilisateur de la session et à l'héritage du dossier.

La fonctionnalité Share n'est pas supportée sur un partage réseau, un serveur de fichiers ou un lecteur externe.

Si l'icône "cadenas" n'est pas visible sur un dossier protégé, vérifiez dans la base de registre, dans "Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers", que les clés suivantes sont bien positionnées au-dessus des clés existantes dans l'arborescence :

  • EncrypterOverlayIcon

  • SDSShareOverlayIcon

Si ce n'est pas le cas, ajoutez des espaces devant leur nom puis redémarrez l'Explorateur pour prendre en compte la modification.

Il n'est pas possible de modifier la protection d'un dossier si vous avez déjà protégé ou modifié l'accès d'un de ses sous-dossiers ou d'un de ses dossiers parents.

L'icône "cadenas" n'est pas visible sur un dossier synchronisé OneDrive car OneDrive ne supporte pas les icônes superposées.

Gestion des accès des utilisateurs - il n'est pas possible d'utiliser le menu "Modifier l'accès" :

  • en sélectionnant à la fois des fichiers et des dossiers.

  • sur une sélection simultanée de plusieurs dossiers protégés ou sur un dossier non protégé.

Partage des règles de protection - pour qu'une règle de protection partagée sur un dossier s'applique à un utilisateur, il doit être connecté à son compte SDS Enterprise, figurer parmi les destinataires de la règle et naviguer dans le dossier concerné.

Partage des règles de protection - une règle de protection automatique définie localement sur un dossier d'espace collaboratif par un utilisateur et sans partage est écrasée si un autre utilisateur définit une règle partagée sur le même dossier, incluant le premier utilisateur.

Partage des règles de protection - si deux utilisateurs définissent une règle de protection partagée différente sur le même dossier, la règle la plus récente est prise en compte.

Partage des règles de protection - lorsqu'un utilisateur supprime un dossier portant une règle de protection partagée en le plaçant dans la corbeille, la règle reste active tant que la corbeille n'est pas vidée.

Partage des règles de protection - Il n'est pas possible de transformer une règle de protection partagée en une règle non partagée, et inversement.

Stormshield Data Mail

La fonctionnalité de rappel de messages de Microsoft Outlook n'est pas compatible avec le chiffrement de Stormshield Data Mail.

Il n'est pas possible d'envoyer un message chiffré vers un destinataire sur Microsoft Exchange en mode hors connexion dans Microsoft Outlook. La connexion est nécessaire à la résolution des adresses SMTP.

Il n'est parfois pas possible d'ouvrir un fichier .sdsx joint à un message chiffré. Il est donc préférable de télécharger la pièce jointe avant de l'ouvrir.

Il n'est pas possible d'ouvrir un message PGP reçu en pièce jointe (.msg) en faisant un glisser-déposer dans un dossier d'Outlook.

Lorsque le volet de lecture Outlook est désactivé, un simple double-clic ne permet pas d'ouvrir un message chiffré volumineux. Vous devez double-cliquer deux fois sur le message.

La rédaction d’un nouveau message chiffré via le menu Démarrer, alors qu’Outlook est arrêté, ne fait pas apparaître le bandeau de chiffrement. Ce message sera cependant correctement chiffré.

L'add-in Mail est incompatible avec Kaspersky Outlook Anti-Virus Addin. Dans le cas où les certificats du destinataire ne sont pas accessibles, des messages peuvent être envoyés non chiffrés.

Retirer la carte à puce pour verrouiller un compte carte SDS Enterprise pendant une sauvegarde de message n'est pas recommandé car la sauvegarde ne sera pas effectuée.

Il n'est pas possible d'ouvrir un fichier .msg chiffré ou signé avec Outlook via l'Explorateur Windows. Dans ce cas, veuillez appliquer le contournement décrit dans la Base de connaissances Stormshield (authentification nécessaire).

Stormshield Data Virtual Disk

Il n'est pas recommandé d'utiliser un volume Virtual Disk sur un espace distant. Une perte de connexion pourrait rendre l'accès au disque impossible ou entraîner la perte de modifications réalisées sur le disque.

Stormshield Data Team

Stormshield Data Team n'est pas compatible avec l'outil de sauvegarde Veeam. Cet outil rend le chiffrement de dossier protégé par une règle Team impossible.

Sous Microsoft Windows 10 et 11, lorsque l'on chiffre un dossier, l'icône SDS Enterprise en forme de cadenas n’apparaît pas toujours sur les fichiers chiffrés. Les fichiers sont cependant correctement chiffrés.

Le système de sauvegarde de volumes Shadow Copy, sur lequel repose notamment la gestion des versions sous Windows Explorer, n’est pas supporté par Stormshield Data Team.

Les répertoires synchronisés de type SharePoint, Dropbox, Office 365, Google Drive on premise, etc. ne sont pas supportés par Stormshield Data Team et ne peuvent donc pas être sécurisés par le module. Nous vous recommandons d'exclure ces répertoires des dossiers analysés par Stormshield Data Team grâce au paramètre avancé Exclusion de dossiers disponible dans la configuration de la fonctionnalité Team dans la console d'administration SDMC.