docRelease Notes ZoneCentral v2.5
download 
Plainte Transcription
Release Notes ZoneCentral v2.5
Pour une meilleure lisibilité sous Adobe Acrobat, utilisez l'option <lissage-dessin au trait>
Release Notes v2.5
Nouveautés de la version 2.5
Chiffrement automatique à partir d'une consigne en Policy
[N#1067]
déploiement
Une règle 'consigne de chiffrement' a été ajoutée dans les Policies. Elle permet de définir
un ou plusieurs emplacements à chiffrer et à maintenir chiffré. Dès que l'utilisateur ouvre
sa session Windows, ZoneCentral vérifie que ces emplacements constituent des zones
chiffrées. Si ce n'est pas le cas, l'Assistant ZoneCentral s'active automatiquement pour
exécuter le chiffrement. L'utilisateur a la possibilité de refuser l'opération, mais elle lui
sera reproposée à sa prochaine ouverture de session, jusqu'à ce qu'il l'accepte. Si,
ensuite, un des emplacements n'est plus chiffré, la même procédure s'applique.
Il est possible d'indiquer des emplacements à l'aide des variables d'environnement
habituellement supportées par les Policies de ZoneCentral. Il est également possible de
nommer un dossier qui n'existe pas (encore), auquel cas ZoneCentral le créera (par
exemple : C:\Coffre-Fort). Les valeurs spéciales '*' ou 'all' permettent de demander le
chiffrement complet du Poste de Travail.
Grâce à cette nouvelle fonctionnalité, l'application du chiffrement sur les postes
de travail et les flottes de portables peut être activé et effectué
automatiquement, ce qui facilite le déploiement.
Nouveau service de recouvrement : les accès de secours
Ce service a été défini pour secourir un utilisateur qui a oublié son mot de passe, perdu
bloqué ou cassé sa carte à mémoire ou son token USB, ou détruit par erreur son fichier
de clés. Son accès habituel à ses zones chiffrées est inutilisable.
L'objectif du service est d'effectuer un recouvrement immédiat (l'utilisateur veut
pouvoir travailler), à distance (l'utilisateur est en déplacement à l'étranger), sans
support électronique (l'utilisateur n'a pas de réseau, ou bien sa messagerie est chiffrée
et comme il n'a plus la clé…), sans compromettre physiquement les clés de
recouvrement de l'entreprise ou du service par un déplacement géographique.
La procédure doit donc être simple, rapide, doit permettre de régler le problème par
téléphone uniquement, ne pas compromettre la sécurité (i.e. un vol volontaire de carte à
mémoire ne doit pas avoir pour objectif caché de pousser au déchiffrement du poste de
l'utilisateur 'cible'). Elle implique de toute façon une technique de recouvrement, puisqu'il
faut bien aboutir à un déchiffrement de clé.
Lors de la création de chaque liste d'accès (personnelle ou de groupe), ZoneCentral crée
automatiquement un accès 'sos' de type mot de passe avec un mot de passe fort et très
long. Par principe, les listes d'accès sont soit produites en central par l'administrateur,
soit remontées en central pour sauvegarde et archivages (cf. les Policies qui définissent
ces emplacements). L'administrateur dispose donc d'une copie de ces listes. En cas de
dépannage, il peut donc, en central, effectuer un recouvrement sur la liste d'accès
uniquement pour retrouver la valeur du mot de passe de secours. La possession de la clé
de recouvrement est indispensable à cette opération, mais le recouvrement est alors une
procédure centralisée, qui ne déplace pas géographiquement la clé auprès de l'utilisateur.
L'administrateur peut ensuite dicter ou télécopier le mot de passe de secours à
l'utilisateur distant, qui peut alors ouvrir ses zones chiffrées et travailler à nouveau (dans
la fenêtre d'ouverture de zone, il doit utiliser le choix "Accès de secours" du menu
système de la fenêtre).
Par la suite, l'administrateur doit prendre les mesures qui s'imposent en fonction de son
plan de sécurité, mais l'utilisateur étant débloqué, il dispose du temps nécessaire, et
éventuellement des moyens électroniques (car la messagerie de l'utilisateur, si elle est
chiffrée, est disponible).
ZC25RN1
[N#1054]
important!
Release Notes v2.5
Il peut fabriquer une nouvelle carte à mémoire et l'expédier en Express, etc. Il peut
aussi, par précaution, changer l'accès de secours dans la liste d'accès et expédier la
nouvelle à l'utilisateur. Enfin, normalement, dans ce genre de cas, il procède à une
enquête de sécurité auprès de l'utilisateur.
Chaque action relative à un accès de secours génère un événement dans l'Observateur
d'Evénements Windows (génération, recouvrement/visualisation, utilisation pour ouvrir).
Le mode 'accès de secours' peut être désactivé à l'aide d'une nouvelle règle dédiée en
Policies.
Nouvelle opération sur zone (ou sur liste d'accès) : 'Vérifier la
conformité par rapport aux Policies'
[N#1086]
important!
Lorsqu'une zone chiffrée a été créée, elle a pris en compte les Policies en vigueur à ce
moment : accès obligatoires, accès de secours, exceptions de fichiers, etc.
Puis, par la suite, le Plan de Sécurité a pu évoluer, ou, notamment, de nouvelles clés de
recouvrement ont pu être définies.
L'objectif de cette nouvelle série de services de ZoneCentral est d'assurer le
maintien, la vérification d'application, et l'entretien du Plan de Sécurité dans le
temps, de façon administrée et automatisée.
Cette nouvelle opération, disponible dans l'onglet 'Opérations' des propriétés avancées
des zones chiffrées, ou en menu contextuel pour les accès, permet de réactualiser la
zone chiffrée en fonction des Policies en vigueur au moment où l'opération est effectuée.
Elle est la plupart du temps très rapide, car les changements sont peu fréquents, ou bien
concernent uniquement les accès. Dans certains cas, elle peut entraîner un chiffrement
ou un déchiffrement de fichiers (changements dans les exceptions).
Cette opération permet à l'administrateur de vérifier périodiquement les zones chiffrées
et les listes d'accès et d'appliquer simplement les transformations nécessaires.
[Evolution future : dans une prochaine version, cette procédure de vérification pourra
être automatisée sur tous les Postes de Travail au travers de directives en Policies
('vérifier automatiquement tous les XX jours')]
Pour exécuter manuellement l'Assistant ZCAPPLY avec ce mode, utiliser l'option –inspect.
L'option complémentaire –strict effectue un contrôle plus serré, avec le retrait
automatique des accès utilisateurs non-conformes (mot de passe alors qu'interdits en
Policies, idem pour RSA, accès par certificats périmés, certificats non-conformes (cf.
nouveaux contrôles N#1118 plus loin), accès de secours si désactivés).
Nouvelle interface utilisateur pour la création de l'accès personnel
[N#1063]
+didactique
La création de l'accès personnel de l'utilisateur (si ce mode de gestion a été retenu en
Policies) consiste à demander à l'utilisateur de fournir sa clé d'accès (carte à mémoire,
clé USB, fichiers de clés, ou choix d'un mot de passe). L'ancienne fenêtre a été
remplacée par un "assistant" plus didactique et plus accessible aux utilisateurs. Cet
assistant contient de plus de nombreuses améliorations ponctuelles par rapport à la
version précédente.
