Fix Notes ZoneCentral 2.51 (PX71021) r404

Transcription

Fix Notes 2.51 Build 404
Prim'X Labs, Lyon, le 14 mai 2007,
Versions concernées
Cette fix-notes concerne ZoneCentral 2.51 (ServicePack 1) et ZoneExpress 2.51.
Elle concerne tout produit à partir du build 380 (et supérieur).
Pour les versions 2.5 (hors SP1) de ZoneCentral, consulter la fix-notes 2.5.
Les builds de ZoneCentral 2.5 démarrent à 280,
Certains fix sont reportés en version 2.5 et documentés dans la fix-notes 2.5.
La version 2.5 est maintenue, mais les fix se limitent aux corrections sanitaires ou de sécurité.
Pour les versions 2.51 de ZoneExpress, ces fix-notes s'appliquent.
Pour connaître les différences (nombreuses et utiles) entre la version 2.5 de base et la version 2.51 (soit, le
Service Pack 1), consulter la Release Notes de la version 2.51.
La version actuelle de ZoneCentral est la version 2.51 (2.5 avec Service Pack 1), build 38x et +.
Les builds de ZoneCentral 2.51 démarrent à 380,
Tous les fix (corrections importantes et mineures, évolutions spécifiques -mais généralisablessur cas concrets), sont implémentés dans cette version, et documentés dans cette fix-notes qui est
mise à jour à chaque émission de build.
Nos travaux internes sur de prochaines évolutions (mineurs, majeures ou fondamentales)
sont effectués sur des "branches" séparées et n'ont donc aucun impact possible.
Fix Build 404
Optimisation du chargement des listes d’accès lors de l’ouverture de zones
Corrige des temps d’attente excessifs lors des logins utilisateur.
Lors de l’ouverture d’une zone chiffrée, chaque liste d’accès référencée est recherchée sur les
emplacements définis en policies. L’emplacement de référence est en général défini vers un partage
réseau. Lorsque l’accès réseau est très lent, ou lorsque le poste est déconnecté (portable), des
blocages de plusieurs secondes pouvaient subvenir, notamment à l’ouverture de session. Ce
phénomène pouvait être amplifié si le cache des fichiers disponibles hors connexion était lui-même
chiffré.
[F#2260]
Important
+ rapide
Le mécanisme de chargement des listes d’accès a été entièrement revu afin de bannir ces temps de
latence trop longs. Les accès trop longs sont maintenant détectés afin de se replier tout de suite
vers le cache des listes d’accès.
Absence des icônes de cadenas sur les dossiers d’un partage de fichiers DFS
[F#2252]
Un dossier chiffré apparaissait sans icône sur ce type de partage. Cette anomalie est corrigée.
Forte amélioration de la compatibilité avec les différentes versions de Symantec
Antivirus 10
L’intégration avec les différentes sous-versions de l’antivirus Symantec 10 a été entièrement revue
et validée. Des effets de bord indésirables pouvaient effectivement se produire : demandes trop
fréquentes de mise à jour de la base de définition des virus, blocages aléatoires lors de l’analyse de
fichiers, échecs d’ouverture de zone.
Déclenchement d’un accès au lecteur de disquette lors de l’affichage de
l’arborescence de l’explorateur Windows
[F#2223]
[F#2236]
[F#2223]
[F#2277]
Sur les postes équipés de lecteurs de disquettes, l’affichage de l’explorateur déclenchait un accès
bruyant au lecteur. Le gestionnaire des icônes (‘overlays’ cadenas) de ZoneCentral effectuait en effet
un accès au lecteur pour déterminer si une zone chiffrée était présente.
Ce phénomène gênant a été corrigé.
Meilleure tolérance aux incohérences dans la base de registre Windows
Lorsque l’assistant de chiffrement rencontrait certaines incohérences du système dans la base de
registre, il pouvait se terminer avec le message d’erreur ‘Fichier non trouvé’.
L’assistant de chiffrement est maintenant plus tolérant à ce type d’erreur.
