Configurer les paramètres avancés dans la base de registre

Certains paramètres avancés de SDS Enterprise doivent être configurés dans la base de registre Windows.

Pour modifier la base de registre :

  1. Accédez à la base de registre en lançant regedit.exe avec les droits d'administration.

  2. Dans l'arborescence, atteignez la clé indiquée ou créez-la le cas échéant.

  3. Modifiez la valeur de la clé.

  4. Quittez la base de registre.

  5. Redémarrez la machine.

Modifier les dates de dernier accès

Lorsque Stormshield Data Team est installé sur un poste de travail, la date de dernier accès d’un fichier est modifiée lors d’un parcours de répertoire. La clé de registre AccessTimeAction permet de restaurer la véritable date de dernier accès sur les fichiers.

Clé

AccessTimeAction (DWORD)

Emplacement

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SBoxTeamDrv\Parameters

Valeurs
  • 0x00000000 : La date d’accès modifiée par Stormshield Data Team est conservée(valeur par défaut),
  • 0x00000001 : La date d'accès est restaurée sur les systèmes de fichiers standard,
  • 0x00000002 : La date d'accès est restaurée sur les systèmes de fichiers NFS,
  • 0x00000008 : La date d’accès est restaurée sur les systèmes de fichiers standard avec une baisse potentielle de performances. Cette option permet la compatibilité avec les systèmes de fichiers “vus comme standard” tels que NAS EMC ou des serveurs CIFS non usuels.

En règle générale, la valeur par défaut 0x00000000 est préconisée. Néanmoins, lors de l'utilisation d'une solution d'archivage basée sur un NAS EMC, la valeur 0x00000008 est préconisée.

Vérifier le certificat de la clé de l'utilisateur

Le certificat de la clé de chiffrement de l'utilisateur est vérifié toutes les deux heures (120 minutes).

Vous pouvez modifier cette valeur qui est prise en compte à la connexion de l'utilisateur en créant la clé de registre suivante :

Clé

CheckCertificateTimeout (REG_SZ)

Emplacement

HKEY_CURRENT_USER\SOFTWARE\Policies\Arkoon\Security BOX Suite\Team\ ou

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Arkoon\Security BOX Suite\Team\

Valeur
  • Entier positif

Pour les trois clés de registre ci-dessous, l'emplacement diffère selon le type de compte :

KS1 : Compte mot de passe avec une seule clé pour signer et/ou chiffrer,

KS2 : Compte mot de passe avec deux clés différentes pour signer et chiffrer,

GP1 : Compte carte avec une seule clé pour signer et/ou chiffrer,

GP2 : Compte carte avec deux clés différentes pour signer et chiffrer.

Spécifier que les clés soient générées par SDS Enterprise

En mode carte ou token (GP1 ou GP2), les clés de chiffrement et signature sont générées par la carte/token, c'est-à-dire par la carte elle-même ou en mémoire selon l'implémentation du constructeur ou la configuration de sa couche PKCS#11.

Vous pouvez spécifier que les clés soient générées exclusivement par SDS Enterprise en mémoire. Cela permet l'export ultérieur des clés.

Créez la clé de registre suivante :

Clé

InternalKeys (REG_SZ)

Emplacements

HKEY_CURRENT_USER\SOFTWARE\Policies\Arkoon\Security BOX Suite\SBox.KeyRenewalWizardGP\ ou

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Arkoon\Security BOX Suite\SBox.KeyRenewalWizardGP\

Valeur
  • 0

Choisir comment conserver les clés pour les exporter ultérieurement

Si une clé de chiffrement ou signature a été générée par SDS Enterprise en mémoire (si InternalKeys = 0), elle sera exportable. Pour cela, vous devez attribuer la valeur 1 à la clé de registre ExportKeys afin d'afficher la fenêtre qui propose deux choix à l'utilisateur :

  • Sauvegarder cette clé dans un fichier PKCS#12 en lui attribuant un mot de passe,

  • Copier cette clé dans le fichier compte de l'utilisateur.

Créez la clé de registre suivante :

Clé

ExportKeys (REG_SZ)

Emplacement

HKEY_CURRENT_USER\SOFTWARE\Policies\Arkoon\Security BOX Suite\SBox.KeyRenewalWizardGP\ ou

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Arkoon\Security BOX Suite\SBox.KeyRenewalWizardGP\

Valeur
  • 1

Il est possible via l’utilitaire cachemov.exe de déplacer le dossier système - <%WINDIR%>\CSC - qui contient les fichiers disponibles hors connexion.

La prise en charge de cet environnement particulier nécessite de paramétrer Stormshield Data Team de la façon suivante :

Clé

SkipFolderR(DWORD)

Emplacement

HKLM\SYSTEM\CURRENTCONTROLSET\Services\SBoxTeamDrv\Parameters

Valeur

Ajouter le dossier contenant la base CSC.