Propriétés de chiffrement globales du Poste de Travail
Un choix "Chiffrement…" a été ajouté dans le menu contextuel du "Poste de
Travail" dans l'Explorateur Windows. Ce menu permet d'accéder à la vue globale des
zones chiffrées du poste et à une liste d'opérations globales (chiffrer le poste, déchiffrer
le poste, transchiffrer le poste, etc.). Il est possible d'accéder ensuite directement aux
différentes zones chiffrées du poste pour les visualiser ou les configurer.
ZC25RN1
[N#1008]
+pratique!
Release Notes v2.5
Support des "Redirected Folders" dans les profils utilisateurs
[N#1052]
important!
Les dossiers redirigés d'un profil utilisateur étaient déjà supportés, mais il fallait les
chiffrer séparément, en plus du profil de l'utilisateur. L'Assistant ZoneCentral a été
modifié pour détecter et localiser automatiquement ces dossiers redirigés et les chiffrer
automatiquement quand on demande le chiffrement d'un profil utilisateur. Cette
évolution s'applique aux autres opérations (déchiffrement, transchiffrement, etc.).
Note : une option (-noredirect) de l'Assistant ZCAPPLY.EXE permet d'ignorer (ne pas
traiter) les dossiers redirigés.
Support de "Dossiers Off-Line" (synchronisés) chiffrés
[N#996]
important!
ZoneCentral supporte désormais la synchronisation de dossiers off-line chiffrés
dans le dossier source (serveur).
Windows effectue une copie des fichiers off-line dans un dossier local (Windows/CSC). Ce
dossier pouvait déjà être une zone chiffrée locale, pour protéger la copie locale des
fichiers 'serveur' sur les postes, notamment les nomades.
ZoneCentral permet désormais de faire en sorte que le dossier serveur lui-même, avec
tous ses fichiers et ses sous-dossiers soit une zone chiffrée.
Ce mécanisme ne peut toutefois s'appliquer qu'à des dossiers complets (pas de
synchronisation de fichiers 'unitaires'), et la synchronisation doit impérativement porter
sur un dossier "tête de zone chiffrée" (sans quoi la définition de la zone chiffrée ne sera
pas elle aussi rapatriée localement par la synchronisation).
Affichage des sous-zones dans les propriétés d'une zone ou du
Poste de Travail
[N#912]
gestion
locale
Dans les propriétés avancées d'une zone chiffrée, un nouvel onglet affiche les éventuelles
sous-zones chiffrées qui peuvent se trouver à l'intérieur du dossier, avec la liste résumée
des accès définis pour ces zones. Il est possible, à partir de cette liste, d'accéder
directement aux propriétés de chaque sous-zone ou d'ouvrir un Explorateur Windows
dessus pour en visualiser le contenu.
Cette information est également disponible au niveau du nouveau menu contextuel
"Chiffrement" du Poste de Travail, qui permet ainsi de visualiser toutes les zones
chiffrées du poste.
Menus contextuels de dossiers dans l'Explorateur Windows
[N#1001]
Les opérations de zone, habituellement disponibles depuis l'onglet "Chiffrement" des
propriétés d'un dossier, sont désormais disponibles sous forme de menu contextuel dans
l'Explorateur Windows, ce qui est plus direct.
Les opérations avancées, qui sont disponibles dans la fenêtre de "Détail avancé" d'une
zone, sont également proposées dans le menu contextuel, à condition de l'activer avec la
touche SHIFT maintenue.
Ces menus contextuels peuvent être désactivés en Policies.
Nombreuses améliorations dans la gestion des listes d'accès
personnelles
Les listes d'accès personnelles peuvent désormais être préparées en amont par le
Responsable de la Sécurité ou le Responsable de Service, à l'aide de l'outil ZCEDIT. Pour
cela, il faut afficher les propriétés de la liste en cours d'édition et cocher la case "liste
d'accès personnelle". La liste en question doit ensuite être enregistrée dans
l'emplacement principal des listes d'accès (défini en policies), en respectant la convention
de nommage, qui est généralement "<Domaine>espace<Utilisateur Windows>.zaf". Une
nouvelle policy a d'ailleurs été créée pour spécifier cette règle de nommage si cette
ZC25RN1
[N#912]
[N#1159-64]
Release Notes v2.5
convention par défaut ne convient pas.
Lorsque le mode "accès personnel" est actif (en policies), et que la liste personnelle n'est
pas trouvée localement, (dans l'emplacement local des listes personnelles, spécifié en
policies, par défaut "Mes Documents\Profil ZoneCentral"), alors ZoneCentral vérifie
d'abord que cette liste personnelle n'a pas été préparée en amont, dans l'emplacement
principal. Si oui, elle est automatiquement rapatriée et installée dans l'emplacement
local, puis utilisée. L'utilisateur n'est donc pas invité à la créer, puisqu'elle existe déjà.
De plus, il est également possible, avec une nouvelle règle de Policies, d'interdire aux
utilisateurs de créer eux-mêmes leurs listes d'accès personnelles.
Il y a donc deux possibilités de gestion : créer les listes d'accès personnelles en amont,
ou bien permettre aux utilisateurs de les créer eux-mêmes.
Ensuite, les deux modes s'appliquent de la même façon : la liste personnelle est locale,
sur le poste de l'utilisateur. C'est celle qu'il utilise généralement quand il crée une zone
chiffrée (s'il en a le droit) sur son disque, sur un stick USB, ou lorsqu'il crée un conteneur
chiffré. Il a le droit de modifier sa liste personnelle, notamment pour les changements de
mot de passe (s'il y a lieu). Dès que cette liste est modifiée, une copie est historisée dans
l'emplacement de sauvegarde spécifié en policies (qui peut être local, ou sur une unité
serveur). La gestion de cette copie de sauvegarde a été améliorée : si l'unité de
sauvegarde n'est pas disponible au moment de la vérification, la copie sera effectuée la
fois suivante, lors de la prochaine utilisation de la liste (typiquement, à la prochaine
ouverture de zone chiffrée).
Il est également possible de demander (en policies) la synchronisation de la liste
personnelle avec l'emplacement principal : si l'administrateur modifie la liste dans cet
emplacement, la nouvelle version est détectée, rapatriée, et utilisée. Si l'utilisateur
modifie sa liste localement, la nouvelle version est synchronisée dans l'emplacement
principal, si toutefois c'est possible (droits d'accès).
En résumé, ces nouveaux services, ajustables par des Policies, ont pour objectif
de permettre des déploiements contrôlés de listes d'accès personnelles, et d'en
assurer le suivi et la maintenance ultérieurs.
Nouvel onglet "Accès Personnel" dans le Moniteur de ZoneCentral
Le Moniteur de ZoneCentral affiche un nouvel onglet intitulé "Accès Personnel" (quand ce
mode de gestion des accès est autorisé en Policies).
[N#1012]
gestion
personnelle!
Cet onglet rappelle les caractéristiques de la liste d'accès personnelle (type de clé
d'accès, date de création), permet de consulter son propre certificat (si accès RSA), et
offre un lien vers la liste d'accès personnelle pour la visualiser ou la modifier si on le
souhaite.
