Fix Notes ZoneCentral 3.1 (PX83132r543)

Fix Notes 3.1 Build 543
Prim'X Labs, Lyon, le 4 Août 2009,
Versions concernées
Cette fix-notes concerne ZoneCentral 3.1 et ZoneExpress 3.1.
Toutes les évolutions/corrections référencées sont présentes dans les versions supérieures.
La version actuelle de ZoneCentral est la version 3.1.
Versions précédentes : Le statut de la version 3.0 est : « maintenance corrective » :
La version 3.0 est maintenue, mais les fix se limitent aux corrections sanitaires ou de sécurité.
Fix Build 543
4 Août 2009
Compatibilité avec l’application « Catia » sur les fichiers réseau chiffrés
L’application de CAO « Catia » n’arrivait pas à enregistrer ses fichiers dans une zone chiffrée sur le
réseau. ZoneCentral est maintenant complètement compatible avec cette application.
Un arrêt brutal du système pouvait survenir sur un poste équipé de l’antivirus
« F-Secure »
[F#3159]
Compatibilité
[F#3150]
Compatibilité
Dans certaines circonstances (analyse d’un fichier par F-Secure déclenchant une ouverture de zone),
le système pouvait s’arrêter brutalement (BSOD). ZoneCentral est maintenant tolérant au
fonctionnement de F-Secure.
Perte de l’enregistrement SSO (politique P110)
[F#3166]
Il pouvait arriver que l’enregistrement du mot de passe SSO de l’utilisateur soit perdu. Il était alors
nécessaire de réenregistrer le mot de passe SSO ou d’utiliser un accès de recouvrement. Cette
anomalie ne concernait que la version 4.0 de ZoneCentral et ZoneExpress, et non les versions
précédentes.
Meilleure gestion des problèmes d’espace disque lors du chiffrement
[F#3132]
Lors du chiffrement sur des espaces disques saturés, des fichiers techniques de ZoneCentral de taille
0 pouvaient rester présents dans les dossiers. Ces fichiers empêchaient de réessayer un chiffrement
et il fallait les retirer manuellement. Cette anomalie a été corrigée.
Outlook affichait un message d’erreur lorsqu’on annulait la demande de saisie de
code dans le module X12
[F#3113]
Lorsque le module X12 était utilisé dans Outlook (pour du chiffrement ou de la signature),
l’annulation de la fenêtre de demande de code X12 déclenchait l’affichage par Outlook d’une erreur
peu compréhensible. Ca n’est désormais plus le cas.
Arrêt de l’explorateur sur une opération manuelle de vérification d’une liste
d’accès obligatoire
Dans une liste d’accès considérée comme obligatoire sur le poste de travail, l’opération « vérification
des accès obligatoires » déclenchait un arrêt brutal de l’explorateur. Cette anomalie a été corrigée.
Fix Notes ZoneCentral 3 1 (PX83132r543).doc
[F#3137]
Fix Notes 3.1 Build 543
Fix Build 542
19 Mai 2009
Compatibilité avec SharePoint sur Vista
L’ouverture pour modification de fichiers présents sur un site SharePoint échouait sur des postes
Vista. Les fichiers étaient alors ouverts en lecture seule. Tous les modes d’accès aux fichiers
SharePoint sont maintenant supportés.
Mise à jour automatique des copies de listes d’accès personnelles sur les
supports amovibles chiffrés
[F#3042]
compatibilité
[E#2932]
pratique
Pour rappel, lors du chiffrement d’un support amovible (clé ou disque USB, etc.), l’assistant de
chiffrement dépose automatiquement une copie de la liste d’accès personnelle de l’utilisateur dans la
zone chiffrée, afin que celle-ci puisse être ouverte sur n’importe quel poste.
ZoneCentral effectue maintenant automatiquement une vérification et au besoin une mise à jour de
cette copie (en cas de modification de la liste de référence) lors de chaque insertion du support
amovible sur le poste.
Sous Vista, l’image de fond (watermark) d’un conteneur chiffré n’était pas
affichée tout de suite
[F#3074]
graphique
Sous Vista, lorsqu'on initialise un nouveau conteneur chiffré, l'image de fond (watermak), standard
ou personnalisée, n'était pas affichée tout de suite. De même quand on change l'image d'un
conteneur existant. Il fallait refermer et rouvrir le conteneur pour que la nouvelle image apparaisse.