L'utilisation de Stormshield Data Team peut provoquer un ralentissement du fonctionnement des postes de travail des utilisateurs. Afin de conserver les performances habituelles, il est possible d'appliquer les clés de registre suivantes :

Améliorer les performances lors du parcours d'arborescences chiffrées

Pour diminuer le temps de détermination de l'état chiffré ou non d'un dossier (détermination de l'icône d'un dossier) en mode « Carte à puce », vous pouvez modifier la valeur du paramètre OverlayIconAccuracy.

Clé

OverlayIconAccuracy (DWORD)

Emplacement

HKEY_LOCAL_MACHINE\SOFTWARE\ARKOON\Security BOX Enterprise\Properties\Team

Valeur
  • 0x40 : Diminue sensiblement le temps de détermination de l'état chiffré ou non d'un dossier en mode carte ou token.

Exclure les processus Windows accédant aux dossiers chiffrés

Certains processus Windows peuvent ralentir le fonctionnement du poste de travail en accédant régulièrement à des dossiers chiffrés par Stormshield Data Team.

Pour limiter ces ralentissements, vous pouvez exclure dans la base de registre les processus considérés sûrs et qui n'engendrent pas de modification des fichiers. Si la clé SkipApp n'existe pas, vous pouvez la créer en choisissant une valeur de type REG_MULTI_SZ.

Clé

SkipApp (MULTI_SZ)

Emplacement

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SboxTeamDrv\Parameters

Valeur

Ajouter un processus à exclure par ligne. Il est recommandé d'exclure les processus suivants :

SearchIndexer.exe

searchUI.exe

MsMpEng.exe

SearchProtocolHost.exe

SearchFilterHost.exe

mobsync.exe

msdtc.exe

mstsc.exe

mobsync.exe

wfica32.exe

vmtoolsd.exe

SecurityHealthService.exe

SearchApp.exe

NisSrv.exe

Ainsi que les processus spécifiques Dell :

HostStorageService.exe

HostControlService.exe

Exclure des extensions et des processus de l'analyse de Windows Defender

Pour éviter des ralentissements du fonctionnement du poste de travail, vous pouvez également exclure des extensions et processus de l'analyse du logiciel Windows Defender :

Clé

Extensions(DWORD)

Emplacement

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions

Valeur

Ajouter la liste des extensions à exclure. Il est recommandé d'exclure les extensions suivantes : .box, .sbox, .sbt, .sdsx, .usi, .usr.

Clé

Processes(DWORD)

Emplacement

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions

Valeur

Ajouter la liste des processus à exclure. Il est recommandé d'exclure les processus suivants : SBDSRV, SBoxDiskSrv ainsi que les processus des antivirus et autres EDR.

Lors de la sélection des collaborateurs autorisés à accéder à un dossier sécurisé, les collaborateurs possédant les autorisations Windows sur le dossier concerné sont automatiquement suggérés dans un groupe qui s'appelle Autorisations Windows.

Vous pouvez désactiver cette fonctionnalité en créant la clé de registre suivante :

Clé

SuggestCoworkersThroughACL (DWORD)

Emplacement

HKEY_LOCAL_MACHINE\SOFTWARE\Arkoon\Security BOX Enterprise\Kernel\

Valeur
  • 0

Lors de la sélection des collaborateurs autorisés à accéder à un dossier sécurisé, la recherche dans l'annuaire LDAP se base par défaut sur le nom commun (Common name).

Si le nom commun ne suffit pas, vous pouvez configurer un filtre de recherche personnalisé pour rechercher dans plusieurs attributs LDAP, grâce aux clés de registre suivantes :

Clé

 SearchFilter (REG_SZ)

Emplacement

 HKEY_LOCAL_MACHINE\SOFTWARE\Arkoon\Security BOX Enterprise\Properties\CoworkerSelector

Valeur

Indiquez le filtre que vous souhaitez appliquer lors d'une recherche LDAP. Utilisez les connecteurs logiques "&" (et) et "|" (ou). Par exemple :

  • (|(cn=?)(mail=?)) permet de rechercher la chaîne de caractères entrée par l'utilisateur dans le nom commun OU dans l'adresse e-mail.

  • (&(|(cn=?)(mail=?))(usercertificate;binary=*)) permet de rechercher la chaîne de caractères entrée par l'utilisateur dans le nom commun OU dans l'adresse e-mail ET l'utilisateur doit posséder un certificat dans l'annuaire LDAP.

Le caractère "?" est remplacé par la chaîne de caractères entrée par l'utilisateur dans le champ de recherche.

Clé

SearchPattern (REG_SZ)

Emplacement

HKEY_LOCAL_MACHINE\SOFTWARE\Arkoon\Security BOX Enterprise\Properties\CoworkerSelector

Valeur

Clé optionnelle. Permet de remplacer si besoin le caractère par défaut "?" utilisé dans le filtre.