Cet onglet constitue en fait un "raccourci" pour l'utilisateur pour gérer son accès
personnel plutôt que de retrouver son emplacement physique de fichier et d'accéder aux
propriétés. Il permet aux administrateurs un support utilisateur plus aisé.
De plus, lorsqu'il s'agit d'un accès par mot de passe, cet onglet permet à l'utilisateur de
changer le mot de passe de son accès personnel.
[Evolution future : dans une prochaine version, c'est à partir de cet onglet que
l'utilisateur trouvera les procédures assistées pour renouveler son certificat RSA ou pour
passer d'une clé d'accès 'mot de passe' à une clé d'accès RSA.]
Changement de mot de passe des accès par mot de passe
Auparavant, le renouvellement de mot de passe consistait à créer un nouvel accès de
type mot de passe (avec un nouveau mot de passe), et à supprimer le précédent.
La fonction de changement de mot de passe, très demandée, a été intégrée de façon
classique (saisie masquée du précédent, choix du nouveau, avec saisie masquée en
double). Le nouveau mot de passe doit être conforme aux règles de force établies en
Policies et évidemment différent du précédent.
Ce changement de mot de passe est disponible en menu contextuel sur tout accès de
ZC25RN1
[N#1012.2]
enfin!
Release Notes v2.5
type "mot de passe" dans les fenêtres de propriétés listant les accès d'une zone, d'une
liste d'accès, ou d'un conteneur chiffré.
Dans le cas de l'accès personnel, il est également disponible dans le nouvel onglet du
Moniteur ZoneCentral.
Changement de mot de passe à la première utilisation,
changement périodique de mot de passe
[N#1137]
Une nouvelle Policy permet de spécifier la durée de validité des mots de passe (i.e. leur
fréquence de renouvellement). Quand un mot de passe n'a pas été changé depuis une
durée qui excède cette Policy, une fenêtre invite à le faire (quand l'utiisateur ouvre une
zone). L'outil ZCEDIT permet également de spécifier l'attribut "changer à la prochaine
utilisation" pour un accès par mot de passe.
Ajout d'accès depuis les magasins Windows (IE)
[N#1027]
pratique!
Il était déjà possible d'ajouter des accès à partir de certificats obtenus sur des annuaires
LDAP, dans des fichiers aux formats divers, cette évolution permet de parcourir le
magasin de certificats Windows ("My" et "AddressBook") pour ajouter des accès à une
zone, une liste, ou un conteneur chiffré.
Procéder comme auparavant, "Ajouter…", sélectionner l'onglet "Certificats", et activer le
bouton présentant l'icône bien connue de Internet Explorer. La liste se remplit avec les
certificats disponibles.
Nota: cette option permet notamment de sélectionner aisément son propre certificat dans
un token (mode CSP), ou le certificat d'un collègue en 'pluggant' simplement son token
ou sa carte (si toutefois le CSP utilisé publie immédiatement les certificats des tokens
présents).
Ajout d'accès depuis des fichiers de clés (.pfx, .p12)
[N#1138]
En plus des formats habituels de fichiers certificats (.cer, .crt, .pem, ou .p7b), il est
désormais possible de sélectionner des fichiers de clés (.pfx ou .p12) pour ajouter des
accès par certificats. Bien que les clés elles-mêmes ne soient pas utilisées, il est
nécessaire de fournir le mot de passe du fichier de clés, car les certificats qu'il contient
sont la plupart du temps chiffrés, comme les clés elles-mêmes.
Annuaire LDAP : l'annuaire de domaine est automatiquement
proposé
[N#1026]
hyperpratique!
Quand les utilisateurs (ou les administrateurs) ajoutent des accès (à une zone, un
conteneur, une liste d'accès), ils peuvent interroger des annuaires LDAP, publics ou
privés, qui publient des certificats. Auparavant, l'administrateur de ZoneCentral devait
préconfigurer en Policies le ou les annuaires LDAP de l'entreprise (organisation).
Désormais, ZoneCentral recherche et propose par défaut l'annuaire LDAP ActiveDirectory
s'il en trouve un.
Nouveau contrôle des certificats (chaînes et CRLs)
Dans les différents outils permettant d'ajouter des accès par certificats à des zones, listes
ou conteneurs, des améliorations ont été apportées aux contrôles de validité des
certificats :
- Un certificat auto-signé est affiché comme tel (mention 'auto-signé')
- Un certificat auto-signé est refusé lorsqu'il n'est pas dans les racines de confiance
du Poste de Travail, du Domaine, ou de l'Entreprise
- Un certificat dont la chaîne de certification est incomplète est refusé
- Un certificat dont la racine de la chaîne de certification n'est pas dans les racines
de confiance du Poste de Travail, du Domaine, ou de l'Entreprise est refusé
- Un certificat qui est révoqué (en CRL) est refusé
- Un certificat dont la CRL n'est pas disponible est refusé
- Un certificat dont la CRL n'est pas fraîche est acceptable, avec un avertissement
ZC25RN1
[N#1118]
+sûr
Release Notes v2.5
Une règle de Policy permet de transformer tous les refus en avertissement.
Une règle de Policy permet de ne pas effectuer tous ces contrôles (tout en effectuant
quand même les contrôles de base sur le certificat lui-même, comme les dates, les
usages, etc.).
Une bulle d'aide sur un certificat posant problème indique l'action à faire pour traiter le
problème, si c'est possible. De plus, les certificats inaptes au chiffrement sont désormais
affichés, et le message en bulle d'aide explique pourquoi.
Nouvelles policies pour restreindre les possibilités d'ajouts d'accès
[N#1123]
De nouvelles règles de Policies permettent de masquer certains types d'ajouts d'accès
(ajouts de mots de passe, ajouts depuis des fichiers certificats, ajouts depuis les
magasins locaux de Windows, ajouts depuis un annuaire LDAP). De plus, si les Policies
interdisent, de façon générale, les accès par mots de passe, alors l'ajout d'accès de ce
type sera automatiquement désactivé. Idem si les Policies interdisent l'usage de porteclés RSA.
Nouvelles fonctionnalités pour la préparation de masters
d'installation
[N#1062]
[N#1156]
déploiement!
Le programme ZCSUP.EXE a été enrichi de nouvelles commandes ('transform', 'master)
pour la préparation de masters. Elles permettent :
La fabrication d'un package personnalisé français ou anglais
L'ajout d'un fichier "logo" dans le package d'installation (rappel : ce logo est
une image qui est affichée dans les fenêtres d'ouvertures de zones)
L'ajout d'un fichier de policies personnalisé dans le package d'installation (ces
policies seront automatiquement installées avec le logiciel)
D'activer ou de désactiver l'installation des programmes d'administration
Si ces programmes sont installés, de demander à ce qu'ils n'apparaissent pas
dans le Menu Démarrer de Windows
De ne pas afficher quelques pages de l'installation (page 'licence', page 'choix
des composants').
Pour obtenir de l'aide sur ces commandes, taper "zcsup commande /?".
Nota 1: auparavant, ZoneCentral installait quelques Policies par défaut (fichier
DefaultPolicies.ini) à l'installation. Ce n'est plus le cas, ces valeurs par défaut ont été
intégrées dans le logiciel.
Nota 2 : l'installation de Policies à l'aide d'un fichier externe est toujours possible
(msiexec /i zonecentral.msi ZC_POLICIES=<fichier>.
