docRelease Notes ZoneCentral v3.0 (PX76058r1)
download 
Plainte Transcription
Release Notes ZoneCentral v3.0 (PX76058r1)
Pour une meilleure lisibilité sous Adobe Acrobat, utilisez l'option <lissage-dessin au trait>
Release Notes v3.0
Nouveautés de la version 3.0
Compatibilité avec Windows VISTA
[E#2275]
[E#2329]
Le nouveau système d’exploitation de Microsoft est maintenant pleinement supporté par
ZoneCentral. Le défi était important, car tant l’architecture interne que les différents
services techniques ou encore l’organisation du poste de travail ont énormément changé
depuis Windows XP. A titre d’exemple, la gestion des fichiers disponibles hors connexion
(fichiers synchronisés) a été totalement refondue.
Toutes les fonctionnalités avancées de ZoneCentral sont disponibles sous Vista. La
topologie d’un poste Vista est parfaitement maitrisée et ZoneCentral, de la même
manière qu’il le faisait sur un autre système, chiffre de manière automatique et
‘intelligente’ un poste de travail, sans que l’administrateur ou l’utilisateur n’ait à préciser
quoi que ce soit. Tous les dossiers susceptibles de contenir des informations
confidentielles (y compris les fichiers techniques temporaires) seront chiffrés.
Agent de chiffrement Crypt Update
L’agent de chiffrement est un processus expert qui va déterminer à chaque connexion de
l’utilisateur (ou plus régulièrement si c’est souhaité), si le poste de travail est conforme
aux politiques de sécurité. Toute anomalie sera détectée et signalée à l’utilisateur.
L’agent de chiffrement effectuera alors les corrections nécessaires pour remettre le poste
en conformité avec le plan de chiffrement.
Les points vérifiés par l’agent de chiffrement - décrits ci-dessous - sont nombreux, et
assurent une plus grande protection des données du poste de travail.
Respect des consignes de chiffrement
Le point le plus important vérifié est la cohérence du poste avec les consignes de
chiffrement définies par l’administrateur (politique P132). Celui-ci a défini quels
emplacements doivent être protégés (cela peut concerner tous les disques locaux), et
quels sont ceux qui doivent rester non chiffrés, lorsque c’est nécessaire. L’agent Crypt
Update vérifie systématiquement l’application de ces consignes, et chiffre (ou déchiffre)
les éléments non conformes.
Présence des accès obligatoires
Autre critère fondamental, s’assurer que les accès obligatoires sont bien présents à tous
les niveaux : zones chiffrées et listes d’accès personnelles. Contrairement aux
précédentes versions de ZoneCentral, aucune opération manuelle n’est nécessaire pour
effectuer cette vérification : l’agent détecte la moindre zone chiffrée non conforme, futelle cachée au fin fond d’un des disques durs !
Absence de fichiers non chiffrés dans une zone chiffrée
Il peut parfois arriver lors du chiffrement initial qu’un fichier n’ait pas pu être chiffré, pour
des raisons techniques : par exemple il était resté ouvert et l’utilisateur n’a pu/voulu le
fermer. Le fichier est alors marqué comme « exception », et restera en clair dans la zone
chiffrée. L’agent de chiffrement détecte ce type d’anomalie et essaie de faire disparaitre
l’exception en chiffrant le fichier.
Non chiffrement de dossiers système
ZoneCentral laisse par défaut un certain nombre de dossiers système volontairement en
clair. Il s’agit de dossiers où l’utilisateur n’est pas susceptible de déposer des
informations confidentielles, et qui doivent rester non chiffrés pour permettre au système
de fonctionner correctement. Ces dossiers sont vérifiés par l’agent de chiffrement, et
déchiffrés au besoin.
Absence de clés de chiffrement faibles (issues de la version d’évaluation)
Toutes les clés des zones chiffrées existantes sont vérifiées, pour détecter l’éventuelle
PX76058 r1
[E#2117]
+automatique
Pour une meilleure lisibilité sous Adobe Acrobat, utilisez l'option <lissage-dessin au trait>
Release Notes v3.0
présence de clés de chiffrement faibles (ou clés constantes). Ce type de clé est généré
par la version d’évaluation de ZoneCentral. L’administrateur a pu effectuer la mise à jour
du poste avec une version officielle, tout en oubliant de supprimer les zones créées avec
la version d’évaluation. Cela ne pose pas de problème : l’agent de chiffrement détecte et
renouvelle la clé de chiffrement de ces zones (transchiffrement).
