Release Notes ZoneCentral v2.5
Transcription
Release Notes ZoneCentral v2.5
Pour une meilleure lisibilité sous Adobe Acrobat, utilisez l'option <lissage-dessin au trait> Release Notes v2.5 Nouveautés de la version 2.5 Chiffrement automatique à partir d'une consigne en Policy [N#1067] déploiement Une règle 'consigne de chiffrement' a été ajoutée dans les Policies. Elle permet de définir un ou plusieurs emplacements à chiffrer et à maintenir chiffré. Dès que l'utilisateur ouvre sa session Windows, ZoneCentral vérifie que ces emplacements constituent des zones chiffrées. Si ce n'est pas le cas, l'Assistant ZoneCentral s'active automatiquement pour exécuter le chiffrement. L'utilisateur a la possibilité de refuser l'opération, mais elle lui sera reproposée à sa prochaine ouverture de session, jusqu'à ce qu'il l'accepte. Si, ensuite, un des emplacements n'est plus chiffré, la même procédure s'applique. Il est possible d'indiquer des emplacements à l'aide des variables d'environnement habituellement supportées par les Policies de ZoneCentral. Il est également possible de nommer un dossier qui n'existe pas (encore), auquel cas ZoneCentral le créera (par exemple : C:\Coffre-Fort). Les valeurs spéciales '*' ou 'all' permettent de demander le chiffrement complet du Poste de Travail. Grâce à cette nouvelle fonctionnalité, l'application du chiffrement sur les postes de travail et les flottes de portables peut être activé et effectué automatiquement, ce qui facilite le déploiement. Nouveau service de recouvrement : les accès de secours Ce service a été défini pour secourir un utilisateur qui a oublié son mot de passe, perdu bloqué ou cassé sa carte à mémoire ou son token USB, ou détruit par erreur son fichier de clés. Son accès habituel à ses zones chiffrées est inutilisable. L'objectif du service est d'effectuer un recouvrement immédiat (l'utilisateur veut pouvoir travailler), à distance (l'utilisateur est en déplacement à l'étranger), sans support électronique (l'utilisateur n'a pas de réseau, ou bien sa messagerie est chiffrée et comme il n'a plus la clé…), sans compromettre physiquement les clés de recouvrement de l'entreprise ou du service par un déplacement géographique. La procédure doit donc être simple, rapide, doit permettre de régler le problème par téléphone uniquement, ne pas compromettre la sécurité (i.e. un vol volontaire de carte à mémoire ne doit pas avoir pour objectif caché de pousser au déchiffrement du poste de l'utilisateur 'cible'). Elle implique de toute façon une technique de recouvrement, puisqu'il faut bien aboutir à un déchiffrement de clé. Lors de la création de chaque liste d'accès (personnelle ou de groupe), ZoneCentral crée automatiquement un accès 'sos' de type mot de passe avec un mot de passe fort et très long. Par principe, les listes d'accès sont soit produites en central par l'administrateur, soit remontées en central pour sauvegarde et archivages (cf. les Policies qui définissent ces emplacements). L'administrateur dispose donc d'une copie de ces listes. En cas de dépannage, il peut donc, en central, effectuer un recouvrement sur la liste d'accès uniquement pour retrouver la valeur du mot de passe de secours. La possession de la clé de recouvrement est indispensable à cette opération, mais le recouvrement est alors une procédure centralisée, qui ne déplace pas géographiquement la clé auprès de l'utilisateur. L'administrateur peut ensuite dicter ou télécopier le mot de passe de secours à l'utilisateur distant, qui peut alors ouvrir ses zones chiffrées et travailler à nouveau (dans la fenêtre d'ouverture de zone, il doit utiliser le choix "Accès de secours" du menu système de la fenêtre). Par la suite, l'administrateur doit prendre les mesures qui s'imposent en fonction de son plan de sécurité, mais l'utilisateur étant débloqué, il dispose du temps nécessaire, et éventuellement des moyens électroniques (car la messagerie de l'utilisateur, si elle est chiffrée, est disponible). ZC25RN1 [N#1054] important! Release Notes v2.5 Il peut fabriquer une nouvelle carte à mémoire et l'expédier en Express, etc. Il peut aussi, par précaution, changer l'accès de secours dans la liste d'accès et expédier la nouvelle à l'utilisateur. Enfin, normalement, dans ce genre de cas, il procède à une enquête de sécurité auprès de l'utilisateur. Chaque action relative à un accès de secours génère un événement dans l'Observateur d'Evénements Windows (génération, recouvrement/visualisation, utilisation pour ouvrir). Le mode 'accès de secours' peut être désactivé à l'aide d'une nouvelle règle dédiée en Policies. Nouvelle opération sur zone (ou sur liste d'accès) : 'Vérifier la conformité par rapport aux Policies' [N#1086] important! Lorsqu'une zone chiffrée a été créée, elle a pris en compte les Policies en vigueur à ce moment : accès obligatoires, accès de secours, exceptions de fichiers, etc. Puis, par la suite, le Plan de Sécurité a pu évoluer, ou, notamment, de nouvelles clés de recouvrement ont pu être définies. L'objectif de cette nouvelle série de services de ZoneCentral est d'assurer le maintien, la vérification d'application, et l'entretien du Plan de Sécurité dans le temps, de façon administrée et automatisée. Cette nouvelle opération, disponible dans l'onglet 'Opérations' des propriétés avancées des zones chiffrées, ou en menu contextuel pour les accès, permet de réactualiser la zone chiffrée en fonction des Policies en vigueur au moment où l'opération est effectuée. Elle est la plupart du temps très rapide, car les changements sont peu fréquents, ou bien concernent uniquement les accès. Dans certains cas, elle peut entraîner un chiffrement ou un déchiffrement de fichiers (changements dans les exceptions). Cette opération permet à l'administrateur de vérifier périodiquement les zones chiffrées et les listes d'accès et d'appliquer simplement les transformations nécessaires. [Evolution future : dans une prochaine version, cette procédure de vérification pourra être automatisée sur tous les Postes de Travail au travers de directives en Policies ('vérifier automatiquement tous les XX jours')] Pour exécuter manuellement l'Assistant ZCAPPLY avec ce mode, utiliser l'option –inspect. L'option complémentaire –strict effectue un contrôle plus serré, avec le retrait automatique des accès utilisateurs non-conformes (mot de passe alors qu'interdits en Policies, idem pour RSA, accès par certificats périmés, certificats non-conformes (cf. nouveaux contrôles N#1118 plus loin), accès de secours si désactivés). Nouvelle interface utilisateur pour la création de l'accès personnel [N#1063] +didactique La création de l'accès personnel de l'utilisateur (si ce mode de gestion a été retenu en Policies) consiste à demander à l'utilisateur de fournir sa clé d'accès (carte à mémoire, clé USB, fichiers de clés, ou choix d'un mot de passe). L'ancienne fenêtre a été remplacée par un "assistant" plus didactique et plus accessible aux utilisateurs. Cet