Possibilité de ne pas afficher les messages d'ouvertures de zones
Il est désormais possible de ne pas afficher les messages 'bulle' de la barre des tâches
qui signalent les ouvertures de zones. Dans le cas de nombreuses zones chiffrées, ce
message peut devenir intrusif et agaçant car, comme tous ces messages en barre des
tâches, ils activent la barre Windows et prennent le focus.
Cette configuration est possible grâce à une nouvelle option proposée à l'utilisateur dans
l'onglet 'Options' du Moniteur ZoneCentral. Sa valeur peut être forcée par une Policy (et,
dans ce cas, l'utilisateur ne peut pas modifier l'option).
Nouvelles règles de Policies pour définir les fonctions affichées ou
masquées aux utilisateurs
De nouvelles règles de Policies ont été ajoutées dans la catégorie 'Outils et interfaces
utilisateurs'. Elles influent sur les informations et opérations visibles par les utilisateurs
dans les propriétés affichées dans l'Explorateur Windows :
- Masquer l'onglet 'Chiffrement' des propriétés d'un dossier
- Masquer l'onglet 'Accès' des propriétés d'une liste d'accès
- Masquer l'opération de chiffrement
- Masquer l'opération de déchiffrement
ZC25RN1
[N#893]
-instrusif…
[N#933]
contrôle +fin
Release Notes v2.5
-
Masquer les accès
Masquer les opérations sur les accès
Masquer les caractéristiques générales d'une zone
Ne pas permettre le changement de label d'une zone ou d'une liste
Masquer la création d'une zone claire
Masquer les exceptions
Masquer les opérations sur les exceptions
Masquer l'affichage des sous-zones (cf. N#912 plus haut)
Masquer l'onglet 'Accès Personnel' du Moniteur (cf. N#1012 plus haut)
Désactiver le changement de mot de passe (cf. N#1012.2 plus haut)
Rappel : ces Policies n'ont pour objectif que de simplifier l'interface utilisateur, pour masquer les
opérations ou les informations que l'on peut juger trop complexes. Elles agissent sur les interfaces
graphiques. D'un point de vue sécurité, pour réellement empêcher les opérations actives (chiffrer,
déchiffrer, ajouter un accès, etc.), il faut définir un autre jeu de Policies prévu à cette effet, les
'restrictions' dans le groupe 'Droits d'Administration'.
Effacement automatique du fichier d'hibernation au réveil
ZoneCentral effectue maintenant un effacement par surcharge du contenu du fichier
d'hibernation (hiberfile.sys) quand l'ordinateur sort d'une veille prolongée.
[N#383]
+sûr
Cet effacement par surcharge n'est effectué que si les règles de Policies autorisent
l'effacement par surcharge, et il est effectué avec les mêmes paramètres (nombre de
passes et masque de surcharge).
Partage en clair de zones chiffrées
Normalement, ZoneCentral gère les partages en mode chiffré, même si les zones de ces
partages ont été ouvertes par l'utilisateur sur le poste 'partageur'. Ceci permet d'assurer
la confidentialité des données y compris sur le réseau, quand les données sont partagées
vers d'autres utilisateurs (qui doivent alors disposer de ZoneCentral et d'une clé d'accès
aux zones partagées).
[N#1009]
avec
précautions!
Un nouveau mode a été ajouté, pour permettre le partage "en clair" de zones chiffrées.
Ce partage en clair ne peut avoir lieu que si l'utilisateur a ouvert la zone sur le poste
'partageur'. Ce mode est configurable globalement sur le poste (et non pas zone par zone
ou partage par partage) avec une nouvelle règle de Policies dans la catégorie "Opérations
fichiers et dossiers". La modification de cette règle n'est prise en compte qu'au
redémarrage suivant. Si cette règle est activée sur un poste, le "zonage" à distance de ce
poste n'est plus possible.
Ce mode est à utiliser avec précaution, car il signifie que la sécurité est réduite au "poste éteint" :
dès que le poste est allumé et qu'une zone est ouverte par son utilisateur, si cette zone est
partagée, toute personne qui se connecte au partage sur le réseau a accès au contenu.
Qualification de ZoneCentral avec les portes-clés électroniques de la
société ActivCard ™
ZoneCentral a été qualifié avec les produits de la société ActivCard™ (cartes à mémoire
et tokens USB), en mode PKCS#11 et en mode CSP. Le module PKCS#11 associé est
désormais configuré par défaut dans ZoneCentral.
La liste des portes-clés électroniques qualifiés et configurés par défaut dans ZoneCentral
s'établit donc aux produits/marques/suivantes : ActivCard, CryptoFlex/CyberFlex
(Schlumberger/Axalto), eToken (Aladdin), GemSafe (GemPlus), iKey2000/2032/3000
(Rainbow) marques déposées de leurs propriétaires respectifs.
ZC25RN1
[N#970]
compatibilité
Release Notes v2.5
Affichage des dates de création et de changement des accès
La date de création d'un accès (dans une zone ou dans une liste) est désormais
conservée, de même que la date d'un changement de caractéristique de l'accès.
[N#1098]
+d'infos
Ces dates (et heures) sont affichées en bulle d'aide dans les accès ou, pour l'outil de
gestion de zones ZCEDIT dans les propriétés des accès.
La date de changement est notamment utile dans le cas d'un accès par mot de passe, car
cela permet de connaître la date du précédent changement de mot de passe.
Affichage du certificat dans le Moniteur ZoneCentral
Il est maintenant possible dans l'onglet clé d'accès du Moniteur d'afficher le certificat
d'une clé d'accès RSA avec laquelle une zone a été ouverte (clé provenant d'un fichier de
clés ou d'une carte à mémoire).
Affichage du type de token PKCS#11
Dans la fenêtre d'introduction de clé (ouverture de zone, de liste, ou de conteneur
chiffré), on affiche maintenant, en complément du label de la carte/token, le nom du
fabricant et le numéro de série du token.
Nouvelle règle de Policy "relaxer le contrôle <key usage> sur les
certificats"
Normalement, ZoneCentral n'accepte d'utiliser que les clés RSA dont le certificat autorise
explicitement l'usage "Chiffrement" ou "Chiffrement de clé", ou ne l'interdit pas (absence
de l'attribut <key usage>). Les autres clés d'accès RSA trouvées ou fournies (fichiers de
clés, tokens, cartes à mémoires, CSPs) sont ignorées.
[N#970]
+d'infos
[N#1019]
+d'infos
[N#1035]
avec
précautions!
Cette règle permet de demander à ZoneCentral de relaxer ce contrôle et d'utiliser toute
clé d'accès RSA adéquate, i.e. permettant effectivement d'ouvrir une zone ou un
conteneur chiffré.
Typiquement, cette règle sert dans le cas de clés RSA déployées dont l'usage initial
prévoyait autre chose que le chiffrement (la signature). Son esprit n'est pas conforme
aux usages, mais en regard du redéploiement d'un parc de certificats, elle peut être utile,
sachant toutefois qu'il est à la charge de l'Administrateur de s'assurer auprès du
Certificateur que ce contournement est acceptable (par le Certificateur dont la
responsabilité est engagée sur les certificats qu'il émet).
Cette évolution a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 241).