Présence du mot de passe de secours
La présence du mot de passe de secours dans la liste d’accès personnelle est également
vérifiée. Un mot de passe de secours est automatiquement généré en cas d’absence.
Et d’autres vérifications techniques…
D’autres vérifications et mises à jour d’ordre plus techniques sont effectuées :
-
Respect des exceptions de fichiers par défaut (politique P334) ;
-
Que chaque consigne de chiffrement se traduise par une « tête de zone »
explicite ;
-
Etc.
Plusieurs politiques permettent de customiser l’agent de chiffrement.
Il est ainsi possible :
-
De lancer l’agent périodiquement, par exemple tous les jours (politique P277) ;
-
De n’autoriser qu’un nombre limité de refus d’application des consignes, avant
de forcer le chiffrement (P276).
Conteneurs Zed arborescents
[E#2414]
très attendu!
Les conteneurs chiffrés Zed peuvent maintenant inclure une arborescence complète de
fichiers et de dossiers. La précédente version du zed ne permettait que de stocker des
fichiers « à plat ». Dorénavant, rien de plus facile que d’envoyer un dossier complet et
toute son arborescence dans un conteneur, sans avoir à sélectionner manuellement les
fichiers à insérer.
La navigation dans un conteneur chiffré se fait avec la même facilité que pour un dossier
Windows : le Zed est parfaitement intégré à l’explorateur. Toutes les opérations
classiques (copier, coller, glisser-déplacer, etc.) sont disponibles et utilisables comme s’il
s’agissait d’un dossier standard.
De nouveaux modes d’utilisation voient le jour : non seulement le zed peut être envoyé à
des correspondants, mais il peut aussi constituer un véritable coffre-fort chiffré. Un
conteneur chiffré pourrait ainsi par exemple être placé sur CD ou DVD : il suffirait de
disposer du lecteur gratuit pour lire son contenu.
L’ajout et l’extraction de fichiers ont été fortement optimisés afin de faire face à des
volumes importants, tant en nombre de fichiers qu’en taille.
Enrichissement des consignes de chiffrement
Les consignes de chiffrement constituent la pierre angulaire du plan de chiffrement. Elles
permettent à l’administrateur de définir avec précision quels emplacements doivent être
chiffrés sur le poste de travail. Avec la version 3.0 de ZoneCentral, non seulement ces
consignes de chiffrement sont vérifiées systématiquement et périodiquement, grâce à
l’agent de chiffrement Crypt Update, mais de plus de nouvelles options enrichissent leur
définition.
Option « au choix de l’utilisateur »
Un nouvel état est en effet utilisable pour un dossier : l’état « au choix de l’utilisateur ».
Avec cet état, l’administrateur préconise un état pour un dossier, par exemple qu’il doit
être initialement chiffré, mais laisse la possibilité à l’utilisateur de déchiffrer tout ou partie
de ce dossier.
Les états configurables sont :
-
« crypt=1 », le dossier doit être chiffré ;
-
« clear=1 », le dossier doit être en clair ;
PX76058 r1
[E#2182]
+ fin
Pour une meilleure lisibilité sous Adobe Acrobat, utilisez l'option <lissage-dessin au trait>
Release Notes v3.0
-
« user=1 », l’état du dossier est libre et peut être changé par l’utilisateur.
On peut ainsi par exemple combiner « crypt=1;user=1 » : le dossier est chiffré lors de la
première application des consignes de chiffrement, mais l’utilisateur est par la suite libre
de le déchiffrer entièrement ou partiellement s’il le désire. Si par contre l’option
« crypt=1 » est indiquée seule, cela veut dire que le dossier doit être obligatoirement
chiffré, et que l’utilisateur ne peut pas aller contre.
Dans le même ordre d’idée, l’option « clear=1;user=1 » indique que le dossier est
initialement laissé en clair, mais que l’utilisateur est libre de le chiffrer, lui ou un de ses
sous-dossiers, s’il le désire. « clear=1 » seul impose que le dossier doit rester non chiffré.
Si aucune de ces trois options n’est indiquée, ZoneCentral utilise comme option par
défaut « crypt=1 » (le dossier est obligatoirement chiffré).
L’officier de sécurité a ainsi la possibilité de définir très finement la topologie de
chiffrement de son poste, tout en laissant aux utilisateurs certaines libertés pour des
emplacements bien identifiés.
Cibles dont les noms ne sont pas entièrement connus
Les consignes de chiffrement supportent maintenant l’utilisation des caractères
génériques ‘*’ et ‘ ?’. Ils permettent de définir des dossiers comme cibles, sans que l’on
en connaisse le nom exact.