Fix Notes ZoneCentral 2.51 (PX71021)-r404.doc
[F#2292]
[F#2259]
rare
Echec de l’assistant de chiffrement en environnement Citrix lorsque le lecteur
‘C :’ n’existe pas (redirigé)
[F#2287]
rare
L’assistant se terminait avec le message d’erreur ‘Erreur interne’. Ce cas est désormais supporté.
Nouvelle Policy P499 « Règles réservées »
[E#2286]
Cette Policy est dédiée à des options particulières spéciales. Elle ne permet en aucun cas de
diminuer la sécurité du produit : il s’agit de l’activation ou désactivation de paramètres techniques,
liés à des cas très particuliers.
Fix Build 399
Compatibilité avec les tokens RSA SecurId SID 800 en mode PKCS#11
[E#2144]
Ces tokens n’étaient utilisables avec ZoneCentral que via l’utilisation du mode d’accès CSP
(magasins de certificats Microsoft).
Ils sont maintenant totalement supportés en mode PKCS#11.
Configuration de modules PKCS#11 spécifiques
[E#2175]
La politique P296 permet désormais d’utiliser des variables d’environnement pour désigner le chemin
d’accès d’un module PKCS#11. Par exemple %ProgramFiles%\MyToken\MyPkcs11.dll
Exclure des volumes réseau (P351)
[E#2168]
La politique P351 permet d’exclure des volumes, que ZoneCentral ne prendra donc pas en charge.
Surtout pour des raisons éventuelles de compatibilité, par exemple. Cette politique est rarement
utilisée.
Elle permet désormais d’indiquer également des chemins réseau que ZoneCentral ne doit pas
prendre en charge. Dans le cas de partages réseaux ‘lents’, ‘longue distance’, fortement utilisés, cela
peut permettre de réduire la charge induite sur le réseau, charge induite par le fait que ZoneCentral
cherche à détecter des zones chiffrées. Quand il s’agit de partages connus comme non chiffrés, les
déclarer en P351 peut être une optimisation intéressante. Quand il s’agit de réseau locaux et/ou
rapides, cela a moins d’intérêt.
La syntaxe est \Server\Partage, avec possibilité d’utiliser le méta-caractère ‘*’. Le nom est caseinsensitive. Attention, il n’y a qu’un seul \ au début. Pour spécifier un serveur complet, il faut
indiquer \Server\*.
Correction d’un problème de compatibilité avec les tokens ActivIdentity en mode
PKCS#11
[F#2143]
Les tokens de cette gamme publient, à tort, le support de saisie de PIN physique (directement sur la
clé USB). De ce fait ZoneCentral invitait l’utilisateur à entrer son code sur l’interface du token, qui
n’en possédait pas : le token n’était pas utilisable ne mode PKCS#11.
ZoneCentral est maintenant de nouveau compatible avec ActivIdentity, car il ignore la publication
erronée des tokens de cette gamme.
Autre manifestation du problème, mais avec d’autres tokens : il se peut que le champ de saisie du
code PIN soit grisé par erreur alors que la saisie du PIN devrait pouvoir être faite.
Eviter certains problèmes de fonctionnement du WinLogon sous Citrix
Pour des raisons inconnues, les extensions logicielles du Winlogon peuvent se bloquer dans certains
environnements Terminal Server / Citrix. Pour que ZoneCentral ne soit pas pénalisé par ce
problème, une méthode alternative a été ajoutée dans ZoneCentral et qui évite d’utiliser son
extension du Winlogon.
[F#2166]
spécial
TS/Citrix
Pour activer cette méthode, dans la clé de registry
HKLM/Software/Prim’X/ZoneCentral/2.51/Specials, créer un élément Special14 de type REG_DWORD
avec une valeur 1.
Le problème avait pour conséquence d’empêcher le démarrage du processus utilisateur ZCU.exe de
ZoneCentral. A titre de précaution supplémentaire, ce processus est désormais automatiquement
relancé en cas de besoin s’il n’est pas présent.