Mauvaise proposition de chiffrement en cas de conflit de lecteurs logiques
Dans certaines situations, un conflit de nommage au sein de Windows entre un lecteur réseau et un
volume amovible pouvait apparaitre (ce qui empêche le volume amovible d’être correctement monté
par Windows et affiché dans l’explorateur). Dans ce cas, la fenêtre de chiffrement des volumes
amovibles pouvait proposer de chiffrer un lecteur réseau. Cette anomalie a été corrigée.
Redémarrage du composant zcu.exe lors d’une sortie de veille prolongée
Dans des cas très rares (race condition), la sortie de veille prolongée provoquait l’arrêt brutal et le
redémarrage d’un composant ZoneCentral. Un message d’erreur était alors affiché. Cette anomalie a
été corrigée.
Arrêt de l’assistant de chiffrement en présence de dossiers aux noms trop longs
Dans certains cas, l’assistant de chiffrement pouvait interrompre son travail de chiffrement en
présence de dossiers trop longs, au lieu d’avertir l’utilisateur et de continuer le traitement des autres
fichiers. Cette anomalie, rencontrée une seule fois, a été corrigée.
API Zed : Echec de l’ouverture d’un zed avec un fichier de clés .pfx sous le
RunTime ZoneCentral
Avec ZoneCentral installé sur le poste, l’ouverture par l’API d’un conteneur chiffré avec un fichier
.pfx échouait. Cela ne fonctionnait qu’avec le RunTime Zed seul.
Fix Notes ZoneCentral 3 1 (PX83132r543).doc
[F#3061]
rare
[F#3066]
rare
[F#3004]
rare
[F#3064]
API Zed
Fix Notes 3.1 Build 543
Fix Build 540
3 Février 2009
Optimisations dans l’explorateur de fichiers
Le gestionnaire d’icônes de ZoneCentral (chargé d’afficher les cadenas et les images de fond pour
les dossiers chiffrés) a été optimisé de manière importante afin de ne pas dégrader les performances
de l’explorateur lors du parcours de dossiers réseau lents. Il arrivait en effet que sur les dossiers de
réseau éloigné à l’accès très lent, le gestionnaire d’icônes rajoute encore du temps de latence pour
obtenir les informations sur l’état de chiffrement.
[E#2926]
+rapide
Les méthodes d’analyse du gestionnaire d’icônes ont été revues et le gain de fluidité sur certaines
configurations est appréciable.
Politique P343 (« sauvegarde de la carte des zones ») : le dossier de sauvegarde
est créé s’il n’existe pas
[E#2936]
+pratique
Si le dossier configuré dans la politique P343 n’existait pas, la sauvegarde de la carte des zones
échouait. L’administrateur devait prévoir la création du dossier. Le dossier configuré est maintenant
créé s’il n’existe pas.
Lecteur gratuit de conteneurs chiffrés : possibilité d’indiquer un chemin en ligne
de commande
[F#2940]
Il est possible d’indiquer en ligne de commande au lecteur zedle.exe le nom du conteneur chiffré à
ouvrir, par exemple : « zedle.exe c:\container.zed ». Cette méthode n’autorisait pas l’utilisation de
chemins relatifs : c’est maintenant le cas.
Consignes de chiffrement « * » (tous les disques locaux) : certains supports
amovibles étaient chiffrés
[F#2937]
Lorsque la consigne de chiffrement indiquait que tous les disques locaux devaient être chiffrés, il
arrivait que certains types de disques durs amovibles fussent considérés comme fixes et donc
chiffrés. Cette anomalie a été corrigée.
Amélioration d’un message d’erreur en mode déconnecté
En configuration « certificat utilisateur recherché dans ActiveDirectory » (Politique P129), et avec
des consignes de chiffrement configurées, un message d’erreur peu ergonomique était affiché
lorsque le poste de travail était non connecté. Une bulle d’aide plus compréhensible est maintenant
affichée.
Meilleur comportement sur des fichiers de contrôle un peu altérés (agrandis)
Sur certaines configurations, un des fichiers techniques de ZoneCentral (le fichier de contrôle) se
retrouvait agrandi par une application Antivirus, ce qui empêchait les ouvertures des zones chiffrées
concernées. ZoneCentral est maintenant tolérant à ce type de corruption et les gère de manière
transparente.
Echec de recherche de certificat quand le Common Name contenait « / »
Lorsque le champ Common Name d’un utilisateur Active Directory contenait le caractère « / » (ce
qui est assez rare), la recherche de son certificat personnel échouait avec le code erreur 80005000.
Ce caractère est maintenant supporté dans les requêtes LDAP.