assistant contient de plus de nombreuses améliorations ponctuelles par rapport à la version précédente. Propriétés de chiffrement globales du Poste de Travail Un choix "Chiffrement…" a été ajouté dans le menu contextuel du "Poste de Travail" dans l'Explorateur Windows. Ce menu permet d'accéder à la vue globale des zones chiffrées du poste et à une liste d'opérations globales (chiffrer le poste, déchiffrer le poste, transchiffrer le poste, etc.). Il est possible d'accéder ensuite directement aux différentes zones chiffrées du poste pour les visualiser ou les configurer. ZC25RN1 [N#1008] +pratique! Release Notes v2.5 Support des "Redirected Folders" dans les profils utilisateurs [N#1052] important! Les dossiers redirigés d'un profil utilisateur étaient déjà supportés, mais il fallait les chiffrer séparément, en plus du profil de l'utilisateur. L'Assistant ZoneCentral a été modifié pour détecter et localiser automatiquement ces dossiers redirigés et les chiffrer automatiquement quand on demande le chiffrement d'un profil utilisateur. Cette évolution s'applique aux autres opérations (déchiffrement, transchiffrement, etc.). Note : une option (-noredirect) de l'Assistant ZCAPPLY.EXE permet d'ignorer (ne pas traiter) les dossiers redirigés. Support de "Dossiers Off-Line" (synchronisés) chiffrés [N#996] important! ZoneCentral supporte désormais la synchronisation de dossiers off-line chiffrés dans le dossier source (serveur). Windows effectue une copie des fichiers off-line dans un dossier local (Windows/CSC). Ce dossier pouvait déjà être une zone chiffrée locale, pour protéger la copie locale des fichiers 'serveur' sur les postes, notamment les nomades. ZoneCentral permet désormais de faire en sorte que le dossier serveur lui-même, avec tous ses fichiers et ses sous-dossiers soit une zone chiffrée. Ce mécanisme ne peut toutefois s'appliquer qu'à des dossiers complets (pas de synchronisation de fichiers 'unitaires'), et la synchronisation doit impérativement porter sur un dossier "tête de zone chiffrée" (sans quoi la définition de la zone chiffrée ne sera pas elle aussi rapatriée localement par la synchronisation). Affichage des sous-zones dans les propriétés d'une zone ou du Poste de Travail [N#912] gestion locale Dans les propriétés avancées d'une zone chiffrée, un nouvel onglet affiche les éventuelles sous-zones chiffrées qui peuvent se trouver à l'intérieur du dossier, avec la liste résumée des accès définis pour ces zones. Il est possible, à partir de cette liste, d'accéder directement aux propriétés de chaque sous-zone ou d'ouvrir un Explorateur Windows dessus pour en visualiser le contenu. Cette information est également disponible au niveau du nouveau menu contextuel "Chiffrement" du Poste de Travail, qui permet ainsi de visualiser toutes les zones chiffrées du poste. Menus contextuels de dossiers dans l'Explorateur Windows [N#1001] Les opérations de zone, habituellement disponibles depuis l'onglet "Chiffrement" des propriétés d'un dossier, sont désormais disponibles sous forme de menu contextuel dans l'Explorateur Windows, ce qui est plus direct. Les opérations avancées, qui sont disponibles dans la fenêtre de "Détail avancé" d'une zone, sont également proposées dans le menu contextuel, à condition de l'activer avec la touche SHIFT maintenue. Ces menus contextuels peuvent être désactivés en Policies. Nombreuses améliorations dans la gestion des listes d'accès personnelles Les listes d'accès personnelles peuvent désormais être préparées en amont par le Responsable de la Sécurité ou le Responsable de Service, à l'aide de l'outil ZCEDIT. Pour cela, il faut afficher les propriétés de la liste en cours d'édition et cocher la case "liste d'accès personnelle". La liste en question doit ensuite être enregistrée dans l'emplacement principal des listes d'accès (défini en policies), en respectant la convention de nommage, qui est généralement "<Domaine>espace<Utilisateur Windows>.zaf". Une nouvelle policy a d'ailleurs été créée pour spécifier cette règle de nommage si cette ZC25RN1 [N#912] [N#1159-64] Release Notes v2.5 convention par défaut ne convient pas. Lorsque le mode "accès personnel" est actif (en policies), et que la liste personnelle n'est pas trouvée localement, (dans l'emplacement local des listes personnelles, spécifié en policies, par défaut "Mes Documents\Profil ZoneCentral"), alors ZoneCentral vérifie d'abord que cette liste personnelle n'a pas été préparée en amont, dans l'emplacement principal. Si oui, elle est automatiquement rapatriée et installée dans l'emplacement local, puis utilisée. L'utilisateur n'est donc pas invité à la créer, puisqu'elle existe déjà. De plus, il est également possible, avec une nouvelle règle de Policies, d'interdire aux utilisateurs de créer eux-mêmes leurs listes d'accès personnelles. Il y a donc deux possibilités de gestion : créer les listes d'accès personnelles en amont, ou bien permettre aux utilisateurs de les créer eux-mêmes. Ensuite, les deux modes s'appliquent de la même façon : la liste personnelle est locale, sur le poste de l'utilisateur. C'est celle qu'il utilise généralement quand il crée une zone chiffrée (s'il en a le droit) sur son disque, sur un stick USB, ou lorsqu'il crée un conteneur chiffré. Il a le droit de modifier sa liste personnelle, notamment pour les changements de mot de passe (s'il y a lieu). Dès que cette liste est modifiée, une copie est historisée dans l'emplacement de sauvegarde spécifié en policies (qui peut être local, ou sur une unité serveur). La gestion de cette copie de sauvegarde a été améliorée : si l'unité de sauvegarde n'est pas disponible au moment de la vérification, la copie sera effectuée la fois suivante, lors de la prochaine utilisation de la liste (typiquement, à la prochaine ouverture de zone chiffrée). Il est également possible de demander (en policies) la synchronisation de la liste personnelle avec l'emplacement principal : si l'administrateur modifie la liste dans cet emplacement, la nouvelle version est détectée, rapatriée, et utilisée. Si l'utilisateur modifie sa liste localement, la nouvelle version est synchronisée dans l'emplacement principal, si toutefois c'est possible (droits d'accès). En résumé, ces nouveaux services, ajustables par des Policies, ont pour objectif de permettre des déploiements contrôlés de listes d'accès personnelles, et d'en assurer le suivi et la maintenance ultérieurs. Nouvel onglet "Accès Personnel" dans le Moniteur de ZoneCentral Le Moniteur de ZoneCentral affiche un nouvel onglet intitulé "Accès Personnel" (quand ce mode de gestion des accès est autorisé en Policies). [N#1012] gestion personnelle! Cet onglet rappelle les caractéristiques de la liste d'accès personnelle (type de clé d'accès, date de création), permet de consulter son propre certificat (si accès RSA), et offre un lien vers la liste d'accès personnelle pour la visualiser ou la modifier si on le souhaite. Cet onglet constitue