Il pouvait être proposé de changer un mot de passe de recouvrement
[F#2153]
La policy P109 (Durée de validité d’un mot de passe), permet de déclencher le changement d’un mot
de passe lorsque celui-ci expire. C’était également le cas pour un mot de passe de recouvrement : le
changement pouvait être proposé lorsque l’officier de sécurité effectuait un accès de recouvrement.
Ce comportement a été changé et les mots de passe de recouvrement ne sont plus impactés par
cette policy. Les accès de recouvrement doivent en effet être gérés et renouvelés de manière
explicite par l’officier de sécurité, il ne peut s’agir d’une opération proposée automatiquement.
La Policy Windows «empêcher l’accès aux lecteurs du poste de travail» rend
impossible l’ouverture d’un fichier d’un conteneur chiffré par ‘double-click’
Parce que cette ouverture entraine une copie du fichier dans le dossier temporaire de l’utilisateur via
l’Explorateur Windows, et que l’Explorateur se voit refuser cette opération à cause de cette policy
Windows.
Il est possible de spécifier dans la clé de registry HKLM/Software/Prim’X/ZoneCentral/2.51/Specials,
un élément Special13 (type REG_SZ) qui indique un autre chemin par défaut pour les fichiers
ouverts par double-click dans un conteneur chiffré.
Note : cette modification s’applique aussi à toutes les déclinaisons du logiciel Zed !. Dans ce cas la
clé de Registry ne comporte pas le nom ZoneCentral mais le nom du logiciel concerné.
Certaines policies configurées sur serveur Novell n’étaient pas correctement
respectées sur les postes client
[F#2158]
cas très
particulier
[F#2142]
Les policies de type liste de valeurs, comme par exemple les consignes de chiffrement, n’étaient pas
appliquées sur les postes client. La différence de format de ces policies lorsqu’elles étaient
‘descendues’ depuis un serveur Novell fait que ZoneCentral interprétaient mal leur valeur.
Cette erreur est corrigée et l’intégralité des policies issues d’un serveur Novell est bien interprétée.
Echec dans certaines conditions de la restauration avec la fonctionnalité
Windows des snapshots (‘anciennes versions’)
[F#2155]
rare
Dans certains cas, la restauration pouvait échouer avec une erreur ‘accès refusé’. ZoneCentral est
maintenant totalement compatible avec les snapshots Windows.
Note : Cette anomalie n’impactait pas les snapshots de type NetApp, qui eux fonctionnaient
parfaitement avec ZoneCentral.
Blocage pendant un chiffrement ou déchiffrement d’une arborescence importante
en présence du logiciel Antivirus Symantec 10
Ne se produit pas tout le temps, cela peut dépendre de la granularité de l’arborescence, de la taille
des fichiers, etc, dans des circonstances où sav10 et ZoneCentral peuvent se gêner mutuellement.
Î
[F#2172]
mise à jour
conseillée
La mise à jour avec ce Build est conseillée si ce logiciel Antivirus est présent.
Correction de certains Blue Screens très aléatoires
Une faute logicielle a été corrigée qui explique certains BSOD (3 cas connus).
Fenêtre d’erreur ‘Pure Virtual Function Call’
Cela fait des mois que nous cherchions à diagnostiquer ce message sans conséquence qui
apparaissait dans des cas rares et mystérieux. Il a enfin été corrigé et se produisait en fait lors d’un
réveil d’hibernation, lorsqu’il y a un module externe Pkcs#11 qui se réveille mal et qui met trop de
temps à répondre à certaines sollicitations.
En cas de forte charge sur machine Terminal Server, et dans des conditions
particulières (‘race conditions’), des blocages pouvaient apparaître
[F#2170]
rare
[F#2169]
dur à
produire !
[F#2156]
rare
Dans des cas très particuliers, avec une machine ayant un grand nombre de sessions ouvertes
(Terminal Server par exemple), le processus ZoneCentral pouvait s’asphyxier.
L’architecture de certains composants a été optimisée et sécurisée pour éviter les blocages
potentiels.