Nouveaux messages dans l'Observateur d'Evénements
De nouveaux événements sont enregistrés :
- quand ZoneCentral détecte l'ouverture ou la création d'un fichier de pagination
(swap) qu'il va maintenir chiffré
- quand ZoneCentral a effacé avec surcharge le fichier d'hibernation.
- sur toute opération concernant les accès de secours (cf. N#1054 plus)
- sur toute demande de fermeture de toutes les zones
- lors des changements de mots de passe
- lors des opérations de synchronisation de listes d'accès personnelles
Indication de zone ouverte dans les propriétés d'une zone
Dans l'onglet 'Chiffrement' des propriétés d'un dossier chiffré, il est maintenant indiqué si
la zone est ouverte ou non.
Modification des accès (dans une zone, une liste, ou un conteneur)
Les accès ajoutés ou modifiés sont désormais précisés par un astérisque tant que la
modification n'a pas été validée avec le bouton <OK> ou <Appliquer>
ZC25RN1
[N#1003]
[N#1013]
+de traces
[N#1013]
+d'infos
[N#1060]
+visuel!
Release Notes v2.5
Nouvelle règle de Policies pour définir certains droits d'administration ou
d'opérations sur zones
[N#1011]
+sûr
La règle 'restreindre les modifications d'accès' a été ajoutée dans les Policies, dans le
groupe 'Pouvoirs d'Administration'. Elle se configure de la même manière que les autres
(liste de groupes et/ou d'utilisateurs Windows, locaux ou du domaine seuls autorisés à
effectuer l'opération).
Cette nouvelle règle vient compléter les règles existantes sur les accès (ajout ou
suppression) pour ce qui concerne la modification des accès existants, en termes de rôles
ou de label. Il est à noter qu'elle ne s'applique pas au changement de mot de passe d'un
accès par mot de passe, afin de permettre le changement du mot de passe par
l'utilisateur dans tous les cas.
Mode d'exécution 'rapide' de l'Assistant ZoneCentral pour chiffrer,
déchiffrer, transchiffrer…
[N#1105]
+rapide
L'Assistant ZoneCentral est chargé des opérations sur les zones, c'est-à-dire créer une
zone chiffrée (en chiffrant tout son contenu), la déchiffrer, la transchiffrer, etc.
Ces opérations modifient les contenus des fichiers des utilisateurs, c'est pourquoi
l'Assistant a été conçu pour résister à tout problème impromptu, notamment les
coupures de courant.
La traitement d'un fichier à transformer est donc extrêmement rigoureux : création d'une
copie de secours, relecture de la copie de secours et comparaison avec l'original,
chiffrement de l'original, relecture de l'original chiffré, déchiffrement et comparaison avec
la copie de secours en clair, puis effacement sécurisé par surcharge de la copie de
secours en clair. Toutes ces étapes s'effectuent sans "cache-disque" pour s'assurer la
réelle écriture sur le support. De cette façon, toute interruption, même brutale, de la
transformation n'entraîne aucune perte de données.
Ce mode de traitement a pour conséquence de ralentir la procédure.
Un nouveau mode d'exécution permet d'accélérer le processus, au prix d'une sécurité
moindre en cas de défaillance (les conséquences seront les conséquences habituelles de
toute opération fichier avec une coupure de courant au milieu), car il n'y a plus de copie
de secours.
Ce mode peut être utilisé quand :
-
lors du chiffrement initial d'un poste de travail, on en a effectué une sauvegarde
au préalable ;
-
on est en condition d'énergie fiable, et le mode 'suspension' est désactivé ;
-
on n'utilise pas, par ailleurs, en même temps, des applications susceptibles
d'entraîner un arrêt brutal de la machine.
Pour utiliser ce mode, spécifier l'option –quick au lancement de ZCAPPLY.EXE. Ce mode
n'est pas disponible via les opérations proposées en administration 'in-place' (propriétés
des dossiers).
Rappel : pour connaître les différentes options d'activation de l'Assistant ZoneCentral,
utiliser ZCAPPLY /?, qui affiche une page HTML d'aide.
Déchiffrement d'autres profils utilisateurs que le sien
Lors d'un déchiffrement, les répertoires d'autres utilisateurs ne sont plus ignorés comme
précédemment. Ainsi si l'utilisateur a les droits Windows et les accès ZoneCentral
nécessaires, il peut déchiffrer le poste complet en une seule fois.
ZC25RN1
[N#1107]
Release Notes v2.5
Nouvelle règle de Policies pour autoriser les accès par mots de passe
pour les conteneurs chiffrés uniquement
[N#1119]
+souple
Cette nouvelle règle permet de continuer à interdire les accès par mots de passe pour les
zones chiffrées, tout en les autorisant pour les conteneurs chiffrés, car, pour les
échanges avec des tiers, il est fréquent que l'utilisation de mots de passe soit plus
simple.
Le message "fermer la zone ouverte" au cours de l'exécution de
l'Assistant de chiffrement est désormais temporisé
[N#1032]
+pratique
Ce message interrompait la procédure en attendant une réponse. Si l'utilisateur s'est
absenté (sachant qu'une procédure de chiffrement peut être longue), le message
attendra désormais 15 secondes maximum avant de poursuivre le processus, en fermant
la zone.
L'utilisateur est notifié quand il utilise un certificat périmé qui est
accepté grâce au délai de grâce
[N#799]
Cette notification est émise par une bulle dans la barre des tâches de Windows, pour lui
rappeler que son certificat est périmé, et qu'il ne sera accepté que pendant un certain
nombre de jours. L'objectif de ce message est de l'inviter à renouveler son certificat dans
les meilleurs délais.
Copies de zones en mode 'raw' (interventions d'exploitation sans fournir
d'accès)
Il est désormais possible de copier une zone chiffrée mise en mode 'raw' vers un
emplacement cible également mis en mode 'raw'.
Cette opération s'effectue sans fournir de clés d'accès, le mode 'raw' signifiant justement
que les accès aux fichiers s'effectuent en chiffré, sans "droit d'en connaître".
L'objectif de ce mode est de permettre à un exploitant bureautique/technique de copier
un disque vers un autre (pour remplacement, par exemple), sans disposer de codes
d'accès.
ZC25RN1
[N#1100]
Release Notes v2.5
Corrections ou améliorations
Compatibilité avec l'antivirus E-TRUST™ de Computer Associates
Cet anti-virus posait quelques problèmes d'interopérabilité avec ZoneCentral dans le cas
de zones chiffrées en réseau. Le problème a été contourné par ZoneCentral, et la
cohabitation des deux produits ne pose plus de problèmes.
Amélioration des libellés de zone automatiques
Les libellés de zones automatiquement définis lors de la création des zones sont
désormais choisis plus judicieusement pour certaines zones spéciales. Pour un profil
utilisateur, par exemple, le libellé sera "login (nom du profil)".
[F#1028]
compatibilité
[F#1085]
[F#832]
De plus, le transchiffrement conserve désormais les libellés de zone alors qu'auparavant
il les réinitialisait.
Règles de Policies sur les "accès personnels" déplacées
Ces règles se trouvaient sous "Outils et interfaces utilisateurs", elles ont été déplacées
dans la rubrique "Règles Spéciales/Avancées", à coté des autres règles spécifiant les
modes de gestion des listes d'accès.