en fait un "raccourci" pour l'utilisateur pour gérer son accès personnel plutôt que de retrouver son emplacement physique de fichier et d'accéder aux propriétés. Il permet aux administrateurs un support utilisateur plus aisé. De plus, lorsqu'il s'agit d'un accès par mot de passe, cet onglet permet à l'utilisateur de changer le mot de passe de son accès personnel. [Evolution future : dans une prochaine version, c'est à partir de cet onglet que l'utilisateur trouvera les procédures assistées pour renouveler son certificat RSA ou pour passer d'une clé d'accès 'mot de passe' à une clé d'accès RSA.] Changement de mot de passe des accès par mot de passe Auparavant, le renouvellement de mot de passe consistait à créer un nouvel accès de type mot de passe (avec un nouveau mot de passe), et à supprimer le précédent. La fonction de changement de mot de passe, très demandée, a été intégrée de façon classique (saisie masquée du précédent, choix du nouveau, avec saisie masquée en double). Le nouveau mot de passe doit être conforme aux règles de force établies en Policies et évidemment différent du précédent. Ce changement de mot de passe est disponible en menu contextuel sur tout accès de ZC25RN1 [N#1012.2] enfin! Release Notes v2.5 type "mot de passe" dans les fenêtres de propriétés listant les accès d'une zone, d'une liste d'accès, ou d'un conteneur chiffré. Dans le cas de l'accès personnel, il est également disponible dans le nouvel onglet du Moniteur ZoneCentral. Changement de mot de passe à la première utilisation, changement périodique de mot de passe [N#1137] Une nouvelle Policy permet de spécifier la durée de validité des mots de passe (i.e. leur fréquence de renouvellement). Quand un mot de passe n'a pas été changé depuis une durée qui excède cette Policy, une fenêtre invite à le faire (quand l'utiisateur ouvre une zone). L'outil ZCEDIT permet également de spécifier l'attribut "changer à la prochaine utilisation" pour un accès par mot de passe. Ajout d'accès depuis les magasins Windows (IE) [N#1027] pratique! Il était déjà possible d'ajouter des accès à partir de certificats obtenus sur des annuaires LDAP, dans des fichiers aux formats divers, cette évolution permet de parcourir le magasin de certificats Windows ("My" et "AddressBook") pour ajouter des accès à une zone, une liste, ou un conteneur chiffré. Procéder comme auparavant, "Ajouter…", sélectionner l'onglet "Certificats", et activer le bouton présentant l'icône bien connue de Internet Explorer. La liste se remplit avec les certificats disponibles. Nota: cette option permet notamment de sélectionner aisément son propre certificat dans un token (mode CSP), ou le certificat d'un collègue en 'pluggant' simplement son token ou sa carte (si toutefois le CSP utilisé publie immédiatement les certificats des tokens présents). Ajout d'accès depuis des fichiers de clés (.pfx, .p12) [N#1138] En plus des formats habituels de fichiers certificats (.cer, .crt, .pem, ou .p7b), il est désormais possible de sélectionner des fichiers de clés (.pfx ou .p12) pour ajouter des accès par certificats. Bien que les clés elles-mêmes ne soient pas utilisées, il est nécessaire de fournir le mot de passe du fichier de clés, car les certificats qu'il contient sont la plupart du temps chiffrés, comme les clés elles-mêmes. Annuaire LDAP : l'annuaire de domaine est automatiquement proposé [N#1026] hyperpratique! Quand les utilisateurs (ou les administrateurs) ajoutent des accès (à une zone, un conteneur, une liste d'accès), ils peuvent interroger des annuaires LDAP, publics ou privés, qui publient des certificats. Auparavant, l'administrateur de ZoneCentral devait préconfigurer en Policies le ou les annuaires LDAP de l'entreprise (organisation). Désormais, ZoneCentral recherche et propose par défaut l'annuaire LDAP ActiveDirectory s'il en trouve un. Nouveau contrôle des certificats (chaînes et CRLs) Dans les différents outils permettant d'ajouter des accès par certificats à des zones, listes ou conteneurs, des améliorations ont été apportées aux contrôles de validité des certificats : - Un certificat auto-signé est affiché comme tel (mention 'auto-signé') - Un certificat auto-signé est refusé lorsqu'il n'est pas dans les racines de confiance du Poste de Travail, du Domaine, ou de l'Entreprise - Un certificat dont la chaîne de certification est incomplète est refusé - Un certificat dont la racine de la chaîne de certification n'est pas dans les racines de confiance du Poste de Travail, du Domaine, ou de l'Entreprise est refusé - Un certificat qui est révoqué (en CRL) est refusé - Un certificat dont la CRL n'est pas disponible est refusé - Un certificat dont la CRL n'est pas fraîche est acceptable, avec un avertissement ZC25RN1 [N#1118] +sûr Release Notes v2.5 Une règle de Policy permet de transformer tous les refus en avertissement. Une règle de Policy permet de ne pas effectuer tous ces contrôles (tout en effectuant quand même les contrôles de base sur le certificat lui-même, comme les dates, les usages, etc.). Une bulle d'aide sur un certificat posant problème indique l'action à faire pour traiter le problème, si c'est possible. De plus, les certificats inaptes au chiffrement sont désormais affichés, et le message en bulle d'aide explique pourquoi. Nouvelles policies pour restreindre les possibilités d'ajouts d'accès [N#1123] De nouvelles règles de Policies permettent de masquer certains types d'ajouts d'accès (ajouts de mots de passe, ajouts depuis des fichiers certificats, ajouts depuis les magasins locaux de Windows, ajouts depuis un annuaire LDAP). De plus, si les Policies interdisent, de façon générale, les accès par mots de passe, alors l'ajout d'accès de ce type sera automatiquement désactivé. Idem si les Policies interdisent l'usage de porteclés RSA. Nouvelles fonctionnalités pour la préparation de masters d'installation [N#1062] [N#1156] déploiement! Le programme ZCSUP.EXE a été enrichi de nouvelles commandes ('transform', 'master) pour la préparation de masters. Elles permettent : La fabrication d'un package personnalisé français ou anglais L'ajout d'un fichier "logo" dans le package d'installation (rappel : ce logo est une image qui est affichée dans les fenêtres d'ouvertures de zones) L'ajout d'un fichier de policies personnalisé dans le package d'installation (ces policies seront automatiquement installées avec le logiciel) D'activer ou de désactiver l'installation des programmes d'administration Si ces programmes sont installés, de demander à ce qu'ils n'apparaissent pas dans le Menu Démarrer de Windows De ne pas afficher quelques pages de l'installation (page 'licence', page 'choix des composants'). Pour obtenir de l'aide sur ces commandes, taper "zcsup commande /?". Nota 1: auparavant, ZoneCentral installait quelques Policies par défaut (fichier DefaultPolicies.ini) à l'installation. Ce n'est plus le cas, ces valeurs par défaut ont été intégrées dans le logiciel. Nota 2 : l'installation