L’image de fond d’un conteneur chiffré ne s’affichait pas lorsqu’il était en lecture
seule
[E#2881]
ergonomie
[E#2932]
très rare
[F#2877]
LDAP
[F#2783]
mineur
Lorsque le conteneur chiffré ouvert était en lecture seule (c’est parfois le cas lorsque le conteneur
est ouvert comme pièce jointe dans Outlook), l’image de fond (« watermark ») n’était pas affichée.
Cette anomalie a été corrigée.
Fichiers techniques « .zcctl »visibles dans un partage de fichiers chiffré sous
Vista
Sur certaines configurations, le fichier technique de ZoneCentral « .zcctl » était visible dans les
partages de fichiers chiffrés. Il était par contre - ce qui est normal - impossible de supprimer ou
modifier ce fichier. Cette anomalie a été corrigée.
Fix Notes ZoneCentral 3 1 (PX83132r543).doc
[F#2901]
rare
Fix Notes 3.1 Build 543
Compatibilité avec le produit FortiClient
Sur un poste où le produit FortiClient était installé, le branchement d’un disque dur amovible pouvait
parfois entrainer le blocage du poste de travail. Il était alors nécessaire de redémarrer le poste.
Cette incompatibilité a été résolue.
Compatibilité avec le produit TrueSuite Access Manager
Sur un poste où le produit TrueSuite Access Manager (préinstallé sur certaines marques de portables
Toshiba), des blocages pendant le phase de chiffrement pouvaient avoir lieu. Cette incompatibilité a
été résolue.
Fix Build 539
[F#2916]
compatibilité
[F#2931]
compatibilité
24 Novembre 2008
Optimisation de l’agent CryptUpdate
La procédure de l’agent a été optimisée afin de garantir que le nombre de zones chiffrées
temporaires créées (et regroupées) pendant les opérations sur le poste soit toujours minimal. Cette
optimisation permet d’améliorer les performances du poste pendant la procédure, et aussi de réduire
le temps de récupération si une coupure de courant surivent pendant la procédure.
Mode SSO mot de passe : support de plusieurs postes de travail pour un même
utilisateur
[E#2823]
optimisation
[E#2846]
SSO
Le mode SSO Mot de passe (politique P110) a été amélioré : les utilisateurs disposant de plusieurs
postes de travail sont maintenant parfaitement gérés. Il était en effet impossible d’avoir le mode
SSO actif sur plusieurs postes de travail en même temps.
Utilisation d’un mot de passe de recouvrement non affiché (P193)
Il est maintenant possible qu’un accès de recouvrement de type mot de passe masqué soit utilisable
lorsqu’on connait son nom. Si la politique P260 (« Autoriser les ouvertures au moyen de clés de
recouvrement ») est active, un accès de recouvrement pourra être utilisé, qu’il soit visible (si les
politiques le permettent) ou non (c’est le cas par défaut).
[E#2835]
pratique
Auparavant un accès masqué n’était pas utilisable dans la fenêtre d’ouverture de zone.
Un fichier ouvert directement (menu ‘ouvrir’ ou double-click) dans un conteneur
chiffré est maintenant positionné en lecture seule
[E#2847]
ergonomie
Un double-click sur un fichier du conteneur va maintenant ouvrir ce fichier en lecture-seule, au lieu
de lecture-écriture. Pour obtenir le fichier en lecture-écriture, l’utilisateur doit utiliser la procédure
d’extraction (glisser-déplacer, copier-coller, menu ‘extraire’).
Les commandes ShowPolicies et ExportPolicies sont maintenant disponibles dans
l’outil zcucmd.exe
[E#2867]
pratique
Ces commandes très pratiques permettent de consulter directement les politiques configurées sur un
poste de travail. Elles étaient auparavant présentes uniquement dans l’outil zcacmd.exe, installé
avec l’option « Outils d’administration » qui n’est pas toujours déployée. L’outil zcucmd.exe est lui
toujours disponible.
Le module X12 (P111) devient activé même si les magasins CSP ne sont pas
autorisés (P105)
[E#2860]
X12
Si le module X12 est activé (politique P111), il est maintenant opérationnel pour toutes les
applications clientes CSP, quelle que soit la politique P105. Si la P105 est activée, alors ZoneCentral
(resp. ZoneExpress ou Zed) n’utilise pas les CSP et n’utilise donc pas non plus X12, mais ce dernier
reste disponible pour les autres applications.
Amélioration de la détection des tokens ou cartes à puce en mode PKCS#11
Il pouvait arriver (race condition) qu’un support de clé PKCS#11 ne soit pas détecté dans la fenêtre
Fix Notes ZoneCentral 3 1 (PX83132r543).doc
[F#2867]
tokens P11
Fix Notes 3.1 Build 543
d’ouverture de zone. La détection a été améliorée.