Amélioration de l'utilisation des CSPs
Il est maintenant possible, après avoir refusé d'utiliser une clé dans un CSP (par
<annuler> dans la fenêtre de saisie du code PIN, par exemple), d'essayer d'autres
solutions CSP (s'il y en a), voire d'aboutir à la fenêtre d'ouverture de ZoneCentral, ce qui
permet d'essayer d'autres types de solutions (fichiers de clés, mots de passe, etc.).
Amélioration de l'utilisation des tokens PKCS#11
Quand un token PKCS#11 est déjà ouvert (code PIN saisi), ZoneCentral n'affiche plus la
fenêtre d'ouverture de zone et l'utilise directement si le token contient une clé valide
pour la zone ou le conteneur à ouvrir.
[F#1165]
+clair
[F#795]
utile!
[F#856]
mieux!
En effet, certains modules PKCS#11 considèrent l'ouverture (i.e. la fourniture du code
PIN) comme étant 'globale' (session-wide voire system-wide), d'autres ont des
comportements plus restrictifs (ouverture valide uniquement pour l'application ayant
fourni le code PIN), la plupart sont configurables.
Si, donc, le token PKCS#11 est déjà ouvert (par ZoneCentral, par le login Windows par
carte, ou par une autre application), ZoneCentral le détecte et ouvre automatiquement la
zone ou le conteneur chiffré, sans demander le code PIN.
Auparavant, la fenêtre d'ouverture de zone était quand même affichée (inutilement), et
de plus il était possible de saisir un code PIN faux car le token ne le vérifiait pas (car il
était déjà ouvert).
Remarque importante : en corollaire de cette modification, quand ZoneCentral effectue
une fermeture de la clé d'accès, il effectue une fermeture effective et véritable du token,
ce qui forcera véritablement la re-saisie du code PIN à la prochaine utilisation du token,
par ZoneCentral ou par une autre application.
Problèmes de langue avec une installation administrée "en réseau"
(setup /a)
La gestion des langues était incorrecte dans le cas de l'exécution de la commande "setup
/a", les ressources extraites étant globalement en anglais, sauf quelques-unes en
français. Désormais, l'extraction est correctement multi-langues, MAIS le fichier
zonecentral.msi extrait est en anglais (comportement standard de ce type de procédure).
Pour obtenir l'équivalent en français, il est nécessaire d'appliquer une "transformation" à
ce fichier : zcsup transform zonecentral.msi –t 1036.mst
Le fichier 1036.mst peut être récupéré dans le dossier Windows/DownloadedInstallations.
ZC25RN1
[F#1142]
Release Notes v2.5
Blocage possible lors de la synchronisation d'un profil itinérant chiffré
Ce blocage peut se produire à l'ouverture ou à la fermeture de session sur le profil
itinérant chiffré (pas systématiquement), et pouvait également se produire (très
rarement) lors d'une fermeture de zone (toutes causes de fermetures).
[F#1072]
important!
Ce problème a été corrigé.
Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 243).
Message "Impossible de mettre à jour le profil local" lors d'une
ouverture de session avec un profil itinérant
[F#1048]
important!
Avec un profil itinérant chiffré et des Policies interdisant à l'utilisateur la création de
zones chiffrées, ce message apparaissait lors de certaines ouvertures de session (la
première sur un poste n'ayant jamais hébergé le profil itinérant). ZoneCentral essayait en
effet de chiffrer la partie fixe (et locale) du profil qui est créée à cette occasion, mais ne
pouvait le faire à cause de la règle en Policies. Ce problème a été corrigé en acceptant ce
cas précis de création de zone chiffrée.
Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 243).
Dans certains cas (rares), le chiffrement est refusé pour cause de 'fichier
non trouvé'
[F#1131]
Ce cas se produit lorsque la base de Registres contient, pour des raisons inconnues, des
profils utilisateurs 'fantômes'.
(la clé HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/ProfilList
mentionne des profils dont certaines valeurs descriptives manquent, notamment le
"Sid").
Le chiffrement utilise cette ressource pour énumérer et détecter les dossiers des profils
utilisateurs, pour appliquer la stratégie de chiffrement adéquate.
Ce problème a été corrigé, ces entrées 'non-conformes' sont ignorées.
Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 244).
Erreur avec la commande XCOPY
La commande XCOPY du système pouvait par erreur copier des fichiers vers une zone
chiffrée sans les chiffrer (copie "raw"). Les fichiers semblaient alors corrompus si on
essayait de les ouvrir normalement, puisqu'ils étaient en fait en clair. Ce problème a été
corrigé.
[F#1048]
important!
Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 241).
Problème "impossible de chiffrer sans exceptions par défaut"
Ce problème survenait quand les Policies par défaut de ZoneCentral n'avaient pu être
installées, la plupart du temps parce que l'installation avait été faite sur un poste
(portable) membre d'un domaine, et alors qu'il n'était pas connecté au domaine (il est
interdit de modifier les Policies dans ce cas, et donc de les installer). Grâce à la
modification précédente (intégration des Policies par défaut dans le logiciel et
suppression donc de leur installation), ce problème est résolu.
Perte de certaines Policies lors d'une mise à jour de ZoneCentral
La mise à jour majeure du produit effectue une désinstallation et une réinstallation
(enchaînées) complètes. La désinstallation, dans ce cas, n'effaçait pas les Policies qui
avaient pu être configurées, mais la réinstallation forçait l'installation des Policies par
défaut de ZoneCentral, et donc, pour les quelques règles concernées, la personnalisation
éventuelle qui en avait été faite était perdue. Ce problème est résolu par la suppression
des Policies par défaut de ZoneCentral.
ZC25RN1
[F#1062]
important!
[F#945]
important!
Release Notes v2.5
Perte des 'préférences utilisateur' lors d'une mise à jour
La mise à jour de ZoneCentral effaçait malencontreusement les 'préférences utilisateur'
mémorisées dans la base de registre : clés utilisés pour ouvrir les zones, positions des
fenêtres, etc. Ce problème a été corrigé.
Problème d'ouverture d'un profil itinérant chiffré, la première fois,
immédiatement après une installation de ZoneCentral
[F#1001]
+pratique!
[F#1069]
Situation : un profil itinérant est chiffré sur le serveur qui l'héberge. Par ailleurs,
ZoneCentral est installé sur le poste de l'utilisateur concerné. La première ouverture de
session Windows va échouer. Le problème ne se reproduira plus ensuite. Il est lié à un
défaut d'installation des Policies par défaut de ZoneCentral lors de l'installation. Dès le
second redémarrage du poste, le problème disparaît, car ZoneCentral détecte et corrige
ce problème de Policies.
Le problème ne peut plus se produire avec la nouvelle stratégie de ZoneCentral
concernant les Policies par défaut.
Améliorations du comportement de l'Assistant ZoneCentral en cas de
fichiers ouverts
Auparavant, quand l'Assistant rencontrait un fichier ouvert (qu'il ne peut donc pas
chiffrer), l'utilisateur était invité à fermer l'application concernée. S'il n'y parvenait pas, le
dossier en entier devenait une zone en clair (explicite), et l'Assistant poursuivait son
travail sur les autres dossiers.