Le caractère ‘*’ définit 0 à n caractères quelconques.
Le caractère ‘?’ définit 1 caractère quelconque.
La cible de chiffrement « c:\doc* » désignera ainsi tous les dossiers de C: commençant
par ‘doc’. Lorsqu’un nouveau dossier de ce nom sera créé, l’agent de chiffrement le
détectera et proposera son chiffrement.
Blocage des clés de stockage USB insérées
Dans les versions précédentes, lorsque l’utilisateur insérait un support amovible (tel
qu’une clé USB), ZoneCentral le détectait et proposait son chiffrement à l’utilisateur.
L’utilisateur était libre de ne pas chiffrer la clé et de continuer à l’utiliser.
Une nouvelle politique (P189, que l’on peut trouver dans le groupe P150) permet
d’interdire toute écriture de données en clair sur le volume inséré tant que l’utilisateur
n’a pas répondu par l’affirmative à la proposition de chiffrement.
La proposition peut de plus être personnalisée (politiques P150, P188). Pour rappel, les
propositions par défaut faites à l’utilisateur sont :
-
Chiffrer tout le volume ;
-
Créer un dossier chiffré « Protected » ;
-
Créer un dossier chiffré « Protected » et créer un conteneur chiffré ;
-
Créer juste un conteneur chiffré (NOUVEAU).
L’administrateur peut imposer ou exclure certains de ces choix. Il peut par exemple
indiquer que l’utilisateur se voit proposer uniquement le choix 1 et le choix 3, ou encore
qu’il n’y ait pas de choix et que le seul modèle imposé soit le chiffrement global de la clé.
La fenêtre de proposition elle-même peut être modifiée, en masquant par exemple le
bouton Annuler, ou encore la case à cocher « Ne plus me proposer pour ce volume ».
Grâce à ces nouvelles politiques, l’administrateur peut durcir la gestion des clés USB de
son parc, et interdire toute « sortie » de données en clair.
Cette fonctionnalité a de plus été étendue à tout type de support amovible : les clés USB
de type U3 sont maintenant parfaitement supportées, de même que les disques durs
externes USB, Firewire, eSata, etc. Ce type de support était vu dans les précédentes
versions comme étant fixe, et il n’y avait donc pas de proposition de chiffrement.
PX76058 r1
[E#2179]
+ sûr
Release Notes v2.51
Nouveautés diverses
Fonctionnalité SSO : le mot de passe est protégé par le login Windows
[E#2129]
La nouvelle politique P110 permet à l’utilisateur de ne pas avoir à saisir son mot de passe
ZoneCentral une fois qu’il a ouvert sa session Windows. Le mot de passe de l’accès ZoneCentral est
stocké et protégé par Windows afin de pouvoir être obtenu dès l’ouverture de session. L’utilisateur
fonctionne ainsi en mode SSO (Single Sign On).
L’utilisation de cette politique est soumise à certaines restrictions :
-
Elle ne fonctionne qu’avec le mot de passe personnel de l’utilisateur (configuré dans sa
liste d’accès personnelle ou dans sa clé personnelle) ;
-
Un ou plusieurs accès obligatoires doivent être configurés (P131).
La présence d’accès obligatoires est imposée pour s’assurer une solution de recouvrement en cas de
défaillance du stockage du mot de passe (externe à ZoneCentral).
Cette politique n’est pas rétroactive : le mot de passe n’est enregistré qu’au moment de la création
de la liste d’accès personnelle. L’activation de la politique n’a aucun effet sur les listes d’accès
personnelles déjà existantes.
Il est bien sûr important de noter qu’avec cette politique, la protection des fichiers repose sur la
sécurité du Login Windows.
Disponibilité de la langue allemande
[E#2369]
ZoneCentral supporte maintenant la langue allemande pour toutes les interfaces utilisateur. Cette
langue est installée par défaut et est affichée automatiquement pour un utilisateur allemand sur un
système MUI. Le guide utilisateur est également disponible dans cette langue. Les interfaces des
outils d'administration restent uniquement disponibles en anglais et en français.
Utilisation de nouvelles variables de nommage pour le nom de la liste d’accès
personnelle
[E#2150]
pratique
La politique P126 permet de définir le nom de la liste d’accès personnelle d’un utilisateur. Par défaut
le nom est construit à partir des variables ‘%USERDOMAIN% %USERNAME%’. La variable
%USERNAME% (c'est-à-dire le login utilisateur Windows) peut ne pas être très significative dans
certains parcs, où le login utilisateur est par exemple un numéro de matricule abscons.
