Précisions sur les cas d'utilisation
Stormshield Data Management Center
SDMC ne permet pas de gérer une infrastructure à clés publiques (PKI), contrairement à Stormshield Data Authority Manager version 10.
Cartes à puce/tokens
Pour que le middleware SDS Enterprise fonctionne correctement, les "Smart Card Minidrivers" du support cryptographique concerné doivent être installés sur le poste de travail.
Le changement de lecteur pour un même support cryptographique au cours d'une même session Windows n'est pas supporté. Si vous avez commencé à utiliser une carte dans un lecteur donné, vous devez redémarrer votre session Windows pour pouvoir utiliser cette carte dans un autre lecteur.
La création d'un compte sur un module TPM n'est possible qu'avec des clés RSA d'une taille de 2048 bits maximum. Cette limitation vaut également pour un compte de type SSO dont les clés sont stockées sur un module TPM.
Kernel
Après l'installation de l'agent SDS Enterprise ou un changement dans la politique de sécurité, il est nécessaire de redémarrer le poste de travail pour que la politique soit correctement prise en compte.
Brancher simultanément deux supports cryptographiques (token ou/et carte) sur une machine peut entraîner des dysfonctionnements. Cette restriction ne s'applique pas lorsque le middleware Stormshield Smartcard Support est utilisé.
Lorsque le paramétrage Windows d’affichage des éléments est configuré à plus de 100%, le bandeau SDS de la mire de connexion ou de la fenêtre « A propos » ne prend pas toute la taille de la fenêtre.
Lors d'un import de clés PGP, le redimensionnement de la fenêtre Mot de passe requis entraîne un mauvais positionnement des boutons Annuler et OK.
Lors de la sélection d'un correspondant depuis l'annuaire LDAP pour une opération de chiffrement, dans le cas où le correspondant dispose de plusieurs certificats, SDS Enterprise propose toujours le certificat le plus récent même si celui-ci est révoqué. L'opération de chiffrement échoue donc. Nous vous recommandons de supprimer les certificats révoqués de votre annuaire LDAP.
Lors de l'installation sur le poste de travail d'un utilisateur d'un compte .usi provenant du SDAM, les valeurs des paramètres issues du fichier de configuration de la politique .json prévalent au démarrage du kernel et à la connexion de l'utilisateur.
Le type de compte SSO pour se connecter au compte SDS Enterprise s'appuie sur le fonctionnement du type de compte Carte ou token USB. L'installation de l'extension carte des agents est donc nécessaire pour le faire fonctionner.
En cas de blocage d'un compte SDS Enterprise, seul le déblocage de compte Mot de passe via le mot de passe de secours est possible.
Il n'est pas possible de désactiver un protocole de téléchargement de listes de révocation en particulier (HTTP, FILE, etc.). Tous les protocoles sont correctement gérés.
La date de dernier téléchargement de la liste de révocation n'est plus affichée dans le contrôleur de révocation. Cependant un journal d'événement Windows est généré.
Stormshield Data File
Les documents Microsoft OneNote ne sont actuellement pas supportés par SDS Enterprise.
Lorsqu'on protège un fichier au format .sdsx ou que l'on retire la protection d'un fichier .sdsx, les droits Windows appliqués sur le fichier sont restreints au seul utilisateur de la session et à l'héritage du dossier parent.
Dans le cas où la sauvegarde d’un document protégé en cours d’édition est impossible (le document a été renommé ou supprimé entre temps, ou bien le document se trouve sur un partage réseau et la connexion est interrompue), l’utilisateur devra modifier l’emplacement de sauvegarde ou renommer son document.
Un document protégé par SDS Enterprise et stocké sur un partage réseau, qui est en cours de modification par un utilisateur autorisé, ne bloque pas la modification simultanée par un autre utilisateur autorisé.
Les clés RSA des certificats strictement inférieures à 2048 bits ne sont pas supportées pour le format SDSX.
La protection des dossiers de déchiffrement temporaire en local avec la fonctionnalité Team n'est pas supportée.
Stormshield Data Share
La protection automatique de dossiers n'est pas supportée pour les dossiers déjà protégés par Team.
Par défaut, les applications Microsoft ne sont pas autorisées à "Enregistrer sous" dans les espaces collaboratifs synchronisés afin d'éviter de diffuser les fichiers en clair.
Lorsque la protection automatique de documents est activée sur un dossier et que vous utilisez la fonction "Enregistrer sous" sur les applications autorisées, vous devez fermer l'application à l'origine de l'enregistrement pour que le fichier soit visible dans le dossier protégé automatiquement.