[F#1108]
[F#1109]
+fin
Désormais, quand l'utilisateur ne parvient pas à déterminer et fermer l'application qui
bloque le fichier, le dossier est quand même traité, et le fichier en question passe en
"exception" (fichier non chiffré, exception locale uniquement). De plus, si, par la suite, on
effectue une "vérification" de la zone (nouveau service décrit plus haut), alors cette
exception non-conforme aux Policies sera détectée et ZoneCentral essayera alors de
chiffrer le fichier pour retirer l'exception. A ce moment, il est probable que le fichier sera
disponible.
Cas particulier du dossier 'temporaire' du profil utilisateur : il est fréquent que des
fichiers soient ouverts dans ce dossier. ZoneCentral adopte un comportement particulier
pour ce dossier : les fichiers ouverts sont ignorés (non chiffrés), mais ne sont PAS mis en
exception. En effet, par définition, les fichiers temporaires sont temporaires et n'ont plus
de signification après une fermeture de session ou un redémarrage du poste.
Icônes de dossiers avec 'cadenas' maintenant affichées aussi pour les
partages
[F#1015]
mieux!
De façon générale, les icônes de ZoneCentral sur les dossiers (chiffrés ou en clair)
s'appliquent désormais aussi pour les dossiers partagés, en conservant aussi la
représentation du partage (icône de dossier + marque 'main' de partage + marque
'cadenas' de chiffrement). Auparavant, quand une marque de partage était affichée,
ZoneCentral n'affichait pas sa propre marque.
Amélioration de la gestion des copies de sauvegarde de la liste d'accès
personnelle
Cette copie de sauvegarde est maintenant effectuée de façon plus systématique, lors de
chaque opération utilisant la liste, avec vérification de la présence de la copie de
sauvegarde, en tenant compte des changements d'emplacement éventuels dans les
Policies.
ZC25RN1
[F#1022]
important
Release Notes v2.5
La règle de Policy "restreindre la création de zones chiffrées" ne
fonctionne pas
[F#1050]
important!
Il y avait une erreur dans le fichier "modèle d'administration" (zc_policies.adm), qui
faisait que cette règle était inopérante.
Î Si vous mettez en œuvre les Policies sur un Contrôleur de Domaine, veillez à
remplacer ce fichier "modèle d'administration" (ce qui est à faire de toutes façons pour
toute mise à jour de ZoneCentral).
Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 243).
Fermetures de zones impromptues à cause des séquences de touches
rapides
[F#1093]
déroutant…
Il est possible de définir une séquence de touches "d'urgence" pour fermer toutes les
zones et les clés d'accès ouvertes de ZoneCentral (fermeture rapide quand on quitte son
poste de travail un moment).
Il existe deux séquences possibles : Ctrl + ² et triple-appui sur Ctrl.
Cette dernière séquence avait un effet de bord déroutant lorsque la configuration clavier
du poste était réglée avec un mode de "répétition" très rapide (appui long sur le touche
'a' produit 'aaaaaaaa'). En effet, quand l'utilisateur utilise les raccourcis clavier comme
Ctrl+S (sauver) ou Ctrl+C (copier) etc., il se peut qu'il maintienne la touche Ctrl appuyée
un certain temps pour ce faire, ce qui déclenche de façon impromptue la fermeture de
zone !
Ce point a été corrigé, la détection de la séquence d'urgence tient compte désormais des
appuis et des relâchements de la touche Ctrl pour la séquence triple-Ctrl.
Améliorations diverses dans l'édition des accès
1/ Sur création d'une liste d'accès depuis un fichier vide (ex: 'Bureau-Nouveau
document-liste.txt' renommé en liste.zaf), en accédant ensuite aux accès de cette liste
par l'onglet 'Accès' des propriétés du fichier, l'ajout d'un accès par mot de passe ne
fonctionnait pas.
[F#1075]
[F#1077]
2/ On ne peut plus enregistrer une liste d'accès ou une modification des accès d'une zone
s'ils ne contiennent que des accès 'obligatoires' (mandatories) et aucun accès utilisateur.
L'enregistrement ne sera accepté que s'il y a au minimum un accès avec rôle
'administratif' en plus des accès obligatoires.
3/ Lors de la création d'une liste d'accès depuis l'Explorateur (création d'un fichier .zaf
vide, puis accès aux propriétés), il était possible de valider l'enregistrement de la liste
même si une liste d'accès obligatoire définie en Policies n'était pas trouvée. Ce point a
été corrigé.
Message d'erreur dans certains cas de glisser/déplacer d'un fichier d'un
conteneur chiffré vers un autre
[F#772]
rare
Il pouvait y avoir un message d'erreur "tentative d'utilisation d'un objet qui a cessé
d'exister" (!) , quand on transférait un fichier d'un conteneur vers un autre. Cela ne se
produisait que quand les fenêtres d'exploration des conteneurs étaient affichées en mode
'détail'. Ce problème a été corrigé.
Sélection de modèles de chiffrement par l'utilisateur : les modèles
étaient affichés avec leurs variables d'environnement
Quand des modèles de chiffrement sont définies dans les Policies, ils peuvent contenir
des variables d'environnement (ex: %USERNAME%), ce qui permet d'adapter le modèle
à l'utilisateur ou à l'ordinateur concerné.
Quand plusieurs modèles sont définis et possibles, le choix du modèle est laissé à
l'utilisateur (ex: Ma liste Personnelle / MARKETING / Groupe de travail GDT).
La fenêtre qui proposait ce choix ne résolvait pas les variables d'environnement avant
ZC25RN1
[F#1051]
mieux!
Release Notes v2.5
l'affichage (mais après), et l'utilisateur voyait donc ces variables, ce qui était peu
sympathique.
Message "pas de certificat valide ou utilisable" dans les ajouts d'accès
par certificats
[F#993]
pénible
Lors d'un ajout d'accès par certificat à une zone ou à un conteneur chiffré, on pouvait
avoir un message en trop "pas de certificat valide ou utilisable", bien que des certificats
soient tout de même proposés. Ce problème n'avait pas de conséquences puisque les
certificats étaient quand même utilisables, mais le message d'erreur était en trop.
Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 241).
L'outil de gestion des zones (ZCEdit) ne se lance pas si…
L'outil de gestion des zones (ZCEdit) refusait de se lancer si deux serveurs LDAP de
même nom étaient configurés dans les préférences ZCEdit et dans les Policies.
Problème Explorateur Windows dans un cas très particulier
Un arrêt de l'Explorateur Windows pouvait survenir dans l'onglet 'accès' d'une zone
lorsque le menu contextuel (click-droit) restait ouvert très longtemps et que, par ailleurs,
une modification avait lieu dans le dossier (modification qui entraînait une réactualisation
des propriétés affichées alors que le menu contextuel était ouvert). Problème assez rare
et sans conséquences.
Améliorations diverses dans la fenêtre d'ouverture de zones
1/ Dans les fenêtres d'ouverture de zones ou de conteneurs, le fait d'ouvrir avec une
carte/token effaçait la mémorisation éventuelle d'une précédente ouverture par un fichier
de clé. Les différentes solutions utilisées sont désormais mémorisées pour pouvoir les
suggérer à l'avenir à l'utilisateur. Cette amélioration sert dans des cas rares d'utilisation
mixte d'une même zone par des utilisateurs différents équipés de porte-clés différents.