Pour résoudre ce problème, de nouvelles variables basées sur Active Directory sont disponibles.
Lorsqu’une de ces variables est utilisée, ZoneCentral interroge le domaine sur lequel est enregistré
l’utilisateur. Les variables sont :
-
%AD_FULLNAME% pour le nom complet (champ AD ‘name’) ;
-
%AD_LASTNAME% pour le nom (champ AD ‘sn’) ;
-
%AD_FIRSTNAME% pour le prénom (champ AD ‘givenName’) ;
-
%AD_DISPLAYNAME% pour le nom affichable (champ AD ‘displayName’).
Les noms des fichiers de listes d’accès personnelles sont ainsi plus parlants, et peuvent plus
facilement être associés aux personnes concernées.
Lorsqu’une de ces variables est utilisée, il est indispensable d’indiquer un nom de fichier alternatif,
pour le cas où l’utilisateur se connectant n’appartient pas au domaine (utilisateur local au poste).
L’ancien nom de fichier peut alors être utilisé. La configuration peut prendre la forme suivante :
AD=nom pour un utilisateur du domaine;Other=nom pour un utilisateur hors domaine
Par exemple :
AD=%AD_DISPLAYNAME%;Other=%USERDOMAIN% %USERNAME%
Détection d’insertion de volumes amovibles de n’importe quel type
Cette amélioration est liée à la politique P150 qui affiche une fenêtre de proposition de chiffrement
lorsque l’utilisateur insère un volume amovible, comme une clé USB. Dans les précédentes versions
de ZoneCentral, la détection d’insertion ne concernait que les volumes qui se déclaraient eux-mêmes
explicitement comme amovibles. Ainsi il n’y avait pas de proposition de chiffrement lors de
l’insertion d’un disque dur externe USB, car celui-ci se déclarait comme fixe dans les couches
système Windows.
L’analyse d’un volume a été améliorée afin de correctement détecter n’importe quel type de support
amovible : USB (qu’il se déclare amovible ou fixe), Firewire, eSata, etc. La fenêtre de proposition de
chiffrement apparaîtra lors de l’insertion de toute unité amovible (si bien sûr la P150 est activée).
PX76058 r1
[E#2179]
Release Notes v2.51
Publication automatique de la carte des zones dans une archive
La nouvelle politique P343 permet de définir un ou plusieurs emplacements sur lesquels sont
déposés des archives décrivant toutes les zones locales du poste de travail, ainsi que les fichiers de
contrôle associés. Les fichiers de contrôle sont des fichiers invisibles présents à la racine de chaque
zone chiffrée, décrivant toutes les caractéristiques de la zone : accès, clés utilisées, exceptions de
fichiers, etc.
[E#2188]
utilisation
avancée
Cette politique permet ainsi d’une part de faire une sauvegarde de tous ces fichiers techniques dans
une archive, et d’autre part d’avoir une vision de la topologie du poste dans un format de fichier
analysable (XML).
La carte des zones est publiée sous la forme d’un fichier d’archive .cab (format standard Windows).
A chaque modification de l’état de chiffrement, deux fichiers sont générés :
- Un fichier « zonemap_xxx », où xxx est le nom de la machine sous forme complète DNS
(par exemple : zonemap_mycomputer.mydomain) ;
- Un fichier « zonemap_xxx_yyy » où xxx est toujours le nom de la machine sous forme
complète DNS, et yyy est la date de publication du fichier, au format yyyymmdd_hhmmss
(par exemple : zonemap_mycomputer.mydomain_20070310_134520).
Le premier fichier est utile car il représente toujours le dernier état de la carte des zones, tandis que
le second fichier permet d’avoir un historique. Il y a donc dans l’emplacement configuré un fichier
représentant le dernier état, et tous les anciens états de la carte des zones.
Chaque archive .cab contient les fichiers suivants :
- Un fichier index.xml. Ce fichier est l’index de la carte des zones : il énumère toutes les
zones du poste, avec leurs informations associées (chemin, type de zone), ainsi que le nom
du fichier de contrôle contenant toutes les informations techniques de la zone.
Le fichier est au format XML. Ce format a l’avantage d’être facilement convertible dans un
autre format (par exemple vers le format HTML, comme le permet le fichier .xsl suivant).