de Policies à l'aide d'un fichier externe est toujours possible (msiexec /i zonecentral.msi ZC_POLICIES=<fichier>. Possibilité de ne pas afficher les messages d'ouvertures de zones Il est désormais possible de ne pas afficher les messages 'bulle' de la barre des tâches qui signalent les ouvertures de zones. Dans le cas de nombreuses zones chiffrées, ce message peut devenir intrusif et agaçant car, comme tous ces messages en barre des tâches, ils activent la barre Windows et prennent le focus. Cette configuration est possible grâce à une nouvelle option proposée à l'utilisateur dans l'onglet 'Options' du Moniteur ZoneCentral. Sa valeur peut être forcée par une Policy (et, dans ce cas, l'utilisateur ne peut pas modifier l'option). Nouvelles règles de Policies pour définir les fonctions affichées ou masquées aux utilisateurs De nouvelles règles de Policies ont été ajoutées dans la catégorie 'Outils et interfaces utilisateurs'. Elles influent sur les informations et opérations visibles par les utilisateurs dans les propriétés affichées dans l'Explorateur Windows : - Masquer l'onglet 'Chiffrement' des propriétés d'un dossier - Masquer l'onglet 'Accès' des propriétés d'une liste d'accès - Masquer l'opération de chiffrement - Masquer l'opération de déchiffrement ZC25RN1 [N#893] -instrusif… [N#933] contrôle +fin Release Notes v2.5 - Masquer les accès Masquer les opérations sur les accès Masquer les caractéristiques générales d'une zone Ne pas permettre le changement de label d'une zone ou d'une liste Masquer la création d'une zone claire Masquer les exceptions Masquer les opérations sur les exceptions Masquer l'affichage des sous-zones (cf. N#912 plus haut) Masquer l'onglet 'Accès Personnel' du Moniteur (cf. N#1012 plus haut) Désactiver le changement de mot de passe (cf. N#1012.2 plus haut) Rappel : ces Policies n'ont pour objectif que de simplifier l'interface utilisateur, pour masquer les opérations ou les informations que l'on peut juger trop complexes. Elles agissent sur les interfaces graphiques. D'un point de vue sécurité, pour réellement empêcher les opérations actives (chiffrer, déchiffrer, ajouter un accès, etc.), il faut définir un autre jeu de Policies prévu à cette effet, les 'restrictions' dans le groupe 'Droits d'Administration'. Effacement automatique du fichier d'hibernation au réveil ZoneCentral effectue maintenant un effacement par surcharge du contenu du fichier d'hibernation (hiberfile.sys) quand l'ordinateur sort d'une veille prolongée. [N#383] +sûr Cet effacement par surcharge n'est effectué que si les règles de Policies autorisent l'effacement par surcharge, et il est effectué avec les mêmes paramètres (nombre de passes et masque de surcharge). Partage en clair de zones chiffrées Normalement, ZoneCentral gère les partages en mode chiffré, même si les zones de ces partages ont été ouvertes par l'utilisateur sur le poste 'partageur'. Ceci permet d'assurer la confidentialité des données y compris sur le réseau, quand les données sont partagées vers d'autres utilisateurs (qui doivent alors disposer de ZoneCentral et d'une clé d'accès aux zones partagées). [N#1009] avec précautions! Un nouveau mode a été ajouté, pour permettre le partage "en clair" de zones chiffrées. Ce partage en clair ne peut avoir lieu que si l'utilisateur a ouvert la zone sur le poste 'partageur'. Ce mode est configurable globalement sur le poste (et non pas zone par zone ou partage par partage) avec une nouvelle règle de Policies dans la catégorie "Opérations fichiers et dossiers". La modification de cette règle n'est prise en compte qu'au redémarrage suivant. Si cette règle est activée sur un poste, le "zonage" à distance de ce poste n'est plus possible. Ce mode est à utiliser avec précaution, car il signifie que la sécurité est réduite au "poste éteint" : dès que le poste est allumé et qu'une zone est ouverte par son utilisateur, si cette zone est partagée, toute personne qui se connecte au partage sur le réseau a accès au contenu. Qualification de ZoneCentral avec les portes-clés électroniques de la société ActivCard ™ ZoneCentral a été qualifié avec les produits de la société ActivCard™ (cartes à mémoire et tokens USB), en mode PKCS#11 et en mode CSP. Le module PKCS#11 associé est désormais configuré par défaut dans ZoneCentral. La liste des portes-clés électroniques qualifiés et configurés par défaut dans ZoneCentral s'établit donc aux produits/marques/suivantes : ActivCard, CryptoFlex/CyberFlex (Schlumberger/Axalto), eToken (Aladdin), GemSafe (GemPlus), iKey2000/2032/3000 (Rainbow) marques déposées de leurs propriétaires respectifs. ZC25RN1 [N#970] compatibilité Release Notes v2.5 Affichage des dates de création et de changement des accès La date de création d'un accès (dans une zone ou dans une liste) est désormais conservée, de même que la date d'un changement de caractéristique de l'accès. [N#1098] +d'infos Ces dates (et heures) sont affichées en bulle d'aide dans les accès ou, pour l'outil de gestion de zones ZCEDIT dans les propriétés des accès. La date de changement est notamment utile dans le cas d'un accès par mot de passe, car cela permet de connaître la date du précédent changement de mot de passe. Affichage du certificat dans le Moniteur ZoneCentral Il est maintenant possible dans l'onglet clé d'accès du Moniteur d'afficher le certificat d'une clé d'accès RSA avec laquelle une zone a été ouverte (clé provenant d'un fichier de clés ou d'une carte à mémoire). Affichage du type de token PKCS#11 Dans la fenêtre d'introduction de clé (ouverture de zone, de liste, ou de conteneur chiffré), on affiche maintenant, en complément du label de la carte/token, le nom du fabricant et le numéro de série du token. Nouvelle règle de Policy "relaxer le contrôle <key usage> sur les certificats" Normalement, ZoneCentral n'accepte d'utiliser que les clés RSA dont le certificat autorise explicitement l'usage "Chiffrement" ou "Chiffrement de clé", ou ne l'interdit pas (absence de l'attribut <key usage>). Les autres clés d'accès RSA trouvées ou fournies (fichiers de clés, tokens, cartes à mémoires, CSPs) sont ignorées. [N#970] +d'infos [N#1019] +d'infos [N#1035] avec précautions! Cette règle permet de demander à ZoneCentral de relaxer ce contrôle et d'utiliser toute clé d'accès RSA adéquate, i.e. permettant effectivement d'ouvrir une zone ou un conteneur chiffré. Typiquement, cette règle sert dans le cas de clés RSA déployées dont l'usage initial prévoyait autre chose que le chiffrement (la signature). Son esprit n'est pas conforme aux usages, mais en regard du redéploiement d'un parc de certificats, elle peut être utile, sachant toutefois qu'il est à la charge de l'Administrateur de s'assurer auprès du Certificateur que ce contournement est acceptable (par le Certificateur dont la responsabilité est engagée sur les certificats qu'il émet). Cette évolution a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 241). Nouveaux messages