Fix Notes ZoneCentral 3.0 (PX78073r512)

Fix Notes 3.0 Build 512
Prim'X Labs, Lyon, le 2 Septembre 2008,
Versions concernées
Cette fix-notes concerne ZoneCentral 3.0 et ZoneExpress 3.0.
Toutes les évolutions/corrections référencées sont présentes dans les versions supérieures.
Le status de la version 3.0 est : « maintenance corrective » :
La version 3.0 est maintenue, mais les fix se limitent aux corrections sanitaires ou de sécurité.
La version actuelle de ZoneCentral est la version 3.1.
Fix Build 512
2 Septembre 2008
Packaging : possibilité de changer le ‘ProductName’
Il est désormais possible de modifier la propriété interne ‘ProductName’ des packages .msi des
produits (avec des outils comme Orca). L'usage semble être de modifier "ZoneCentral" en, par
exemple "ZoneCentral package du tant" ou "ZoneCentral build XXX" ou autre, de façon à aisément
identifier à la fois le build et la customisation dans le panneau "Ajouter/Supprimer des Programmes",
et aussi de permettre à des outils de télé-gestion de se baser sur leurs propres règles de nommage
de packages installés pour leurs opérations.
[E#2766]
télé-diffusion
ÎA noter que les versions précédentes ne supportaient pas cette opération, et qu’il pouvait y avoir
des conséquences négatives, notamment après la désinstallation. Ce build correctif fait que cela
n'arrivera plus, MAIS NE PEUT CORRIGER CE QUI EST DEJA INSTALLE.
*** IMPORTANT ***
Si la propriété "ProductName" dans un .msi a été modifiée "en force" sur des packages qui sont
maintenant installés, à une période où ces packages ne supportaient pas officiellement cette
opération (<ce build), une mise à jour ne réparera pas, mais au contraire PROVOQUERA le
problème; il faut procéder d'abord à une manipulation de Registry préalable assez simple. Vous
pouvez contacter le support qui vous guidera pour cette opération.
Problème PKCS#11 avec GemSafe 5.x
Contournement d'un problème de compatibilité avec GemSafe 5.x en mode Pkcs#11, qui retourne
une erreur inattendue lors des recherches de clés dans la carte, et donc les clés et certificats dans
les cartes ne pouvaient être détectés.
[F#2810]
compatibilité
Le comportement pouvait varier en fonction des types de cartes GemSafe.
Fix Build 511
Blocage après l’enregistrement d’un document Office
Lors de l’enregistrement de documents Office, il arrivait parfois (race conditions) sur certaines
configurations que le poste se bloque. Le document était quand même enregistré, mais un
redémarrage était nécessaire. Cette anomalie a été corrigée.
Amélioration de la gestion des postes multi-utilisateurs
L’assistant de chiffrement CryptUpdate pouvait demander d’effectuer des mises à jour techniques
inutiles sur des postes multi-utilisateurs chiffrés. Cette anomalie est corrigée.
Message d’erreur lorsque la cible d’une redirection de dossier n’existait pas
L’assistant de chiffrement CryptUpdate affichait une erreur lorsqu’une des redirections de dossier
d’un utilisateur pointait vers un emplacement inexistant. Cette erreur est maintenant ignorée et ne
gêne plus la mise en conformité d’un poste.
Fix Notes ZoneCentral 3.0 (PX78073r512).doc
4 Juin 2008
[F#2748]
rare
[F#2757]
mineur
[F#2758]
Fix Notes 3.0 Build 512
Erreur système dans des cas très rares de renommage de dossier (constaté
uniquement avec WinMail sur Vista SP1)
[F#2686]
très rare
Un BSOD pouvait apparaitre dans des cas très rares de renommage de dossier. Cette anomalie,
constatée une seule fois avec l’application WinMail sur Vista SP1, a été corrigée.
Fix Build 510
17 Avril 2008
Compatibilité avec Vista SP1
Des accès fichiers (enregistrement) pouvaient échouer sur un poste équipé de Vista SP1. Cette
anomalie a été corrigée.