- Un fichier zmxhtm.xsl. Ce fichier, au format XSL, permet de convertir un fichier XML vers le
format HTML, plus lisible. Cette transformation est faite automatiquement lorsque le fichier
index.xml et le fichier zmxhtm.xsl sont dans le même dossier : l’ouverture du fichier
index.xml dans un navigateur effectue automatiquement la conversion au format HTML.
- Des fichiers xx.zcctl_. Ces fichiers sont les fichiers techniques internes de ZoneCentral
(fichiers de contrôle). Ils contiennent toutes les informations permettant d’ouvrir une zone
chiffrée. Le fichier index.html permet de savoir à quelle zone est rattaché un fichier de
contrôle. Ces fichiers peuvent être ouverts avec l’outil de gestion de zones ou la ligne de
commande pour obtenir tous les détails.
Plusieurs emplacements peuvent être spécifiés, en les séparant par des points-virgules.
Nouvelles options de masterisation
[E#----]
Pour rappel, la masterisation permet de préconfigurer un Setup ZoneCentral avec divers éléments :
politiques de sécurité, composants installés, logo, etc.
De nouvelles options, utilisables avec la commande zcacmd master, permettent d’aller plus loin dans
cette customisation :
-
-v : ne pas installer la documentation standard du produit ;
-
-d document : installer le document indiqué à la place de la documentation standard ;
-
-g codelangue : forcer l’utilisation de la langue indiquée sur le poste cible (par défaut
ZoneCentral est MUI, et donc affiche la langue de l’utilisateur connecté) ;
-
-i info : texte court et libre d’information qui est visible dans la première page de
l’installation.
Pour rappel, la totalité des options peut être affichée via zcacmd master /?.
Détection du retrait de cartes PKCS#11 et fermeture des zones associées
ZoneCentral détecte maintenant le retrait de cartes à puces ou tokens utilisés en mode PKCS#11. Il
ferme alors la clé ZoneCentral associée (visible dans l’onglet « Clés d’accès » du Moniteur).
[E#2314]
pratique
Grâce à cette amélioration, et en activant la politique P268 « Fermer les zones sur fermeture des
clés d’accès », un retrait de carte provoquera automatiquement la fermeture des zones ouvertes
correspondantes, c'est-à-dire toutes les zones ayant été ouvertes avec la carte.
Cette politique est cependant sans effet si la carte est utilisée en mode CSP (Cryptographic Service
Provider) : il n’y a pas de détection de retrait dans ce mode.
Support des middlewares Oberthur Card Systems (AuthentIC)
PX76058 r1
[E#2318]
Release Notes v2.51
Les cartes basées sur ce middleware sont maintenant nativement prises en charge par ZoneCentral,
en mode PKCS#11 et CSP.
Ignorer les redirections réseau lors du chiffrement d’un profil
Par défaut, lorsqu’un profil utilisateur est chiffré, l’assistant de chiffrement va détecter les
redirections (par exemple ‘Mes Documents’ redirigés vers un partage de fichiers réseau) et aller les
chiffrer. Les redirections réseau sont en effet considérées comme des extensions du profil, et donc
elles doivent être également protégées.
[E#2129]
pratique
La politique P275 permet d’éviter ce comportement : lorsqu’elle est activée, ZoneCentral ne chiffre
pas les redirections du profil lorsque celles-ci pointent vers des emplacements réseau. Cela peut en
effet être souhaité par un administrateur qui ne souhaite pas que des données réseau soient
chiffrées.
Il faut noter que si la redirection est faite vers un emplacement du poste de travail (par exemple
‘Mes documents’ vers la partition D:), elle sera chiffrée quelque soit la valeur de cette politique. Pour
ignorer toute redirection, réseau ou locale, l’option globale noredirect=1 doit être indiquée dans les
consignes de chiffrement.
Ne pas lancer l’agent de chiffrement au login
[E#2129]
Par défaut, l’agent de chiffrement Crypt Update est lancé à chaque login utilisateur, pour vérifier la
conformité du poste, et proposer la mise à jour si nécessaire.
La politique P135 permet de ne pas lancer l’agent à chaque login. Cela peut être par exemple voulu
si l’administrateur souhaite qu’il y ait une vérification périodique (en utilisant la politique P277) et
non à chaque login.
Définition d’un nombre maximal de refus autorisés avant déclenchement forcé du
chiffrement
[E#2215]
La nouvelle politique P276 permet d’inciter plus fortement les utilisateurs à mettre à jour leur poste.