dans l'Observateur d'Evénements De nouveaux événements sont enregistrés : - quand ZoneCentral détecte l'ouverture ou la création d'un fichier de pagination (swap) qu'il va maintenir chiffré - quand ZoneCentral a effacé avec surcharge le fichier d'hibernation. - sur toute opération concernant les accès de secours (cf. N#1054 plus) - sur toute demande de fermeture de toutes les zones - lors des changements de mots de passe - lors des opérations de synchronisation de listes d'accès personnelles Indication de zone ouverte dans les propriétés d'une zone Dans l'onglet 'Chiffrement' des propriétés d'un dossier chiffré, il est maintenant indiqué si la zone est ouverte ou non. Modification des accès (dans une zone, une liste, ou un conteneur) Les accès ajoutés ou modifiés sont désormais précisés par un astérisque tant que la modification n'a pas été validée avec le bouton <OK> ou <Appliquer> ZC25RN1 [N#1003] [N#1013] +de traces [N#1013] +d'infos [N#1060] +visuel! Release Notes v2.5 Nouvelle règle de Policies pour définir certains droits d'administration ou d'opérations sur zones [N#1011] +sûr La règle 'restreindre les modifications d'accès' a été ajoutée dans les Policies, dans le groupe 'Pouvoirs d'Administration'. Elle se configure de la même manière que les autres (liste de groupes et/ou d'utilisateurs Windows, locaux ou du domaine seuls autorisés à effectuer l'opération). Cette nouvelle règle vient compléter les règles existantes sur les accès (ajout ou suppression) pour ce qui concerne la modification des accès existants, en termes de rôles ou de label. Il est à noter qu'elle ne s'applique pas au changement de mot de passe d'un accès par mot de passe, afin de permettre le changement du mot de passe par l'utilisateur dans tous les cas. Mode d'exécution 'rapide' de l'Assistant ZoneCentral pour chiffrer, déchiffrer, transchiffrer… [N#1105] +rapide L'Assistant ZoneCentral est chargé des opérations sur les zones, c'est-à-dire créer une zone chiffrée (en chiffrant tout son contenu), la déchiffrer, la transchiffrer, etc. Ces opérations modifient les contenus des fichiers des utilisateurs, c'est pourquoi l'Assistant a été conçu pour résister à tout problème impromptu, notamment les coupures de courant. La traitement d'un fichier à transformer est donc extrêmement rigoureux : création d'une copie de secours, relecture de la copie de secours et comparaison avec l'original, chiffrement de l'original, relecture de l'original chiffré, déchiffrement et comparaison avec la copie de secours en clair, puis effacement sécurisé par surcharge de la copie de secours en clair. Toutes ces étapes s'effectuent sans "cache-disque" pour s'assurer la réelle écriture sur le support. De cette façon, toute interruption, même brutale, de la transformation n'entraîne aucune perte de données. Ce mode de traitement a pour conséquence de ralentir la procédure. Un nouveau mode d'exécution permet d'accélérer le processus, au prix d'une sécurité moindre en cas de défaillance (les conséquences seront les conséquences habituelles de toute opération fichier avec une coupure de courant au milieu), car il n'y a plus de copie de secours. Ce mode peut être utilisé quand : - lors du chiffrement initial d'un poste de travail, on en a effectué une sauvegarde au préalable ; - on est en condition d'énergie fiable, et le mode 'suspension' est désactivé ; - on n'utilise pas, par ailleurs, en même temps, des applications susceptibles d'entraîner un arrêt brutal de la machine. Pour utiliser ce mode, spécifier l'option –quick au lancement de ZCAPPLY.EXE. Ce mode n'est pas disponible via les opérations proposées en administration 'in-place' (propriétés des dossiers). Rappel : pour connaître les différentes options d'activation de l'Assistant ZoneCentral, utiliser ZCAPPLY /?, qui affiche une page HTML d'aide. Déchiffrement d'autres profils utilisateurs que le sien Lors d'un déchiffrement, les répertoires d'autres utilisateurs ne sont plus ignorés comme précédemment. Ainsi si l'utilisateur a les droits Windows et les accès ZoneCentral nécessaires, il peut déchiffrer le poste complet en une seule fois. ZC25RN1 [N#1107] Release Notes v2.5 Nouvelle règle de Policies pour autoriser les accès par mots de passe pour les conteneurs chiffrés uniquement [N#1119] +souple Cette nouvelle règle permet de continuer à interdire les accès par mots de passe pour les zones chiffrées, tout en les autorisant pour les conteneurs chiffrés, car, pour les échanges avec des tiers, il est fréquent que l'utilisation de mots de passe soit plus simple. Le message "fermer la zone ouverte" au cours de l'exécution de l'Assistant de chiffrement est désormais temporisé [N#1032] +pratique Ce message interrompait la procédure en attendant une réponse. Si l'utilisateur s'est absenté (sachant qu'une procédure de chiffrement peut être longue), le message attendra désormais 15 secondes maximum avant de poursuivre le processus, en fermant la zone. L'utilisateur est notifié quand il utilise un certificat périmé qui est accepté grâce au délai de grâce [N#799] Cette notification est émise par une bulle dans la barre des tâches de Windows, pour lui rappeler que son certificat est périmé, et qu'il ne sera accepté que pendant un certain nombre de jours. L'objectif de ce message est de l'inviter à renouveler son certificat dans les meilleurs délais. Copies de zones en mode 'raw' (interventions d'exploitation sans fournir d'accès) Il est désormais possible de copier une zone chiffrée mise en mode 'raw' vers un emplacement cible également mis en mode 'raw'. Cette opération s'effectue sans fournir de clés d'accès, le mode 'raw' signifiant justement que les accès aux fichiers s'effectuent en chiffré, sans "droit d'en connaître". L'objectif de ce mode est de permettre à un exploitant bureautique/technique de copier un disque vers un autre (pour remplacement, par exemple), sans disposer de codes d'accès. ZC25RN1 [N#1100] Release Notes v2.5 Corrections ou améliorations Compatibilité avec l'antivirus E-TRUST™ de Computer Associates Cet anti-virus posait quelques problèmes d'interopérabilité avec ZoneCentral dans le cas de zones chiffrées en réseau. Le problème a été contourné par ZoneCentral, et la cohabitation des deux produits ne pose plus de problèmes. Amélioration des libellés de zone automatiques Les libellés de zones automatiquement définis lors de la création des zones sont désormais choisis plus judicieusement pour certaines zones spéciales. Pour un profil utilisateur, par exemple, le libellé sera "login (nom du profil)". [F#1028] compatibilité [F#1085] [F#832] De plus, le transchiffrement conserve désormais les libellés de zone alors qu'auparavant il les réinitialisait. Règles de Policies sur les "accès personnels" déplacées Ces règles se trouvaient sous "Outils et interfaces utilisateurs", elles ont été déplacées dans la rubrique "Règles Spéciales/Avancées", à coté des autres règles spécifiant les modes de gestion des listes