[E#2727]
[E#2721]
Vista SP1
Note : l’installation du Service Pack 1 sur Vista doit être réalisée dans certaines conditions : le profil
administrateur sous lequel l’installation est faite doit être en clair ; et si la racine système (C:\ en
général) est chiffrée, alors la clé sera demandée lors de l’installation.
Amélioration de la compatibilité avec Office OneNote 2007
Il est maintenant possible d’utiliser des bloc-notes chiffrés sur le réseau, partagés entre plusieurs
utilisateurs.
Amélioration de la compatibilité avec GemSafe 5.1
Contournement d’un problème relatif au middleware GemSafe 5.1 (librairie gclib.dll) qui provoquait
une erreur système dans le processus zcu.exe de ZoneCentral. GemSafe 5.1 est maintenant
utilisable en mode PKCS#11 (il n’y avait pas de problème connu en mode CSP).
Détection d’un dossier CSC (cache des fichiers disponibles hors connexion)
redirigé sous Vista
[E#2665]
compatibilité
[E#2736]
compatibilité
[F#2728]
Vista
Sous Vista, ZoneCentral ne gérait pas la configuration (assez rare) d’un dossier CSC situé dans un
emplacement non standard (autre que C:\Windows\CSC). Le service de disponibilité hors connexion
des fichiers réseau ne fonctionnait donc pas lorsque ce dossier était chiffré. Cette anomalie a été
corrigée.
L’interdiction d’utilisation de mots de passe (politique P101) empêchait
l’utilisation d’un Laisser-passer temporaire (mode OTA)
[F#2715]
OTA
Lorsque la politique P101 (« Interdire les accès par mots de passe pour ouvrir les zones ») était
activée, un Laisser-passer temporaire ou un mot de passe de secours saisis ne permettaient pas
d’ouvrir les zones chiffrées. Ca n’est plus le cas : la P101 ne gêne plus l’assistance d’un utilisateur.
Le mode OTA est par ailleurs désactivable explicitement avec la politique P264.
Configuration d’accès obligatoires de type certificat avec un chemin absolu
réseau : en mode déconnecté, les accès obligatoires n’étaient pas trouvés
La politique P131 (« Accès obligatoires ») permet d’indiquer un chemin absolu pour retrouver le
fichier contenant l’accès obligatoire. Lorsque c’était le cas avec des fichiers de type certificat, des
erreurs pouvaient apparaitre lorsque le poste était déconnecté. Ces fichiers n’étaient en effet pas
recherchés également dans le cache local. Cette anomalie a été corrigée.
[F#2730]
cas
particulier
Note : cette anomalie ne concernait pas les accès obligatoire de type liste d’accès.
L’ouverture de zone en mode SSO (politique P110) échouait parfois
Dans certaines conditions (race condition), l’accès SSO ne permettait pas d’ouvrir automatiquement
les zones. Un mot de passe était alors explicitement demandé à l’utilisateur. Il fallait fermer puis
rouvrir la session pour retrouver les ouvertures de zones automatiques. Cette anomalie a été
corrigée.
Sur un poste chiffré multi-utilisateurs, le dossier All Users\Documents ne
contenait que l’accès du premier utilisateur
Fix Notes ZoneCentral 3.0 (PX78073r512).doc
[F#2724]
rare
[F#2711]
Fix Notes 3.0 Build 512
L’assistant de chiffrement ne mettait pas à jour ce dossier avec l’accès d’un nouvel utilisateur lors de
sa première connexion. Ce dossier était alors réservé uniquement au premier utilisateur. Cette
anomalie a été corrigée.
Amélioration de l’ergonomie lors de la sélection d’un certificat comme accès
personnel
multiutilisateurs
[E#2709]
Lorsque le porte clés de l’utilisateur (token, carte à puce, fichier pfx) contient plusieurs certificats,
certains valides et d’autres non, le ‘meilleur’ certificat éligible comme accès personnel est
maintenant automatiquement proposé par défaut.