Dans la fenêtre À propos de SDS Enterprise, la valeur de la clé de licence est masquée.

Vous pouvez afficher la valeur de la clé en créant la clé de registre suivante :

Clé

DontShowLicenceKey (REG_SZ)

Emplacement

HKEY_CURRENT_USER\SOFTWARE\Policies\Arkoon\Security BOX Suite\Logon\ ou

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Arkoon\Security BOX Suite\Logon\

Valeur
  • 0

Préciser un lecteur de carte ou token

Si plusieurs lecteurs de carte ou tokens sont connectés au poste de travail (par exemple un lecteur standard et une carte réseau 3G), tous les lecteurs sont pris en compte.

Vous pouvez choisir un lecteur précis en définissant un filtre permettant de l’identifier. Dans ce cas, seul le lecteur indiqué par les clés de registre SlotInfoDescriptionPrefix ou SlotInfoManufacturerIdPrefix est pris en compte par SDS Enterprise.

Créez la clé de registre suivante :

Clé

SlotFilterOn (REG_SZ)

Emplacement

HKEY_CURRENT_USER\SOFTWARE\Policies\Arkoon\Security BOX Suite\Logon\ ou

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Arkoon\Security BOX Suite\Logon\

Valeur
  • 1

Filtrer les lecteurs de carte ou token par leur description

Si plusieurs lecteurs de carte ou tokens sont connectés au poste de travail (par exemple un lecteur standard et une carte réseau 3G), tous les lecteurs sont pris en compte.

Vous pouvez indiquer un préfixe pour filtrer sur le champ description remonté par le lecteur (slotinfo.SlotDescription au niveau PKCS#11). Par exemple, si vous indiquez le préfixe SER, SERIAL sera accepté tandis que USB ne le sera pas.

Créez la clé de registre suivante :

Clé

SlotInfoDescriptionPrefix (REG_SZ)

Emplacement

HKEY_CURRENT_USER\SOFTWARE\Arkoon\Security BOX Suite\SlotFilter\ ou

HKEY_LOCAL_MACHINE\SOFTWARE\Arkoon\Security BOX Suite\SlotFilter\

Valeur
  • Chaîne de caractères sensible à la casse

Filtrer les lecteurs de carte ou token par l'ID du constructeur

Si plusieurs lecteurs de carte ou tokens sont connectés au poste de travail (par exemple un lecteur standard et une carte réseau 3G), tous les lecteurs sont pris en compte.

Vous pouvez indiquer un préfixe pour filtrer sur le champ ManufacturerId remonté par le lecteur (slotinfo.ManufacturerId au niveau PKCS#11). Par exemple, si vous indiquez le préfixe AX, AXALTO sera accepté tandis que GEMPLUS ne le sera pas.

Créez la clé de registre suivante :

Clé

SlotInfoManufacturerIdPrefix (REG_SZ)

Emplacement

HKEY_CURRENT_USER\SOFTWARE\Policies\Arkoon\Security BOX Suite\SlotFilter\ ou

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Arkoon\Security BOX Suite\SlotFilter\

Valeur
  • Chaîne de caractères sensible à la casse

Interdire la modification du type de carte ou token

Par défaut, l'utilisateur est autorisé à modifier le type de carte ou token défini dans le configurateur de l'extension carte.

Vous pouvez interdire la modification par l'utilisateur en créant la clé de registre suivante :

Clé

CPLCanChangePKCS11 (REG_SZ)

Emplacement

HKEY_CURRENT_USER\SOFTWARE\Policies\Arkoon\Security BOX Suite\External PKCS11 Policy\ ou

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Arkoon\Security BOX Suite\External PKCS11 Policy\

Valeur
  • 0

Par défaut, les dossiers d'espaces collaboratifs synchronisés protégés par une règle de protection automatique de la fonctionnalité Share ne présentent pas d'icône permettant de les identifier.

Vous pouvez remplacer l'icône de dossier Windows par défaut par une icône SDS Enterprise personnalisée afin de les identifier facilement.

Pour remplacer l'icône de dossier Windows, créez la clé de registre suivante :

Clé

cloudSecuredFolderIcon

Emplacement

HKEY_LOCAL_MACHINE\SOFTWARE\Arkoon\Security BOX Enterprise\Share

Valeur
  • 0 : fonctionnalité désactivée. Les dossiers protégés par une règle de protection automatique portent l'icône de dossier Windows par défaut. Même comportement que lorsque la clé est absente.
  • 1 : l'icône de dossier Windows par défaut est remplacée par l'icône SDS Enterprise personnalisée lorsque le dossier est protégé par une règle de protection automatique.

L'icône personnalisée ne s'affiche que sur les dossiers porteurs de la règle de protection automatique, et pas sur les sous-dossiers. Les fichiers dans les dossiers affichent un petit cadenas bleu.

Cette fonctionnalité ne concerne pas les dossiers locaux protégés par des règles de protection automatique.