Problème de traitement des caractères accentués avec certains middlewares
PKCS#11
[F#2559]
tokens P11
Sur certains middlewares PKCS#11 (constaté avec Aladdin v4.55), les mots de passe (codes PIN)
contenant des caractères accentués étaient mal reconnus. Ce problème était constaté avec les
middlewares implémentant la version 2.11 de la norme PKCS#11.
Notification de changement des accès obligatoires inutile
L’assistant CryptUpdate pouvait indiquer que les accès obligatoires avaient changé, alors que ça
n’était pas le cas. La fenêtre de notification indiquait les mêmes accès obligatoires avant et après la
mise à jour. Ce problème –sans conséquence- a été corrigé.
Echec de chiffrement d’un disque dur externe dans un cas de configuration de
politiques
Lorsque la politique P234 (« Restreindre la création de zones chiffrées ») était activée et que la
politique P150 demandait le chiffrement des supports amovibles insérés, le chiffrement des disques
durs externes était rejeté à tort. Le problème a été corrigé.
Problème de détection du dossier CSC (cache des fichiers offline) dans un cas de
configuration système rare
[F#2863]
rare
[E#2872]
supports
amovibles
[F#2769]
rare
Dans un dossier monté avec la commande subst sur une lettre, le dossier CSC n’était pas détecté, et
son chiffrement n’était pas effectué. Ce problème a été corrigé.
Impossibilité de changer sa clé dans une configuration particulière des politiques
Lorsque les politiques autorisaient l’utilisation des mots de passe et des clés RSA pour les zones,
mais que la politique P154 (« masquer le changement de mot de passe ») était activée, il était
impossible de changer sa clé dans le moniteur : le lien « Changer ma clé » ne faisait rien.
Erreur ‘fichier occupé’ lors de l’utilisation d’un conteneur chiffré
[F#2833]
configuration
rare
[F#2850]
Il pouvait arriver dans certains cas que le fichier conteneur chiffré soit indiqué comme étant occupé
lorsqu’on souhaitait le transférer (par exemple pour l’envoyer par mail), alors qu’aucune fenêtre le
concernant n’était visible. Ce problème a été corrigé.
Erreur de copie d’un fichier dans un conteneur chiffré lorsque le fichier source
était occupé
Lorsqu’un fichier ouvert par une application était inséré dans un conteneur chiffré, et que ce
conteneur contenait un fichier avec le même nom, la copie pouvait échouer. Ce problème a été
corrigé.
Fix Notes ZoneCentral 3 1 (PX83132r543).doc
[F#2851]
[F#2852]
Fix Notes 3.1 Build 543
Fix Build 535
17 Septembre 2008
Certaines fonctionnalités de ZoneCentral sont maintenant disponibles dans
ZoneExpress!
Les politiques suivantes, auparavant disponibles uniquement dans ZoneCentral, sont maintenant
accessibles dans ZoneExpress :
-
Politique P255 : Informations Helpdesk utilisateurs,
-
Politique P343 : Export/Sauvegarde automatique de la carte des zones,
-
Politiques P282 et P283 : Ouvrir automatiquement toutes les zones après la première
ouverture.
[E#2748]
[E#2774]
ZoneExpress
Ces politiques sont identiques, en terme de configuration et de fonctionnement, aux politiques déjà
existantes dans ZoneCentral.
Packaging : possibilité de changer le ‘ProductName’
Il est désormais possible de modifier la propriété interne ‘ProductName’ des packages .msi des
produits (avec des outils comme Orca). L'usage semble être de modifier "ZoneCentral" en, par
exemple "ZoneCentral package du tant" ou "ZoneCentral build XXX" ou autre, de façon à aisément
identifier à la fois le build et la customisation dans le panneau "Ajouter/Supprimer des Programmes",
et aussi de permettre à des outils de télé-gestion de se baser sur leurs propres règles de nommage
de packages installés pour leurs opérations.
[E#2766]
télé-diffusion
ÎA noter que les versions précédentes ne supportaient pas cette opération, et qu’il pouvait y avoir
des conséquences négatives, notamment après la désinstallation. Ce build correctif fait que cela
n'arrivera plus, MAIS NE PEUT CORRIGER CE QUI EST DEJA INSTALLE.
