Modifier le signataire d'une politique de sécurité

Les politiques de sécurité sont signées par un signataire de politique, avant d'être déployées sur les postes des utilisateurs avec le certificat du signataire. Ceci permet de garantir l'authenticité et l'intégrité d'une politique.

Pour en savoir plus, reportez-vous à la section Télécharger et signer une politique de sécurité.

Veuillez suivre la procédure suivante si vous souhaitez modifier le signataire d'une politique, par exemple en cas de compromission de la clé de signature du signataire ou en cas de départ de l'entreprise du signataire.

Les conditions suivantes sont requises :

Si vous utilisez la solution d'infrastructure à clé publique de Microsoft, pour savoir comment obtenir le certificat d'un compte signataire de politique de sécurité, reportez-vous à la section Créer un compte signataire des politiques de sécurité SDS Enterprise.

Le temps de la transition entre deux signataires, vous devez installer sur les postes des utilisateurs un fichier .p7b qui contient le certificat de l'ancien signataire et le certificat du nouveau signataire. Vous devez réaliser cette opération avant de redéployer la politique signée par le nouveau signataire. Ainsi, l'agent SDS Enterprise considère les deux certificats comme étant des signataires valides de la politique.

  1. Générez un fichier admin_policy.p7b contenant les deux certificats concernés. Vous pouvez par exemple utiliser la fonction d'export du Gestionnaire de certificats Windows.

  2. Sur les postes des utilisateurs, installez le fichier admin_policy.p7b dans le dossier d'installation C:\Programmes\Arkoon\Security BOX.

Le fichier .p7b supplante l'éventuel certificat de signataire .cer déjà présent dans le même dossier.

Après avoir installé le fichier admin_policy.p7b sur les postes des utilisateurs, suivez les étapes ci-dessous pour déployer la politique :

  1. Placez le certificat admin_policy.cer du nouveau signataire dans le dossier d'installation C:\Programmes\Arkoon\Security BOX des utilisateurs, au même emplacement que le fichier .p7b et que le certificat de l'ancien signataire. L'ancien certificat est écrasé par le nouveau.

  2. Suivez la procédure de mise à jour de politique via un point de distribution comme décrit dans la section Mettre à jour la politique de sécurité sur les agents SDS Enterprise.

  3. Indiquez aux utilisateurs qu'ils doivent accepter le changement de signataire de politique dans le message d'avertissement qui s'affiche lors de leur reconnexion à leur compte SDS Enterprise.

  4. Lorsque tous les utilisateurs ont accepté le nouveau signataire, supprimez le fichier .p7b du dossier d'installation de SDS Enterprise afin que l'ancien signataire ne soit plus considéré comme valide.

Tant que l'utilisateur n'accepte pas le changement de signataire de politique, le message d'avertissement s'affiche à chaque nouvelle connexion à son compte SDS Enterprise et la connexion lui est refusée.

Dans le cas du type de compte SSO, si l'utilisateur refuse le changement du signataire de politique, il n'est alors pas connecté automatiquement à son compte SDS Enterprise lorsqu'il ouvre sa session Windows. Pour continuer à utiliser SDS Enterprise, l'utilisateur doit fermer puis rouvrir sa session Windows, et accepter le changement de signataire. Pour plus d'informations sur le compte SSO, reportez-vous à la section Créer un compte Single Sign-On (SSO).

Depuis les propriétés de l'agent SDS Enterprise sur les postes des utilisateurs, vous pouvez consulter le certificat du signataire de politique :

  1. Faites un clic droit sur l'icône SDS Enterprise icône SDS Enterprise depuis la barre des tâches Windows.

  2. Sélectionnez Propriétés.

  3. Dans l'onglet Configuration, double-cliquez sur l'icône Porte-clés.

  4. Affichez l'onglet Signataire de politique. En cas de changement de signataire, l'onglet est automatiquement mis à jour lorsque l'utilisateur accepte le changement dans le message d'avertissement qui s'affiche lorsqu'il se connecte à son compte SDS Enterprise.

  5. Cliquez sur Détails pour afficher toutes les informations du certificat.