d'accès. Amélioration de l'utilisation des CSPs Il est maintenant possible, après avoir refusé d'utiliser une clé dans un CSP (par <annuler> dans la fenêtre de saisie du code PIN, par exemple), d'essayer d'autres solutions CSP (s'il y en a), voire d'aboutir à la fenêtre d'ouverture de ZoneCentral, ce qui permet d'essayer d'autres types de solutions (fichiers de clés, mots de passe, etc.). Amélioration de l'utilisation des tokens PKCS#11 Quand un token PKCS#11 est déjà ouvert (code PIN saisi), ZoneCentral n'affiche plus la fenêtre d'ouverture de zone et l'utilise directement si le token contient une clé valide pour la zone ou le conteneur à ouvrir. [F#1165] +clair [F#795] utile! [F#856] mieux! En effet, certains modules PKCS#11 considèrent l'ouverture (i.e. la fourniture du code PIN) comme étant 'globale' (session-wide voire system-wide), d'autres ont des comportements plus restrictifs (ouverture valide uniquement pour l'application ayant fourni le code PIN), la plupart sont configurables. Si, donc, le token PKCS#11 est déjà ouvert (par ZoneCentral, par le login Windows par carte, ou par une autre application), ZoneCentral le détecte et ouvre automatiquement la zone ou le conteneur chiffré, sans demander le code PIN. Auparavant, la fenêtre d'ouverture de zone était quand même affichée (inutilement), et de plus il était possible de saisir un code PIN faux car le token ne le vérifiait pas (car il était déjà ouvert). Remarque importante : en corollaire de cette modification, quand ZoneCentral effectue une fermeture de la clé d'accès, il effectue une fermeture effective et véritable du token, ce qui forcera véritablement la re-saisie du code PIN à la prochaine utilisation du token, par ZoneCentral ou par une autre application. Problèmes de langue avec une installation administrée "en réseau" (setup /a) La gestion des langues était incorrecte dans le cas de l'exécution de la commande "setup /a", les ressources extraites étant globalement en anglais, sauf quelques-unes en français. Désormais, l'extraction est correctement multi-langues, MAIS le fichier zonecentral.msi extrait est en anglais (comportement standard de ce type de procédure). Pour obtenir l'équivalent en français, il est nécessaire d'appliquer une "transformation" à ce fichier : zcsup transform zonecentral.msi –t 1036.mst Le fichier 1036.mst peut être récupéré dans le dossier Windows/DownloadedInstallations. ZC25RN1 [F#1142] Release Notes v2.5 Blocage possible lors de la synchronisation d'un profil itinérant chiffré Ce blocage peut se produire à l'ouverture ou à la fermeture de session sur le profil itinérant chiffré (pas systématiquement), et pouvait également se produire (très rarement) lors d'une fermeture de zone (toutes causes de fermetures). [F#1072] important! Ce problème a été corrigé. Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 243). Message "Impossible de mettre à jour le profil local" lors d'une ouverture de session avec un profil itinérant [F#1048] important! Avec un profil itinérant chiffré et des Policies interdisant à l'utilisateur la création de zones chiffrées, ce message apparaissait lors de certaines ouvertures de session (la première sur un poste n'ayant jamais hébergé le profil itinérant). ZoneCentral essayait en effet de chiffrer la partie fixe (et locale) du profil qui est créée à cette occasion, mais ne pouvait le faire à cause de la règle en Policies. Ce problème a été corrigé en acceptant ce cas précis de création de zone chiffrée. Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 243). Dans certains cas (rares), le chiffrement est refusé pour cause de 'fichier non trouvé' [F#1131] Ce cas se produit lorsque la base de Registres contient, pour des raisons inconnues, des profils utilisateurs 'fantômes'. (la clé HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/ProfilList mentionne des profils dont certaines valeurs descriptives manquent, notamment le "Sid"). Le chiffrement utilise cette ressource pour énumérer et détecter les dossiers des profils utilisateurs, pour appliquer la stratégie de chiffrement adéquate. Ce problème a été corrigé, ces entrées 'non-conformes' sont ignorées. Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 244). Erreur avec la commande XCOPY La commande XCOPY du système pouvait par erreur copier des fichiers vers une zone chiffrée sans les chiffrer (copie "raw"). Les fichiers semblaient alors corrompus si on essayait de les ouvrir normalement, puisqu'ils étaient en fait en clair. Ce problème a été corrigé. [F#1048] important! Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 241). Problème "impossible de chiffrer sans exceptions par défaut" Ce problème survenait quand les Policies par défaut de ZoneCentral n'avaient pu être installées, la plupart du temps parce que l'installation avait été faite sur un poste (portable) membre d'un domaine, et alors qu'il n'était pas connecté au domaine (il est interdit de modifier les Policies dans ce cas, et donc de les installer). Grâce à la modification précédente (intégration des Policies par défaut dans le logiciel et suppression donc de leur installation), ce problème est résolu. Perte de certaines Policies lors d'une mise à jour de ZoneCentral La mise à jour majeure du produit effectue une désinstallation et une réinstallation (enchaînées) complètes. La désinstallation, dans ce cas, n'effaçait pas les Policies qui avaient pu être configurées, mais la réinstallation forçait l'installation des Policies par défaut de ZoneCentral, et donc, pour les quelques règles concernées, la personnalisation éventuelle qui en avait été faite était perdue. Ce problème est résolu par la suppression des Policies par défaut de ZoneCentral. ZC25RN1 [F#1062] important! [F#945] important! Release Notes v2.5 Perte des 'préférences utilisateur' lors d'une mise à jour La mise à jour de ZoneCentral effaçait malencontreusement les 'préférences utilisateur' mémorisées dans la base de registre : clés utilisés pour ouvrir les zones, positions des fenêtres, etc. Ce problème a été corrigé. Problème d'ouverture d'un profil itinérant chiffré, la première fois, immédiatement après une installation de ZoneCentral [F#1001] +pratique! [F#1069] Situation : un profil itinérant est chiffré sur le serveur qui l'héberge. Par ailleurs, ZoneCentral est installé sur le poste de l'utilisateur concerné. La première ouverture de session Windows va échouer. Le problème ne se reproduira plus ensuite. Il est lié à un défaut d'installation des Policies par défaut de ZoneCentral lors de l'installation. Dès le second redémarrage du poste, le problème disparaît, car ZoneCentral détecte et corrige ce problème de Policies. Le problème ne peut plus se produire avec la nouvelle stratégie de ZoneCentral concernant les Policies par défaut. Améliorations du comportement de l'Assistant ZoneCentral en cas de fichiers ouverts Auparavant, quand l'Assistant rencontrait un fichier ouvert (qu'il ne peut donc pas