*** IMPORTANT ***
Si la propriété "ProductName" dans un .msi a été modifiée "en force" sur des packages qui sont
maintenant installés, à une période où ces packages ne supportaient pas officiellement cette
opération (<ce build), une mise à jour ne réparera pas, mais au contraire PROVOQUERA le
problème; il faut procéder d'abord à une manipulation de Registry préalable assez simple. Vous
pouvez contacter le support qui vous guidera pour cette opération.
Problème de compatibilité avec une configuration Vista sans fichier de swap
Sur un poste Vista où le fichier d’échange (swap) était désactivé, l’assistant de chiffrement échouait
systématiquement avec l’erreur ‘Fichier introuvable’. Ce problème a été corrigé.
Problème PKCS#11 avec GemSafe 5.x
Contournement d'un problème de compatibilité avec GemSafe 5.x en mode Pkcs#11, qui retourne
une erreur inattendue lors des recherches de clés dans la carte, et donc les clés et certificats dans
les cartes ne pouvaient être détectés.
[F#2826]
compatibilité
[F#2810]
compatibilité
Le comportement pouvait varier en fonction des types de cartes GemSafe.
Icône de chiffrement visible dans la barre de notification pour ZoneExpress
L’icône Systray de chiffrement était affichée à tort pour le produit ZoneExpress. Elle a été retirée.
Masterisation d’un setup ZoneExpress : les options RSA et Zed n’étaient jamais
installées
La masterisation d’un package d’installation ZoneExpress conduisait systématiquement à la
suppression des options Zed et RSA, quels que soient les paramètres donnés à la commande
master. Ce problème a été corrigé : la masterisation inclut maintenant toujours toutes les options de
ZoneExpress.
Déchiffrement de dossiers système dans un profil utilisateur Vista
Sous Vista, certains dossiers du profil utilisateur étaient chiffrés à tort. Ces dossiers, présents sous
l’arborescence <Profil>\AppData\Roaming et <Profil>\AppData\LocalLow, étaient parfois nécessaires
au fonctionnement des magasins de certificat Microsoft, et doivent donc rester en clair.
Après l’installation de cette version, l’assistant de chiffrement CryptUpdate déchiffrera
automatiquement ces dossiers.
Fix Notes ZoneCentral 3 1 (PX83132r543).doc
[F#2761]
ZoneExpress
[F#2809]
setup
ZoneExpress
[F#2710]
Vista
Fix Notes 3.1 Build 543
Echec de l’assistant de chiffrement sur expiration de mot de passe lorsque la
liste d’accès personnelle était en lecture seule
[F#2827]
rare
Lorsque la liste d’accès personnelle n’était pas modifiable (lecture seule ou ACL interdisant
l’écriture), et qu’un changement de mot de passe était nécessaire en raison de son expiration,
l’assistant de chiffrement échouait directement lors de la vérification de l’accès de l’utilisateur. Ce
problème a été corrigé.
Filtrage des caractères invalides lors de la composition du nom de la liste d’accès
personnelle
[F#2769]
rare
Lorsque des variables ActiveDirectory étaient utilisées pour composer le nom de la liste d’accès
personnelle, il pouvait arriver que le nom généré contienne des caractères invalides pour un nom de
fichier. Cela provoquait un échec de la création de la liste d’accès personnelle. Les caractères
invalides sont maintenant transformés en caractères ‘espace’.
La politique P135 (Désactiver l’application automatique du chiffrement au login)
était sans effet dans ZoneExpress
[F#2788]
ZoneExpress
Cette politique mineure n’était pas prise en compte dans le produit ZoneExpress. C’est maintenant le
cas : l’assistant ne se lancera plus automatiquement au login si la politique est activée.
Demande inopportune d’ouverture de zone avant une mise en veille
Sur certaines configurations, la demande de mise en veille pouvait déclencher une demande
d’ouverture de zone, même si les zones étaient déjà ouvertes. Ce problème, constaté une seule fois,
a été corrigé.
Amélioration du traitement des erreurs dans la commande ZCACmd Defrag
La commande ‘ZCACmd Defrag’ pouvait arrêter tout son traitement d’arborescence lorsqu’elle
rencontrait certaines erreurs. Elle essaye maintenant de traiter un maximum de dossiers, en
ignorant les dossiers problématiques.
Message d’erreur lors du lancement de CryptUpdate quand aucun certificat valide
n’était trouvé
Lorsque la politique de recherche de certificat dans ActiveDirectory était activée (P129), et qu’aucun
certificat utilisateur valide n’était publié, l’assistant de chiffrement CryptUpdate affichait une erreur
au login. Cette erreur a été transformée en bulle d’information indiquant que le chiffrement est
reporté.