Non détection de clés USB introduites et des touches de fermeture rapide
(politique P151) quand le service Terminal Server est désactivé
[E#2568]
Quand le service Terminal Server est arrêté ou désactivé (sous XP, 2003), les clés mémoire et les
séquences de touche sont en réalité bien détectées, mais certains services système de Windows
utilisés par ZoneCentral ne fonctionnent pas, empêchant ZoneCentral de savoir à quelle session
utilisateur il faut rapporter l’évènement. Une stratégie alternative a été mise en place pour cette
détermination.
Icône des dossiers d’un conteneur chiffré
Zed ! réutilisait l’icône du dossier Windows pour les icônes des sous-dossiers de conteneurs, ce qui
pouvait poser problème quand le dossier de Windows était personnalisé avec une icône spéciale,
comme un ‘sens interdit’. Désormais Zed ! récupère l’icône système des dossiers autrement.
La commande ‘zcacmd defrag’ échouait dés qu’elle rencontrait un dossier interdit
par les ACLs Windows
Cette commande technique (qui permet d’éliminer les zones redondantes) échouait lors de son
parcours d’arborescence sur le premier dossier inaccessible rencontré. Les dossiers suivants
n’étaient donc pas traités. Cette anomalie a été corrigée : la commande ignore les dossiers à
problème et continue son traitement.
L’explorateur Windows pouvait brièvement clignoter lorsqu’une politique
(ZoneCentral ou non) était modifiée
[F#2662]
cas très
particulier
[F#2726]
commande
technique
[F#2718]
mineur
La modification d’une politique sur le poste (politiques locales ou domaine) pouvait provoquer un
rafraichissement de l’explorateur. Cette anomalie a été corrigée.
Fix Build 508
23 janv. 2008
Sur Windows 2000, les ouvertures de zones utilisant des listes d’accès stockées
sur un partage serveur pouvaient échouer
L’ouverture d’une zone référençant une liste d’accès présente sur un emplacement serveur pouvait
échouer sur Windows 2000. Les autres systèmes d’exploitation ne sont pas concernés par cette
anomalie, qui a été corrigée.
[E#2640]
W. 2000
uniquement
Cette anomalie est une régression liée uniquement au Build 505.
Les versions précédentes ne sont pas concernées par cette anomalie.
Des archives inutiles pouvaient être créées lorsque la politique P343
(‘Export/sauvegarde automatique de la carte des zones’) était activée
L’activation de la politique P343 pouvait conduire à la production de fichiers d’archive de cartes des
zones inutiles, et donc consommer inutilement de l’espace disque. Cette anomalie a été corrigée.
Fix Notes ZoneCentral 3.0 (PX78073r512).doc
[E#2568]
mineur
Fix Notes 3.0 Build 512
Fix Build 505
18 oct. 2007
En mode clé d’accès personnelle (P128), détection et suppression des clés
personnelles obsolètes dans les zones
[E#2254]
pratique
L’agent CryptUpdate détecte maintenant dans les zones chiffrées la présence d’anciens accès
utilisateur. Il supprime alors ces accès, en s’assurant que l’utilisateur possède bien un accès dans la
zone chiffrée concernée.
Le changement de clé personnelle a de plus été amélioré : il traite maintenant tous les chemins
indiqués en consignes de chiffrement, même les chemins réseau. Auparavant, seuls les
emplacements locaux étaient traités.
Cette modification ne concerne que le mode « clé d’accès personnelle » (politique P128) et ne
concerne pas le mode « liste d’accès personnelle » (politique P123).
La commande « ZCACmd AddAccess » permet maintenant de spécifier s’il faut
bloquer l’héritage du rôle administratif
[E#2491]
admin
Le blocage de l’héritage du rôle administratif pouvait être positionné pour un accès indirect (lien vers
une liste d’accès) dans les interfaces graphiques (explorateur et outil de gestion de zones). Il est
maintenant positionnable dans la ligne de commande ZCACmd.