Le chemin du document à partir de la racine du dossier synchronisé ne doit pas contenir plus de 185 caractères, extension comprise (e.g., .pptx, .sdsx). Sinon, le document ne sera pas protégé et ne sera plus accessible.
Afin que les documents déplacés dans un espace synchronisé Dropbox soient automatiquement protégés, utilisez le glisser-déplacer ou le copier-coller. Si vous utilisez le menu contextuel Déplacer vers Dropbox sur un document, celui-ci ne sera pas protégé.
Lorsqu'on applique une règle de protection automatique sur le contenu d'un dossier ou lorsqu'on retire la protection du contenu d'un dossier après désactivation d'une règle de protection automatique, les droits Windows appliqués sur les fichiers contenus dans le dossier sont restreints au seul utilisateur de la session et à l'héritage du dossier.
La fonctionnalité Share n'est pas supportée sur un partage réseau, un serveur de fichiers ou un lecteur externe.
Si l'icône "cadenas" n'est pas visible sur un dossier protégé, vérifiez dans la base de registre, dans "Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers", que les clés suivantes sont bien positionnées au-dessus des clés existantes dans l'arboresence :
-
EncrypterOverlayIcon
-
SDSShareOverlayIcon
Si ce n'est pas le cas, ajoutez des espaces devant leur nom puis redémarrez l'Explorateur pour prendre en compte la modification.
Il n'est pas possible de modifier la protection d'un dossier si vous avez déjà protégé ou modifié l'accès d'un de ses sous-dossiers ou d'un de ses dossiers parents.
Stormshield Data Mail
Il n'est pas possible d'envoyer un message chiffré vers un destinataire sur Microsoft Exchange en mode hors connexion dans Microsoft Outlook. La connexion est nécessaire à la résolution des adresses SMTP.
Il n'est parfois pas possible d'ouvrir un fichier .sdsx joint à un message chiffré. Il est donc préférable de télécharger la pièce jointe avant de l'ouvrir.
Il n'est pas possible d'ouvrir un message PGP reçu en pièce jointe (.msg) en faisant un glisser-déposer dans un dossier d'Outlook.
Lorsque le volet de lecture Outlook est désactivé, un simple double-clic ne permet pas d'ouvrir un message chiffré volumineux. Vous devez double-cliquer deux fois sur le message.
La rédaction d’un nouveau message chiffré via le menu Démarrer, alors qu’Outlook est arrêté, ne fait pas apparaître le bandeau de chiffrement. Ce message sera cependant correctement chiffré.
L'add-in Mail est incompatible avec Kaspersky Outlook Anti-Virus Addin. Dans le cas où les certificats du destinataire ne sont pas accessibles, des messages peuvent être envoyés non chiffrés.
Retirer la carte à puce pour verrouiller un compte carte SDS Enterprise pendant une sauvegarde de message n'est pas recommandé car la sauvegarde ne sera pas effectuée.
Il n'est pas possible d'ouvrir un fichier .msg chiffré ou signé avec Outlook via l'Explorateur Windows. Dans ce cas, veuillez appliquer le contournement décrit dans la Base de connaissances Stormshield (authentification nécessaire).
Stormshield Data Virtual Disk
Il n'est pas recommandé d'utiliser un volume Virtual Disk sur un espace distant. Une perte de connexion pourrait rendre l'accès au disque impossible ou entraîner la perte de modifications réalisées sur le disque.
Stormshield Data Team n'est pas compatible avec l'outil de sauvegarde Veeam. Cet outil rend le chiffrement de dossier protégé par une règle Team impossible.
Sous Microsoft Windows 10 et 11, lorsque l'on chiffre un dossier, l'icône SDS Enterprise en forme de cadenas n’apparaît pas toujours sur les fichiers chiffrés. Les fichiers sont cependant correctement chiffrés.
Le système de sauvegarde de volumes Shadow Copy, sur lequel repose notamment la gestion des versions sous Windows Explorer, n’est pas supporté par Stormshield Data Team.
Les répertoires synchronisés de type SharePoint, Dropbox, Office 365, etc. ne sont pas supportés par Stormshield Data Team et ne peuvent donc pas être sécurisés par le module. Nous vous recommandons d'exclure ces répertoires des dossiers analysés par Stormshield Data Team grâce au paramètre avancé Exclusion de dossiers disponible dans la configuration de la fonctionnalité Team dans la console d'administration SDMC.