Fix Notes ZoneCentral 3 1 (PX83132r543).doc
[F#2795]
rare
[E#2816]
commande
technique
[E#2824]
+userfriendly
Fix Notes 3.1 Build 543
Fix Build 528
4 Juin 2008
Blocage après l’enregistrement d’un document Office
Lors de l’enregistrement de documents Office, il arrivait parfois (race conditions) sur certaines
configurations que le poste se bloque. Le document était quand même enregistré, mais un
redémarrage était nécessaire. Cette anomalie a été corrigée.
Amélioration de la gestion des postes multi-utilisateurs
L’assistant de chiffrement CryptUpdate pouvait demander d’effectuer des mises à jour techniques
inutiles sur des postes multi-utilisateurs chiffrés. Cette anomalie est corrigée.
Message d’erreur lorsque la cible d’une redirection de dossier n’existait pas
[F#2748]
rare
[F#2757]
mineur
[F#2758]
L’assistant de chiffrement CryptUpdate affichait une erreur lorsqu’une des redirections de dossier
d’un utilisateur pointait vers un emplacement inexistant. Cette erreur est maintenant ignorée et ne
gêne plus la mise en conformité d’un poste.
Echec de l’assistant de chiffrement lorsqu’un conflit était détecté dans les
consignes de chiffrement
[F#2750]
rare
L’assistant de chiffrement échouait directement lorsqu’un conflit était détecté dans les consignes de
chiffrement : ordres contradictoires, dossiers systèmes, etc. Cette anomalie est corrigée et le conflit
est maintenant clairement montré dans la fenêtre de diagnostic de CryptUpdate.
Erreur système dans des cas très rares de renommage de dossier (constaté
uniquement avec WinMail sur Vista SP1)
[F#2686]
très rare
Un BSOD pouvait apparaitre dans des cas très rares de renommage de dossier. Cette anomalie,
constatée une seule fois avec l’application WinMail sur Vista SP1, a été corrigée.
Correction d’une incompatibilité entre le module X12 et le run-time Aladdin 4.5
Lorsque le module X12 (gestion de fichiers de clés) était activé en présence du RT Aladdin 4.5,
l’application d’Aladdin PKIMonitor.exe consommait une grosse partie du CPU et ne répondait plus. Ce
blocage était du à une mauvaise interaction entre les deux fournisseurs CSP X12 et Aladdin. Des
modifications ont été faites pour que ce problème n’apparaisse plus.
Fix Notes ZoneCentral 3 1 (PX83132r543).doc
[F#2735]
Compatibilité
Fix Notes 3.1 Build 543
Fix Build 526
17 Avril 2008
Amélioration de l’ergonomie de l’agent CryptUpdate
Les problèmes éventuels de chiffrement sont mieux identifiés et expliqués dans l’interface graphique
de l’agent de chiffrement. Des conseils sont donnés aux utilisateurs afin de résoudre les problèmes
les plus courants : manque d’espace disque, fichiers dont les propriétés sont incompatibles avec le
chiffrement, etc.
[E#2674]
+ clair
La fenêtre de détails d’une mise à jour du chiffrement du poste a également été enrichie (libellés
plus clairs, navigation entre les mises à jour, ouverture du dossier correspondant).
Enfin, si la mise à jour demandée ne nécessite pas plus de quelques minutes, c’est clairement
indiqué à l’utilisateur.
Compatibilité avec Vista SP1
Des accès fichiers (enregistrement) pouvaient échouer sur un poste équipé de Vista SP1. Cette
anomalie a été corrigée.
[E#2727]
[E#2721]
Vista SP1
Note : l’installation du Service Pack 1 sur Vista doit être réalisée dans certaines conditions : le profil
administrateur sous lequel l’installation est faite doit être en clair ; et si la racine système (C:\ en
général) est chiffrée, alors la clé sera demandée lors de l’installation.
L’assistant de chiffrement permet de vérifier la conformité d’un poste avec une
liste d’accès particulière
Par défaut l’assistant de chiffrement utilise l’accès personnel de l’utilisateur pour effectuer sa
vérification. Dans certains schémas de déploiement, où plusieurs accès sont sélectionnables par
l’utilisateur, il peut s’avérer pratique d’indiquer vis-à-vis de quel accès on souhaite effectuer la
vérification. C’est maintenant possible en ligne de commande, en indiquant par exemple :
zcapply.exe –checkdirectives –c listeperso.zaf
Amélioration de la compatibilité avec GemSafe 5.1
Contournement d’un problème relatif au middleware GemSafe 5.1 (librairie gclib.dll) qui provoquait
une erreur système dans le processus zcu.exe de ZoneCentral. GemSafe 5.1 est maintenant
utilisable en mode PKCS#11 (il n’y avait pas de problème connu en mode CSP).