En version 3.0, il était devenu impossible d’ouvrir un conteneur chiffré avec
l’attribut « lecture seule »
Cette anomalie était parfois visible lors de l’ouverture d’une pièce jointe dans un mailer (par
exemple Outlook). Le conteneur pouvait être ouvert en « read-only », ce qui ne fonctionnait pas. Les
conteneurs chiffrés supportent maintenant à nouveau cet attribut.
[F#2497]
spécifique
3.0
Ce problème n’existait pas avec les versions précédentes (2.5, 2.51).
Sous Vista, l’utilisation de certaines clés mémoire USB déclenchait une erreur
système
Les clés USB ne contenant pas de table de partition (formatage de type ‘disquette’) pouvaient
déclencher une erreur système. Cette anomalie a été corrigée.
Dans le moniteur, l’option utilisateur «Quand la session Windows est
verrouillée» n’était pas pris en compte (à propos des fermetures de zones)
[F#2486]
compatibilité
Vista
[F#2530]
Quel que soit le choix utilisateur, les zones chiffrées continuaient à être fermées systématiquement
lors du verrouillage de session. La politique correspondante (P196) était par contre totalement
opérante et respectée.
Echec du chiffrement de dossiers situés à la racine (hors-lien) d’un partage DFS
Cette anomalie concerne le chiffrement de dossiers situés directement à la racine d’un partage DFS,
et non dans un lien. Le dossier n’était par la suite pas considéré comme une zone chiffrée. Le
chiffrement est maintenant opérationnel sur l’intégralité d’un partage DFS.
Un mot de passe configuré avec l’attribut ‘A changer après la première
utilisation’ pouvait être demandé plusieurs fois avant que le changement ne soit
proposé
[F#2525]
compatibilité
[F#2501]
[F#2515]
Dans les versions précédentes, le changement de mot de passe n’était proposé qu’après ouverture
d’une zone chiffrée. Lorsque le mot de passe était demandé afin d’effectuer un chiffrement ou une
vérification par l’agent CryptUpdate, aucun changement n’était proposé. Désormais, le changement
est proposé quel que soit le contexte de saisie du mot de passe initial.
Cette correction est notamment compatible avec le mode SSO/Windows (politique P110)
Amélioration de la compatibilité avec l’antivirus Kaspersky v5 (et v7)
Lors du chiffrement, de nombreuses ouvertures de zones étaient inutilement déclenchées, ce qui
ralentissait l’opération.
Support des certificats ayant comme Key Usage ‘DecipherOnly’
Fix Notes ZoneCentral 3.0 (PX78073r512).doc
[F#2507]
compatibilité
[F#2489]
Fix Notes 3.0 Build 512
compatibilité
Le seul usage nécessaire pour qu’un certificat soit accepté est désormais ‘KeyEncipherment’.
Dans les archives de cartes de zones (P343), les noms des fichiers pouvaient être
invalides
[F#2505]
v3
Sous certaines configurations, l’archive générée pouvait contenir des fichiers avec le nom « ? ». Les
fichiers étaient néanmoins exploitables, et l’emplacement d’origine des fichiers de contrôle pouvait
être obtenu avec l’outil de gestion de zones. Cette anomalie a été corrigée.
Dans la P343 (« Export de la carte de zones »), si le premier emplacement
n’était pas disponible, les autres emplacements étaient ignorés
[F#2506]
v3
Lorsque cette politique contenait plusieurs emplacements (séparés par des points-virgules), aucun
export n’était effectué si le premier emplacement était inaccessible. Cette anomalie a été corrigée.
Dans la fenêtre de changement de clé, le message « Aucune clé utilisable » était
affiché lorsqu’on utilisait un token PKCS#11 déjà ouvert
[F#2471]
Il fallait alors fermer la clé dans le Moniteur ZoneCentral avant de réessayer. Cette anomalie a été
corrigée.
Les politiques P127 et P343 supportent désormais plusieurs emplacements
réseau
[F#2511]
Dans les politiques P127 (« Sauvegarde de la liste d’accès personnelle ») et P343 (« Export de la
cartes de zones »), lorsque plusieurs chemins étaient indiqués (séparés par des points-virgules), les
chemins réseau au format UNC ailleurs qu’en première position n’étaient pas traités (contrairement
à ce que spécifiait la documentation).