Par défaut, lorsque l’agent de chiffrement détecte que les consignes de chiffrement ne sont pas
appliquées sur le poste, il l’indique à l’utilisateur et lui propose de démarrer la mise à jour : on ne le
« force » jamais.
Cette politique permet de configurer un nombre limité de refus autorisés. Lorsque le nombre
maximal de refus est atteint, l’agent de chiffrement démarre directement la mise à jour, sans
proposition préalable à l’utilisateur. Entre temps, lors des précédents refus, l’agent de chiffrement
aura prévenu l’utilisateur du nombre de refus autorisés restant avant la mise à jour directe.
Pour rappel, il est également possible de configurer dans les consignes de chiffrement l’option
noask=1 qui applique systématiquement la mise à jour dés qu’une non-conformité est détectée,
sans jamais faire de proposition à l’utilisateur.
P182 : Masquer les détails d’une vérification
[E#2207]
Cette politique est liée au nouvel agent de chiffrement Crypt Update, et permet de masquer le
résultat détaillé de l’analyse, qui peut être jugé complexe pour l’utilisateur.
Le résultat détaillé peut-être consulté par défaut à partir d'un lien présent sur la page d’introduction
de l’agent de chiffrement, qui indique l’état global de l’analyse.
P183 : Masquer les opérations sur le poste de travail
[E#2105]
Cette nouvelle politique permet de masquer toutes les opérations accessibles depuis la fenêtre
« Poste de travail : Chiffrement ». Cette fenêtre peut être obtenue depuis le menu contextuel sur
l’élément « Poste de travail » de l’explorateur, commande « Chiffrement ». Il est possible depuis
cette fenêtre d’effectuer des opérations sur l’intégralité du poste de travail, par exemple de chiffrer
tous les disques locaux.
L’activation de cette politique masque toutes ces opérations globales au poste de travail.
Configuration d’exceptions de fichiers dans les consignes
Pour rappel, les exceptions de fichiers sont des masques qui indiquent quels sont les fichiers qui
doivent rester en clair à l’intérieur d’une zone chiffrée. On a ainsi par exemple des exceptions par
défaut, comme ‘*.pfx’ et ‘*.zaf’, qui garantissent que ces fichiers ne sont jamais chiffrés (cela
gênerait le fonctionnement de ZoneCentral).
ZoneCentral possède une liste d’exceptions de fichiers par défaut, qu’il applique systématiquement
sur toute zone chiffrée créée. On peut aussi ajouter manuellement une exception dans un dossier
spécifique.
Il est maintenant possible d’indiquer des exceptions de fichiers spécifiques à un emplacement, via
les consignes de chiffrement. On peut ainsi laisser en clair certains fichiers identifiés sur un
PX76058 r1
[E#1948]
chiffrement
au
millimètre!
Release Notes v2.51
emplacement donné.
La définition d’exceptions pour une consigne s’effectue dans le champ Valeur associé à un
emplacement à chiffrer. Pour rappel, les différentes options sont séparées dans ce champ par des
points-virgules. L’option est :
Exceptions={…}
Les masques d’exceptions sont indiqués entre les accolades, suivant le format masque=option.
L’option est une composition des lettre R, qui indique que l’exception est récursive (elle s’applique à
tous les sous dossiers) et C, qui indique que le masque est une contre-exception (voir la nouveauté
relative aux contre-exceptions pour plus de détails).
Exemple :
Exceptions={*.sys=R ;toto.exe=RC}
Cette configuration indique que le dossier et ses sous dossiers contiendra l’exception récursive *.sys,
et que les fichiers nommés toto.exe seront chiffrés, contrairement à l’exception par défaut *.exe,
mise automatiquement par ZoneCentral.
L’option nodefaultexceptions=1 permet d’ignorer toutes les exceptions par défaut.
Exemple :
Nodefaultexceptions=1;Exceptions={*.pdb=R}
Sur l’emplacement associé à cette consigne, tous les fichiers seront chiffrés, exceptés ceux
terminant par .pdb. Les exceptions par défaut ne s’appliqueront pas sur cet emplacement.
Définition de contre-exceptions dans une zone chiffrée
Les contre-exceptions permettent d’affiner la définition de ce qui est chiffré et ce qui en clair dans
une zone chiffrée. Si par exemple on a dans une zone l’exception de fichier ‘*.exe’, la contreexception ‘demo*.exe’ permettra d’indiquer que tous les fichiers ayant l’extension .exe seront bien
en clair, SAUF ceux commençant par ‘demo’. Pour déterminer si un fichier est chiffré, ZoneCentral
traite en priorité la contre-exception avant de regarder l’exception de fichier. Il est ainsi possible de
configurer que dans un dossier, uniquement les fichiers .doc doivent être chiffrés : il suffirait de
configurer l’exception * (« tous les fichiers sont en clair ») et la contre-exception *.doc (« sauf ceux
ayant l’extension .doc »).