chiffrer), l'utilisateur était invité à fermer l'application concernée. S'il n'y parvenait pas, le dossier en entier devenait une zone en clair (explicite), et l'Assistant poursuivait son travail sur les autres dossiers. [F#1108] [F#1109] +fin Désormais, quand l'utilisateur ne parvient pas à déterminer et fermer l'application qui bloque le fichier, le dossier est quand même traité, et le fichier en question passe en "exception" (fichier non chiffré, exception locale uniquement). De plus, si, par la suite, on effectue une "vérification" de la zone (nouveau service décrit plus haut), alors cette exception non-conforme aux Policies sera détectée et ZoneCentral essayera alors de chiffrer le fichier pour retirer l'exception. A ce moment, il est probable que le fichier sera disponible. Cas particulier du dossier 'temporaire' du profil utilisateur : il est fréquent que des fichiers soient ouverts dans ce dossier. ZoneCentral adopte un comportement particulier pour ce dossier : les fichiers ouverts sont ignorés (non chiffrés), mais ne sont PAS mis en exception. En effet, par définition, les fichiers temporaires sont temporaires et n'ont plus de signification après une fermeture de session ou un redémarrage du poste. Icônes de dossiers avec 'cadenas' maintenant affichées aussi pour les partages [F#1015] mieux! De façon générale, les icônes de ZoneCentral sur les dossiers (chiffrés ou en clair) s'appliquent désormais aussi pour les dossiers partagés, en conservant aussi la représentation du partage (icône de dossier + marque 'main' de partage + marque 'cadenas' de chiffrement). Auparavant, quand une marque de partage était affichée, ZoneCentral n'affichait pas sa propre marque. Amélioration de la gestion des copies de sauvegarde de la liste d'accès personnelle Cette copie de sauvegarde est maintenant effectuée de façon plus systématique, lors de chaque opération utilisant la liste, avec vérification de la présence de la copie de sauvegarde, en tenant compte des changements d'emplacement éventuels dans les Policies. ZC25RN1 [F#1022] important Release Notes v2.5 La règle de Policy "restreindre la création de zones chiffrées" ne fonctionne pas [F#1050] important! Il y avait une erreur dans le fichier "modèle d'administration" (zc_policies.adm), qui faisait que cette règle était inopérante. Î Si vous mettez en œuvre les Policies sur un Contrôleur de Domaine, veillez à remplacer ce fichier "modèle d'administration" (ce qui est à faire de toutes façons pour toute mise à jour de ZoneCentral). Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 243). Fermetures de zones impromptues à cause des séquences de touches rapides [F#1093] déroutant… Il est possible de définir une séquence de touches "d'urgence" pour fermer toutes les zones et les clés d'accès ouvertes de ZoneCentral (fermeture rapide quand on quitte son poste de travail un moment). Il existe deux séquences possibles : Ctrl + ² et triple-appui sur Ctrl. Cette dernière séquence avait un effet de bord déroutant lorsque la configuration clavier du poste était réglée avec un mode de "répétition" très rapide (appui long sur le touche 'a' produit 'aaaaaaaa'). En effet, quand l'utilisateur utilise les raccourcis clavier comme Ctrl+S (sauver) ou Ctrl+C (copier) etc., il se peut qu'il maintienne la touche Ctrl appuyée un certain temps pour ce faire, ce qui déclenche de façon impromptue la fermeture de zone ! Ce point a été corrigé, la détection de la séquence d'urgence tient compte désormais des appuis et des relâchements de la touche Ctrl pour la séquence triple-Ctrl. Améliorations diverses dans l'édition des accès 1/ Sur création d'une liste d'accès depuis un fichier vide (ex: 'Bureau-Nouveau document-liste.txt' renommé en liste.zaf), en accédant ensuite aux accès de cette liste par l'onglet 'Accès' des propriétés du fichier, l'ajout d'un accès par mot de passe ne fonctionnait pas. [F#1075] [F#1077] 2/ On ne peut plus enregistrer une liste d'accès ou une modification des accès d'une zone s'ils ne contiennent que des accès 'obligatoires' (mandatories) et aucun accès utilisateur. L'enregistrement ne sera accepté que s'il y a au minimum un accès avec rôle 'administratif' en plus des accès obligatoires. 3/ Lors de la création d'une liste d'accès depuis l'Explorateur (création d'un fichier .zaf vide, puis accès aux propriétés), il était possible de valider l'enregistrement de la liste même si une liste d'accès obligatoire définie en Policies n'était pas trouvée. Ce point a été corrigé. Message d'erreur dans certains cas de glisser/déplacer d'un fichier d'un conteneur chiffré vers un autre [F#772] rare Il pouvait y avoir un message d'erreur "tentative d'utilisation d'un objet qui a cessé d'exister" (!) , quand on transférait un fichier d'un conteneur vers un autre. Cela ne se produisait que quand les fenêtres d'exploration des conteneurs étaient affichées en mode 'détail'. Ce problème a été corrigé. Sélection de modèles de chiffrement par l'utilisateur : les modèles étaient affichés avec leurs variables d'environnement Quand des modèles de chiffrement sont définies dans les Policies, ils peuvent contenir des variables d'environnement (ex: %USERNAME%), ce qui permet d'adapter le modèle à l'utilisateur ou à l'ordinateur concerné. Quand plusieurs modèles sont définis et possibles, le choix du modèle est laissé à l'utilisateur (ex: Ma liste Personnelle / MARKETING / Groupe de travail GDT). La fenêtre qui proposait ce choix ne résolvait pas les variables d'environnement avant ZC25RN1 [F#1051] mieux! Release Notes v2.5 l'affichage (mais après), et l'utilisateur voyait donc ces variables, ce qui était peu sympathique. Message "pas de certificat valide ou utilisable" dans les ajouts d'accès par certificats [F#993] pénible Lors d'un ajout d'accès par certificat à une zone ou à un conteneur chiffré, on pouvait avoir un message en trop "pas de certificat valide ou utilisable", bien que des certificats soient tout de même proposés. Ce problème n'avait pas de conséquences puisque les certificats étaient quand même utilisables, mais le message d'erreur était en trop. Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 241). L'outil de gestion des zones (ZCEdit) ne se lance pas si… L'outil de gestion des zones (ZCEdit) refusait de se lancer si deux serveurs LDAP de même nom étaient configurés dans les préférences ZCEdit et dans les Policies. Problème Explorateur Windows dans un cas très particulier Un arrêt de l'Explorateur Windows pouvait survenir dans l'onglet 'accès' d'une zone lorsque le menu contextuel (click-droit) restait ouvert très longtemps et que, par ailleurs, une modification avait lieu dans le dossier (modification qui entraînait une réactualisation des propriétés affichées alors que le menu contextuel était ouvert). Problème assez rare et sans conséquences. Améliorations diverses dans la fenêtre d'ouverture de zones 1/ Dans les fenêtres d'ouverture de zones ou de conteneurs, le fait d'ouvrir avec une carte/token effaçait la mémorisation éventuelle d'une précédente ouverture par un fichier de clé. Les différentes solutions utilisées sont désormais mémorisées pour pouvoir les suggérer à l'avenir à l'utilisateur. Cette amélioration sert dans des cas rares d'utilisation mixte d'une même zone par des utilisateurs différents équipés de porte-clés différents. [F#1043] rare [F#1024] bug… [F#1005] [F#1006] [F#1007] [F#971] 2/ De plus, on vérifie désormais que le ou les fichier de clés proposés (mémorisés avec l'ouverture précédente) existent (ou sont disponibles). Sinon ils ne sont plus proposés. 