Dans le Moniteur, l’enregistrement d’un mot de passe SSO (P110) n’était pas
effectué sur un changement de mot de passe
[F#2526]
Cette anomalie se manifestait lorsque le mot de passe était le seul type d’accès autorisé par les
politiques. Le mot de passe saisi par l’utilisateur n’était alors pas enregistré en SSO, et était
demandé lors des ouvertures de zone. Cette anomalie a été corrigée.
Dans la fenêtre d’ajout d’accès, sélection par défaut du premier annuaire
configuré
[F#2490]
Par défaut, ZoneCentral proposait à tort le contrôleur de domaine du poste de travail, même si des
annuaires étaient configurés dans les politiques (P195). Les annuaires configurés sont désormais
prioritaires.
Avec la politique P140 activée (pas de contrôle de chaînes et CRL), un certificat
présentant des avertissements pouvait être préféré à un meilleur certificat dans
Active Directory
[F#2521]
rare
Un certificat avec avertissement (par exemple un mauvais « Extended Key Usage ») pouvait être
alors proposé à l’utilisateur. Cette anomalie a été corrigée.
Erreur système dans le Moniteur
Dans des circonstances particulières (« race conditions »), le moniteur pouvait s’arrêter
brutalement. Cette erreur a été corrigée.
Fix Build 504
L’assistant de chiffrement pouvait chiffrer à tort quelques dossiers système
Dans des cas de configuration et d’erreur particuliers, quelques dossiers système pouvaient se
retrouver chiffrés par l’assistant. Le fonctionnement du système pouvait alors être perturbé, et
Fix Notes ZoneCentral 3.0 (PX78073r512).doc
[F#2536]
rare
17 sept. 2007
[F#2480]
Fix Notes 3.0 Build 512
certaines applications pouvaient ne plus se lancer.
Optimisation du parcours des dossiers Program Files et Windows lors d’un
chiffrement
[F#2468]
Des traitements inutiles étaient effectués au niveau de ces deux dossiers système, ce qui allongeait
inutilement le temps de chiffrement d’un poste de travail.
Sous Vista, il était impossible de modifier les accès de la racine système et du
dossier CSC (cache des fichiers offline)
Lorsque ces emplacements étaient chiffrés, il était impossible soit de voir les accès (pour le dossier
CSC), soit de les modifier (pour la racine système), en raison d’ACLs spécifiques Vista. Les zones
chiffrées sur ces emplacements sont maintenant totalement gérables.
Le dossier technique lié à l’anti-hameçonnage d’Internet Explorer est maintenant
laissé en clair
Ce dossier était par défaut chiffré et cela pouvait gêner le fonctionnement de ce mécanisme. Après
installation de cette version, l’assistant CryptUpdate effectuera automatiquement la mise en
conformité des postes déjà chiffrés.
Lors du chiffrement d’un profil itinérant, les dates de dernière modification des
fichiers étaient modifiées pour les dossiers non synchronisés (ce qui n’est pas
nécessaire)
[F#2454]
[F#2473]
compatibilité
Vista
[F#2464]
compatibilité
Vista / IE7
[F#2458]
roaming
Par défaut ZoneCentral laisse inchangées les dates de dernière modification des fichiers qu’il chiffre
(afin de conserver cette information utile), excepté pour les profils itinérants. Ces profils sont en
effet synchronisés avec le serveur par Windows, selon un mécanisme de comparaison de date : il est
donc indispensable dans ce cas de mettre à jour ces dates.
Ce mécanisme de mise à jour des dates a été affiné afin de n’impacter que les fichiers des dossiers
synchronisés, et plus celles des fichiers locaux où c’était inutile (comme par exemple le dossier Local
Settings, ou encore un dossier Mes documents redirigé vers un autre emplacement).