[F#1043]
rare
[F#1024]
bug…
[F#1005]
[F#1006]
[F#1007]
[F#971]
2/ De plus, on vérifie désormais que le ou les fichier de clés proposés (mémorisés avec
l'ouverture précédente) existent (ou sont disponibles). Sinon ils ne sont plus proposés.
3/ Quand aucune clé valide n'est trouvée dans un fichier de clé ou un token, et si le
fichier ou le token contiennent un certificat périmé, le message d'erreur "pas de clé
utilisable" précise désormais qu'une cause possible peut être le certificat périmé.
4/ Quand il n'y a pas d'accès par mot de passe, le bouton est grisé dans la fenêtre
d'ouverture, mais le cyclage par Ctrl-Tab ou l'accélérateur Ctrl-P permettait quand même
d'afficher la page (idem pour les autres modes d'accès).
Aide descriptive des Policies
Certaines explications de règles dans les Policies ont été étoffées dans le configurateur de
Policies (GPEDIT).
Impossible de ne spécifier qu'une seule des trois listes de "modèles de
chiffrement"
[F#1045]
doc
[F#1179]
Ces trois listes (modèles pour zones normales, zones sur tokens USB et conteneurs
chiffrés) étaient regroupées dans un même groupe dans GPEDIT, et cet outil ne permet
pas, dans ce cas, de n'en valoriser qu'une seule. Désormais, elles ont été séparées et
mises dans trois groupes différents.
Policy de "stratégie alternative de verrouillage" : impossible de spécifier
plusieurs règles pour le même serveur
Cette policy est une liste de couples (serveur, type de fichier). La syntaxe des policies est
telle que le premier élément du couple doit être unique, ce qui empêchait de spécifier à la
fois ("myserver", "*.pst") et ("myserver", "*.pab").
Désormais, il est possible de spécifier une liste de types de fichiers, séparés par des
points-virgules, comme ("myserver", "*.pst; *.pab").
ZC25RN1
[F#1145]
Release Notes v2.5
Message "aucun recouvrement défini" dans ZCEDIT
[F#1120]
Ce message pouvait apparaître en barre d'état alors qu'il y avait bien un recouvrement
défini.
Import/export et valeur 'vide' dans les Policies
[F#1044]
Les commandes d'import et d'export de Policies ne géraient pas correctement la valeur
'vide'. Lors de l'import, cette valeur était considérée comme équivalente à 'Non
configurée', ce qui peut être erroné, notamment pour les policies de restriction de
pouvoir d'administration.
Cas particulier de tokens PKCS#11 incorrectement formatés
[F#1049]
spécial
Certains tokens PKCS#11 ne sont pas 'formatés' de façon suffisante pour permettre leur
utilisation de ZoneCentral. Cette correction traite le cas précis de tokens pour lesquels la
clé privée RSA ne possède pas l'attribut lui permettant d'effectuer un déchiffrement.
Attention: n'activer cette procédure que dans le cas d'un parc de tokens déjà déployé. Il
est préférable d'aller traiter le problème à sa source, i.e. dans le modèle de
personnalisation des tokens.
Si, et seulement si, la clé de Registry :
"HKEY_LOCAL_MACHINE/Software/PrimX/ZoneCentral/Special" (de type DWORD)
est présente et vaut 1, alors, si l'attribut CKA_DECRYPT d'une clé RSA utilisable pour une
ouverture de zone est absent ou vaut "CK_FALSE" (dans le token), cet attribut est
automatiquement modifié avec la valeur "CK_TRUE" par ZoneCentral, dans le token.
Multi-modules PKCS#11 (différents) simultanés
Si plusieurs modules externes PKCS#11 sont configurées et utilisés SIMULTANEMENT
(présence de plusieurs tokens), il pouvait y avoir, pour certaines combinaisons de
modules PKCS#11, quelques dysfonctionnements sur la détection de tokens présents par
ZoneCentral (en fait, certains pouvaient ne pas être détectés).
En cas de module PKCS#11 défaillant…
La configuration en Policy d'un module PKCS#11 existant mais non-conforme aux
standards provoquait une erreur dans ZoneCentral. Ce cas est mieux géré et le module
est désormais ignoré.
Consommation CPU/Mémoire intensive du processus ZCU.EXE en cas de
clé CSP absente
[F#1039]
rare!
[F#975]
rare!
[F#986]
bug!
Dès qu'on tente d'ouvrir une zone chiffrée présentant un accès par clé RSA dont le
certificat correspondant figure dans le magasin CSP "Personnel", sans que la clé privée
correspondante soit disponible, le processus ZCU.EXE boucle et donc ne répond plus. Ce
problème a été corrigé.
Condition d'apparition du problème : Les accès par CSP doivent être actifs ; le certificat
doit figurer dans le magasin "Personnel"; la clé privée ne doit pas être disponible; il faut
parcourir ou ouvrir une zone offrant un accès avec ce certificat.
Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 241).
Problème CSP dans la fenêtre de création de la liste d'accès personnelle
Dans la création de liste d'accès personnelle, si une clé CSP est introduite PENDANT que
la fenêtre est affichée, la fenêtre ne répond plus. Ce problème a été corrigé.
Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 241).
ZC25RN1
[F#990]
bug!
Release Notes v2.5
Amélioration du mode CSP
En mode CSP, il est maintenant possible d'ouvrir une zone avec un accès CSP utilisant un
certificat distinct de celui qui avait servi à définir l'accès dans la zone (s'il porte sur la
même clé RSA et s'il est valide).
[F#992]
utile dans
certains cas
C'était déjà possible avec les porte-clés fichiers et PKCS#11, mais pas avec les CSPs.
Amélioration du mode CSP (2)
Quand on annulait une validation de clé par un CSP (pour ouvrir une zone, une liste ou
un conteneur chiffré), on pouvait avoir ensuite, en fonction des cas et des CSPs utilisés,
un ou deux autres essais qu'il fallait aussi annuler.
Contrôle de force des mots de passe avec ZCACMD
[F#1147]
oubli!
© Prim'X Technologies 2005. Prim'X Technologies, ZoneCentral et Zed! sont des marques déposées de Prim'X Technologies SA.
Toutes les autres marques citées sont des marques déposées de leurs propriétaires respectifs - Reproduction interdite
La console d'administration ne contrôlait pas les forces de mots de passe (lors d'ajouts
d'accès). Ce point a été corrigé.
[F#994]
mieux!
ZC25RN1
Siège : 10 place Charles Béraudier 69428 Lyon Cedex 03 - Tél. : 04.26.68.70.02 - Fax : 04.26.69.70.04
Service Commercial : 42 avenue Montaigne 75008 Paris - Tél. : 01.72.74.11.59 - [email protected]
© Prim'X Technologies 2005. Prim'X Technologies, ZoneCentral et Zed! sont des marques déposées de Prim'X Technologies SA.
Toutes les autres marques citées sont des marques déposées de leurs propriétaires respectifs - Reproduction interdite
Release Notes v2.5
Siège : 10 place Charles Béraudier 69428 Lyon Cedex 03 - Tél. : 04.26.68.70.02 - Fax : 04.26.69.70.04
Service Commercial : 42 avenue Montaigne 75008 Paris - Tél. : 01.72.74.11.59 - [email protected]