[E#2118]
au dixième
de
millimètre!
Les contre-exceptions sont configurables dans les différentes interfaces de gestion de zones
(propriétés dans l’explorateur Windows, outil de gestion de zones ZCEdit…) ainsi que dans les
consignes de chiffrement.
Réactiver la proposition de chiffrement lors de l’insertion d’un volume amovible
Dans la fenêtre de proposition de chiffrement d’un volume amovible inséré, une case à cocher ‘Ne
plus me proposer’ permet de ne plus avoir de détection d’insertion du volume, identifié par son
numéro de série. Les futures insertions du volume ne déclencheront alors aucune proposition.
[E#2326]
astuce
Une astuce pour réactiver la détection est de maintenir la touche shift enfoncée au moment de
l’insertion de la clé. La proposition réapparaîtra alors.
Déclencher l’ouverture automatique de toutes les zones après la première
ouverture
[E#2062]
Par défaut, ZoneCentral ouvre les zones au fur et à mesure. Dés lors qu’une donnée chiffrée est lue
dans une nouvelle zone, celle-ci s’ouvre automatiquement si l’utilisateur avait déjà saisi son code
pour une autre ouverture de zone.
Avec les politiques P282 et P283, ce fonctionnement peut être modifié : dés lors qu’une première
zone chiffrée est ouverte, toutes les autres zones chiffrées du poste de travail s’ouvriront
automatiquement. Par défaut, un délai de 5 secondes espace chaque ouverture de zone, afin que
cela ne soit pas sensible au niveau des performances de la machine. La politique P283 permet de
changer ce délai.
Ce type de fonctionnement peut être utile lorsque des tokens ou cartes à puce sont utilisés pour
l’ouverture de zone. Avec ces moyens d’authentification, chaque ouverture de zone nécessite un
accès au token, qui peut être plus ou moins long selon le type de token. Lors de l’ouverture d’un
fichier dans une nouvelle zone, on peut alors avoir un léger temps de latence avant que le fichier ne
soit réellement ouvert (le temps d’entrée/sortie avec le token). Configurer cette politique permet
d’avoir systématiquement toutes les zones ouvertes, et donc de n’avoir jamais de temps de latence
lors de l’ouverture d’un fichier dans une nouvelle zone.
On ne peut plus assigner le rôle « Recouvrement » à un accès lorsque les accès
de recouvrement sont masqués
ZoneCentral permettait d’assigner le rôle Recouvrement à un accès même si les politiques
masquaient ce type d’accès. L’administrateur pouvait ainsi positionner ce rôle, ce qui rendait par la
PX76058 r1
[E#2317]
Release Notes v2.51
suite invisible cet accès. Cela pouvait provoquer des problèmes de compréhension.
Dorénavant, si la politique P193 indique que les accès de recouvrement sont masqués (c'est-à-dire
que la politique est désactivée), il n’est pas possible d’assigner ce rôle : le choix n’apparait plus dans
les interfaces de l’explorateur.
Cette opération reste cependant toujours possible dans les outils d’administration, qui ne masquent
jamais les accès de recouvrement.
Améliorations graphiques dans le Moniteur
Quelques améliorations cosmétiques ont été réalisées sur le moniteur. Les zones et les clés d’accès
peuvent maintenant être triées par catégorie ou par colonne. Les paramètres choisis sont conservés
d’une exécution à une autre.
PX76058 r1
[E#2356]
Release Notes v2.51
Corrections ou améliorations
Optimisation de l’étape de vérification à la fin d’un chiffrement
L’étape de « Vérification » (aussi appelée « Défragmentation ») réalisée à la fin d’une opération de
chiffrement ou déchiffrement a été fortement optimisée et dure désormais beaucoup moins
longtemps.
Permettre le fonctionnement de NTBackup lorsque les zones sont fermées
[E#2248]
+rapide
[E#2140]
Le dossier présent dans le profil utilisateur ‘Local Settings\Application Data\Microsoft\Windows
NT\NTBackup’ est maintenant détecté et systématiquement laissé en clair lors du chiffrement du
profil utilisateur.
De plus une nouvelle exception de fichier a été ajoutée à la racine de chaque volume du poste.