Meilleure gestion des emplacements de sauvegarde réseau de la carte des zones
(politique P343)
[E#2719]
config.
multi-accès
[E#2736]
compatibilité
[F#2673]
Lorsqu’un emplacement réseau configuré dans la politique P343 n’était pas disponible au moment de
la sauvegarde, celle-ci n’était pas effectuée par la suite lorsque l’emplacement redevenait accessible.
La sauvegarde n’était faite que lors d’une mise à jour de l’état de chiffrement du poste. Cette
anomalie a été corrigée.
Dans l’assistant de changement de clé, il était impossible de remplacer sa clé
présente sur une carte à puce par une autre présente sur une autre carte à puce
[F#2717]
Lorsque l’ancienne et la nouvelle clé étaient stockées sur deux supports physiques différents,
l’assistant de chiffrement échouait dans l’étape finale avec l’erreur ‘Référence de clé cryptographique
inconnue’. Cette anomalie a été corrigée.
Note : cette anomalie pouvait être contournée en passant par la page ‘Accès’ des propriétés de la
liste d’accès ou de la zone chiffrée.
Détection d’un dossier CSC (cache des fichiers disponibles hors connexion)
redirigé sous Vista
[F#2728]
Vista
Sous Vista, ZoneCentral ne gérait pas la configuration (assez rare) d’un dossier CSC situé dans un
emplacement non standard (autre que C:\Windows\CSC). Le service de disponibilité hors connexion
des fichiers réseau ne fonctionnait donc pas lorsque ce dossier était chiffré. Cette anomalie a été
corrigée.
L’interdiction d’utilisation de mots de passe (politique P101) empêchait
l’utilisation d’un Laisser-passer temporaire (mode OTA)
Lorsque la politique P101 (« Interdire les accès par mots de passe pour ouvrir les zones ») était
activée, un Laisser-passer temporaire ou un mot de passe de secours saisis ne permettaient pas
Fix Notes ZoneCentral 3 1 (PX83132r543).doc
[F#2715]
OTA
Fix Notes 3.1 Build 543
d’ouvrir les zones chiffrées. Ca n’est plus le cas : la P101 ne gêne plus l’assistance d’un utilisateur.
Le mode OTA est par ailleurs désactivable explicitement avec la politique P264.
Configuration d’accès obligatoires de type certificat avec un chemin absolu
réseau : en mode déconnecté, les accès obligatoires n’étaient pas trouvés
La politique P131 (« Accès obligatoires ») permet d’indiquer un chemin absolu pour retrouver le
fichier contenant l’accès obligatoire. Lorsque c’était le cas avec des fichiers de type certificat, des
erreurs pouvaient apparaitre lorsque le poste était déconnecté. Ces fichiers n’étaient en effet pas
recherchés également dans le cache local. Cette anomalie a été corrigée.
[F#2730]
cas
particulier
Note : cette anomalie ne concernait pas les accès obligatoire de type liste d’accès.
Le renouvellement automatique d’une clé personnelle dans une zone partagée
n’était pas effectué lorsque l’ancienne clé était révoquée
Cette anomalie apparaissait dans une configuration où les politiques P138 (renouvellement
automatique dans une zone partagée) et P145 (contrôle de la clé privée sur les zones partagées)
étaient activées. Si le certificat de l’ancienne clé était révoqué, l’ouverture de zone échouait, et du
même coup son remplacement automatique. Cette anomalie a été corrigée.
Sur un poste chiffré multi-utilisateurs, le dossier All Users\Documents ne
contenait que l’accès du premier utilisateur
L’assistant de chiffrement ne mettait pas à jour ce dossier avec l’accès d’un nouvel utilisateur lors de
sa première connexion. Ce dossier était alors réservé uniquement au premier utilisateur. Cette
anomalie a été corrigée.
Amélioration de l’ergonomie lors de la sélection d’un certificat comme accès
personnel
[F#2693]
configuration
rare
[F#2711]
multiutilisateurs
[E#2709]
Lorsque le porte clés de l’utilisateur (token, carte à puce, fichier pfx) contient plusieurs certificats,
certains valides et d’autres non, le ‘meilleur’ certificat éligible comme accès personnel est
maintenant automatiquement proposé par défaut.