La commande « ZCACmd Activate » permet maintenant d’activer un fichier de
contrôle sur une zone chiffrée existante
[E#2459]
avancé
L’option –force permet maintenant de remplacer le fichier de contrôle actif d’une zone par un autre
fichier.
Retrait d’exceptions de fichiers inutiles sur le dossier Mes Documents lorsqu’il
est redirigé vers un autre emplacement
[F#2479]
technique
Des exceptions techniques particulières (par exemple wallpaper1.bmp) étaient ajoutées à ce dossier,
même lorsqu’il était redirigé. Ces exceptions n’étaient alors pas utiles. L’assistant de chiffrement
CryptUpdate ne les positionne plus (et les retirera automatiquement des emplacements déjà chiffrés
avec une ancienne version).
L’assistant CryptUpdate évaluait mal certaines ACLs très spécifiques
Certaines ACLs posaient problème lors de l’évaluation de l’état de chiffrement du poste par
l’assistant Crypt Update. Il pouvait alors considérer à tort qu’un dossier ne devait pas être chiffré.
Cette anomalie a été corrigée.
Fix Notes ZoneCentral 3.0 (PX78073r512).doc
[F#2477]
rare
Fix Notes 3.0 Build 512
Fix Build 502
24 aout 2007
Message plus explicite lorsque le chiffrement échoue en raison d’un manque
d’espace disque
[E#2450]
Pour rappel, lors du chiffrement d’une arborescence, l’emplacement disque nécessaire est égal à la
taille du plus gros dossier, sans ses sous-dossiers. Lorsque ça n’est pas le cas, les dossiers posant
problème sont laissés en clair. Le message d’erreur dans ce cas n’était pas assez explicite. Il a été
détaillé pour indiquer clairement où se situe le problème, et quel espace est nécessaire pour réaliser
l’opération.
Support des emplacements non standards pour le dossier système CSC (cache
des fichiers disponibles hors connexion)
[E#2434]
rare
Le dossier contenant le cache des fichiers disponibles hors connexion, chiffré par ZoneCentral, est
présent en standard sous C:\Windows\CSC. Il peut être déplacé vers un autre endroit via une
configuration avancée. L’assistant de chiffrement ne le trouvait alors pas lorsqu’il devait le chiffrer.
Les emplacements non standards du CSC sont maintenant correctement gérés et chiffrés.
Certains messages d’erreur étaient affichés en français, même sur un poste
anglais
[F#2421]
Les messages d’erreur spécifiques étaient systématiquement affichés en français, quelque soit la
langue du poste. Ces messages sont maintenant correctement ‘localisés’.
Certains certificats issus de OpenSSL n’étaient pas correctement décodés
Les certificats codés base64 issus de OpenSSL n’étaient pas reconnus. Ils sont maintenant utilisables
dans les différentes applications ZoneCentral.
Echec de chiffrement sur serveur Samba 3.0.4
Sur la version 3.0.4 du serveur de fichiers, le chiffrement pouvait échouer avec le message « Accès
refusé ». L’assistant de chiffrement est maintenant compatible avec cette version de serveur.
Le broyeur de fichiers ne fonctionnait lors d’une configuration particulière de la
corbeille
[F#2423]
compatibilité
[F#2418]
compatibilité
[F#2438]
rare
Fix Notes ZoneCentral 3.0 (PX78073r512).doc
Siège : 10 place Charles Béraudier 69428 Lyon Cedex 03 - Tél. : +33 (0)4.26.68.70.02 - Fax : +33 (0)4.26.69.70.04
Service Commercial : 14 avenue d'Eylau 75116 Paris - Tél. : +33 (0)1.77.72.64.80 - [email protected]
© Prim'X Technologies 2005. Prim'X Technologies, ZoneCentral et Zed! sont des marques déposées de Prim'X Technologies SA.
Toutes les autres marques citées sont des marques déposées de leurs propriétaires respectifs - Reproduction interdite
Sur les postes Windows 2000 où la corbeille était définie comme une jonction, les fichiers supprimés
n’étaient pas broyés.