Ces deux modifications permettent à l’application NTBackup de réaliser ses opérations de
sauvegarde lorsque les zones sont fermées.
Compatibilité avec le mode ‘Mise en cache automatique’ d’un partage de fichiers
synchronisé
[E#1883]
compatibilité
La configuration de certains partages de fichiers réseau en mode ‘Mise en cache automatique’
(« Tous les fichiers et les programmes ouverts par les utilisateurs à partir de la ressource partagée
seront automatiquement disponibles hors connexion ») pouvait poser des problèmes de
reconnaissance de zones chiffrées. Une zone chiffrée réseau mise en cache de cette manière pouvait
apparaître comme une zone en clair. Tout fichier écrit alors dans cette zone était copié en clair sur le
disque, puis incorrectement restitué lorsque le poste était reconnecté.
Ce mode est maintenant parfaitement pris en charge par ZoneCentral.
Meilleur support des snapshots Microsoft
Les snapshots Microsoft sont maintenant correctement détectés par ZoneCentral. Ces snapshots
sont représentés physiquement par des dossiers commençant par ‘@GMT-‘. Ils contiennent des
‘photographies’ horodatées des différents fichiers du volume. ZoneCentral détecte ces dossiers et les
gère de manière spécifique, pour ne pas gêner leur fonctionnement.
Meilleur support des clés USB de type U3
Lors de l’insertion d’une clé de ce type, la fenêtre de proposition de chiffrement du volume pouvait
être affichée plusieurs fois. ZoneCentral est maintenant totalement compatible avec ce type de clé.
Marquage des conteneurs chiffrés .zed
Les fichiers .zed sont maintenant ‘marqués’ par une signature, définie au début du fichier. L’objectif
est d’avoir une signature caractéristique pour ces fichiers, configurable dans des règles de firewall,
de messagerie, etc.
Pour les versions précédentes de ZoneCentral, la signature, sur 8 octets, était la suivante :
0xd0, 0xcf, 0x11, 0xe0, 0xa1, 0xb1, 0x1a, 0xe1
Cette signature n’était pas satisfaisante, car elle pouvait concerner d’autres types de fichiers.
Une nouvelle signature a été définie, sur 24 octets :
0xd0, 0xcf, 0x11, 0xe0, 0xa1, 0xb1, 0x1a, 0xe1
0xfe, 0x00, 0x00, 0x00, 0x04, 0x88, 0xa8, 0x4c
0x88, 0x68, 0x36, 0xf5, 0x9d, 0xef, 0xd1, 0x4d
PX76058 r1
[E#2338]
compatibilité
[F#2163]
compatibilité
[E#2194]
Release Notes v2.51
Support de champs SID dans les politiques de restrictions
De nombreuses politiques (comme la P153) permettent de définir des utilisateurs ou groupes au
sens Windows, membres d’un domaine ou locaux à un poste. Ces politiques supportent maintenant
les identifiants de sécurité Windows SID. Ces identifiants sont assez techniques et manipulés par les
couches internes du système.
[E#2240]
technique
L’utilisation de ces identifiants peut s’avérer nécessaire lorsque des problèmes de résolution de noms
de groupe sont rencontrés (très rare). Les SIDs constituent une solution alternative ne nécessitant
par de résolution.
Exemple de SID :
{S-1-5-21-607353999-3515469988-2625045403-1119}
L’utilisation de ce moyen doit rester marginale : l’utilisation de la syntaxe NetBios pose très
rarement des problèmes de résolution. Problème de chiffrement sur certains serveurs NetApp CIFS
[F#2357]
Sur certains serveurs NetApp n’implémentant pas toutes les fonctionnalités CIFS (et plus
particulièrement l’énumération de streams), le chiffrement échouait systématiquement. Ce problème
a été corrigée.
Affichage d’entrées en double dans l’onglet ‘Clés d’accès’ du Moniteur
Lorsqu’une carte à puce ou un token étaient utilisés en mode PKCS#11 pour ouvrir des zones, le
tableau ‘Clés d’accès’ pouvait contenir des doublons. Cette anomalie, qui n’avait aucune incidence
fonctionnelle, a été corrigée.
[F#2316]
mineur
Siège : 10 place Charles Béraudier 69428 Lyon Cedex 03 - France - Tél. : +33 (0)4.26.68.70.02 - Fax : +33 (0)4.26.69.70.04
Service Commercial : 14 avenue d'Eylau 75116 Paris - France - Tél. : +33 (0)1.77.72.64.80 - [email protected]