Apparition de nombreuses bulles de notification lorsque l’option ‘Je n’ai pas la
clé’ était activée
[F#2723]
Lorsque l’option ‘Je n’ai pas la clé’ était activée et qu’aucun accès à la zone n’est possible (exemple :
administrateur), on pouvait voir s’afficher de nombreuses bulles de notification indiquant un échec
d’ouverture de zone. Cette anomalie, essentiellement constatée sur Vista, a été corrigée.
L’ouverture de zone en mode SSO (politique P110) échouait parfois
Dans certaines conditions (race conditions), l’accès SSO ne permettait pas d’ouvrir automatiquement
les zones. Un mot de passe était alors explicitement demandé à l’utilisateur. Il fallait fermer puis
rouvrir la session pour retrouver les ouvertures de zones automatiques. Cette anomalie a été
corrigée.
L’ouverture automatique de toutes les zones du poste (politique P283) était
parfois incomplète
[F#2724]
rare
[F#2686]
rare
Dans des conditions particulières (race conditions), certaines zones n’étaient pas automatiquement
ouvertes malgré l’activation de la politique P283. Cette anomalie a été corrigée.
Erreur système lors de l’introduction d’un disque externe
Sur certaines configurations, l’introduction d’un disque externe USB pouvait déclencher l’apparition
d’un écran bleu. Ce problème rare a été corrigé.
[F#2699]
USB
Cette anomalie a été introduite dans la version 3.1 Build 523 (régression).
La commande ‘zcacmd defrag’ échouait dés qu’elle rencontrait un dossier interdit
par les ACLs Windows
Cette commande technique (qui permet d’éliminer les zones redondantes) échouait lors de son
parcours d’arborescence sur le premier dossier inaccessible rencontré. Les dossiers suivants
n’étaient donc pas traités. Cette anomalie a été corrigée : la commande ignore les dossiers à
problème et continue son traitement.
Fix Notes ZoneCentral 3 1 (PX83132r543).doc
[F#2726]
commande
technique
Fix Notes 3.1 Build 543
Dans la fenêtre de configuration d’un serveur LDAP, le champ ‘Attributs
additionnels’ est maintenant tolérant aux espaces
[F#2703]
mineur
Lorsque des espaces étaient présents dans ce champ, les attributs additionnels n’étaient pas
recherchés et il n’y avait pas de message d’erreur. Cette anomalie a été corrigée.
L’explorateur Windows pouvait brièvement clignoter lorsqu’une politique
(ZoneCentral ou non) était modifiée
[F#2718]
mineur
La modification d’une politique sur le poste (politiques locales ou domaine) pouvait provoquer un
rafraichissement de l’explorateur. Cette anomalie a été corrigée.
Fix Build 523
Les corrections mentionnées ci-dessous complètent la Release notes de ZoneCentral 3.1 Build 523 publiée par
ailleurs.
Amélioration de la compatibilité avec Office OneNote 2007
Il est maintenant possible d’utiliser des bloc-notes chiffrés sur le réseau, partagés entre plusieurs
utilisateurs.
Non détection de clés USB introduites et des touches de fermeture rapide
(politique P151) quand le service Terminal Server est désactivé
[E#2665]
compatibilité
[E#2568]
Quand le service Terminal Server est arrêté ou désactivé (sous XP, 2003), les clés mémoire et les
séquences de touche sont en réalité bien détectées, mais certains services système de Windows
utilisés par ZoneCentral ne fonctionnent pas, empêchant ZoneCentral de savoir à quelle session
utilisateur il faut rapporter l’évènement. Une stratégie alternative a été mise en place pour cette
détermination.
Zed ! réutilisait l’icône du dossier Windows pour les icônes des sous-dossiers de conteneurs, ce qui
pouvait poser problème quand le dossier de Windows était personnalisé avec une icône spéciale,
comme un ‘sens interdit’. Désormais Zed ! récupère l’icône système des dossiers autrement.
[F#2662]
cas très
particulier
Fix Notes ZoneCentral 3.1 (PX83132r543).doc
Siège : 10 place Charles Béraudier 69428 Lyon Cedex 03 - France - Tél. : +33 (0)4.26.68.70.02 - Fax : +33 (0)4.26.69.70.04
Service Commercial : 117 avenue Victor Hugo 92100 Boulogne - France - Tél. : +33 (0)1.77.72.64.80 - [email protected]
© Prim'X Technologies 2005. Prim'X Technologies, ZoneCentral et Zed! sont des marques déposées de Prim'X Technologies SA.
Toutes les autres marques citées sont des marques déposées de leurs propriétaires respectifs - Reproduction interdite
Icône des dossiers d’un conteneur chiffré