3/ Quand aucune clé valide n'est trouvée dans un fichier de clé ou un token, et si le fichier ou le token contiennent un certificat périmé, le message d'erreur "pas de clé utilisable" précise désormais qu'une cause possible peut être le certificat périmé. 4/ Quand il n'y a pas d'accès par mot de passe, le bouton est grisé dans la fenêtre d'ouverture, mais le cyclage par Ctrl-Tab ou l'accélérateur Ctrl-P permettait quand même d'afficher la page (idem pour les autres modes d'accès). Aide descriptive des Policies Certaines explications de règles dans les Policies ont été étoffées dans le configurateur de Policies (GPEDIT). Impossible de ne spécifier qu'une seule des trois listes de "modèles de chiffrement" [F#1045] doc [F#1179] Ces trois listes (modèles pour zones normales, zones sur tokens USB et conteneurs chiffrés) étaient regroupées dans un même groupe dans GPEDIT, et cet outil ne permet pas, dans ce cas, de n'en valoriser qu'une seule. Désormais, elles ont été séparées et mises dans trois groupes différents. Policy de "stratégie alternative de verrouillage" : impossible de spécifier plusieurs règles pour le même serveur Cette policy est une liste de couples (serveur, type de fichier). La syntaxe des policies est telle que le premier élément du couple doit être unique, ce qui empêchait de spécifier à la fois ("myserver", "*.pst") et ("myserver", "*.pab"). Désormais, il est possible de spécifier une liste de types de fichiers, séparés par des points-virgules, comme ("myserver", "*.pst; *.pab"). ZC25RN1 [F#1145] Release Notes v2.5 Message "aucun recouvrement défini" dans ZCEDIT [F#1120] Ce message pouvait apparaître en barre d'état alors qu'il y avait bien un recouvrement défini. Import/export et valeur 'vide' dans les Policies [F#1044] Les commandes d'import et d'export de Policies ne géraient pas correctement la valeur 'vide'. Lors de l'import, cette valeur était considérée comme équivalente à 'Non configurée', ce qui peut être erroné, notamment pour les policies de restriction de pouvoir d'administration. Cas particulier de tokens PKCS#11 incorrectement formatés [F#1049] spécial Certains tokens PKCS#11 ne sont pas 'formatés' de façon suffisante pour permettre leur utilisation de ZoneCentral. Cette correction traite le cas précis de tokens pour lesquels la clé privée RSA ne possède pas l'attribut lui permettant d'effectuer un déchiffrement. Attention: n'activer cette procédure que dans le cas d'un parc de tokens déjà déployé. Il est préférable d'aller traiter le problème à sa source, i.e. dans le modèle de personnalisation des tokens. Si, et seulement si, la clé de Registry : "HKEY_LOCAL_MACHINE/Software/PrimX/ZoneCentral/Special" (de type DWORD) est présente et vaut 1, alors, si l'attribut CKA_DECRYPT d'une clé RSA utilisable pour une ouverture de zone est absent ou vaut "CK_FALSE" (dans le token), cet attribut est automatiquement modifié avec la valeur "CK_TRUE" par ZoneCentral, dans le token. Multi-modules PKCS#11 (différents) simultanés Si plusieurs modules externes PKCS#11 sont configurées et utilisés SIMULTANEMENT (présence de plusieurs tokens), il pouvait y avoir, pour certaines combinaisons de modules PKCS#11, quelques dysfonctionnements sur la détection de tokens présents par ZoneCentral (en fait, certains pouvaient ne pas être détectés). En cas de module PKCS#11 défaillant… La configuration en Policy d'un module PKCS#11 existant mais non-conforme aux standards provoquait une erreur dans ZoneCentral. Ce cas est mieux géré et le module est désormais ignoré. Consommation CPU/Mémoire intensive du processus ZCU.EXE en cas de clé CSP absente [F#1039] rare! [F#975] rare! [F#986] bug! Dès qu'on tente d'ouvrir une zone chiffrée présentant un accès par clé RSA dont le certificat correspondant figure dans le magasin CSP "Personnel", sans que la clé privée correspondante soit disponible, le processus ZCU.EXE boucle et donc ne répond plus. Ce problème a été corrigé. Condition d'apparition du problème : Les accès par CSP doivent être actifs ; le certificat doit figurer dans le magasin "Personnel"; la clé privée ne doit pas être disponible; il faut parcourir ou ouvrir une zone offrant un accès avec ce certificat. Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 241). Problème CSP dans la fenêtre de création de la liste d'accès personnelle Dans la création de liste d'accès personnelle, si une clé CSP est introduite PENDANT que la fenêtre est affichée, la fenêtre ne répond plus. Ce problème a été corrigé. Cette correction a donné lieu à l'émission d'un patch pour la version 2.1 (tous builds >= 241). ZC25RN1 [F#990] bug! Release Notes v2.5 Amélioration du mode CSP En mode CSP, il est maintenant possible d'ouvrir une zone avec un accès CSP utilisant un certificat distinct de celui qui avait servi à définir l'accès dans la zone (s'il porte sur la même clé RSA et s'il est valide). [F#992] utile dans certains cas C'était déjà possible avec les porte-clés fichiers et PKCS#11, mais pas avec les CSPs. Amélioration du mode CSP (2) Quand on annulait une validation de clé par un CSP (pour ouvrir une zone, une liste ou un conteneur chiffré), on pouvait avoir ensuite, en fonction des cas et des CSPs utilisés, un ou deux autres essais qu'il fallait aussi annuler. Contrôle de force des mots de passe avec ZCACMD [F#1147] oubli! © Prim'X Technologies 2005. Prim'X Technologies, ZoneCentral et Zed! sont des marques déposées de Prim'X Technologies SA. Toutes les autres marques citées sont des marques déposées de leurs propriétaires respectifs - Reproduction interdite La console d'administration ne contrôlait pas les forces de mots de passe (lors d'ajouts d'accès). Ce point a été corrigé. [F#994] mieux! ZC25RN1 Siège : 10 place Charles Béraudier 69428 Lyon Cedex 03 - Tél. : 04.26.68.70.02 - Fax : 04.26.69.70.04 Service Commercial : 42 avenue Montaigne 75008 Paris - Tél. : 01.72.74.11.59 - [email protected] © Prim'X Technologies 2005. Prim'X Technologies, ZoneCentral et Zed! sont des marques déposées de Prim'X Technologies SA. Toutes les autres marques citées sont des marques déposées de leurs propriétaires respectifs - Reproduction interdite Release Notes v2.5 Siège : 10 place Charles Béraudier 69428 Lyon Cedex 03 - Tél. : 04.26.68.70.02 - Fax : 04.26.69.70.04 Service Commercial : 42 avenue Montaigne 75008 Paris - Tél. : 01.72.74.11.59 - [email protected]