En mode clé d’accès personnelle (P128), le nom affiché du dossier personnel
ZoneCentral pouvait être erroné
Lors d’une mise à jour vers un build 39x, le nom affiché de l’emplacement personnel des listes
d’accès, par défaut sous ‘profil\application data\zonecentral’ était erroné (‘#px#%productname%’).
Il est à noter que le vrai nom du dossier ne change pas (ZoneCentral), il s’agit seulement du nom
[F#2152]
mineur
affiché dans l’explorateur.
Fix Build 396
Echec lors de la suppression de dossiers chiffrés sur le bureau
Ö
[F#2135]
Utilisateurs du build 395, cette mise à jour est recommandée
La suppression de dossiers chiffrés sur le bureau, avec un profil utilisateur entièrement chiffré,
pouvait conduire à un échec de l’opération : le dossier semblait supprimé, alors qu’il ne l’était pas
vraiment, un rafraîchissement le faisant réapparaître.
Cette anomalie était présente uniquement sur le build 395.
Les fichiers d’export de policies sont plus lisibles
Le format de ces fichiers, générés par la commande ‘exportpolicies’, a été amélioré. Les policies
étaient auparavant uniquement identifiées par leur nom technique, peu compréhensible. Le numéro
de policy, tel qu’il apparaît dans l’éditeur graphique gpedit, a été ajouté pour améliorer la lisibilité.
Revue générale des textes traduits de la version anglaise par la société
LionBridge
[E#2138]
pratique
[E#2137]
L’intégralité des libellés anglais a été revue afin de valider leur pertinence.
Compatibilité du fichier modèle de policies avec l’outil GPMC
[F#2131]
Les fichiers adm installés avec ZoneCentral ne pouvaient être affichés avec l’outil Microsoft GPMC.
Leur format a été revu afin d’assurer cette compatibilité.
Utilisateurs de PowerCrypt (diffusion Sagem Défense Sécurité)
[F#2139]
Emplacement primaire des listes d’accès par défaut erroné
L’emplacement utilisé par défaut était : All Users\Application Data\ZoneCentral, au lieu de :
All Users\Application Data\PowerCrypt.
Le chemin par défaut a été rectifié dans le build 396 de PowerCrypt.
Fix Build 395
Support des tokens cryptographiques intégrant un Pin-Pad, tel que le token RCI
de la société BULL
Ces tokens ont la particularité d’intégrer directement sur leur matériel un Pin-Pad, de sorte que le
code Pin n’a pas à être saisi sur l'ordinateur, ce qui élimine les possibilités d’interception.
[E#2079]
[E#2078]
[E#2077]
ZoneCentral est maintenant totalement compatible avec ce type de tokens : dans la fenêtre
d’ouverture de zones, l’utilisateur est invité explicitement à saisir le code directement sur son token.
Le token RCI de la société BULL, utilisant ce mécanisme, a été intégré avec ZoneCentral et est
maintenant supporté nativement en mode PKCS#11.
Le dossier CmdCons lié à la console de récupération Windows est détecté et
laissé en clair
[E#2103]
Ce dossier technique est créé par la console de récupération pour enregistrer tous les fichiers
système pouvant être restaurés. L’assistant de chiffrement détecte maintenant ce dossier et le laisse
en clair.
Impossible d’avoir plusieurs références vers des listes d’accès dans une zone en
version d’évaluation
La seule différence entre la version d’évaluation et la version officielle de ZoneCentral concerne son
moteur cryptographique : en version d’évaluation, toutes les clés générées sont constantes. La
sécurité n’est donc pas réellement assurée, car les fichiers sont chiffrés avec des clés constantes
très simples.
Un effet de bord lié à cette restriction était qu’il était impossible en version d’évaluation d’avoir
plusieurs listes d’accès référencées dans une zone. C’était dû au fait que les clés internes
[F#2082]
en eval.
uniquement
d’identification des listes étaient constantes, ce qui rendait deux listes indépendantes identiques aux
yeux de ZoneCentral. Un autre symptôme de cette anomalie est qu’il était impossible de chiffrer
lorsqu’un accès obligatoire de type liste d’accès était configuré.
Meilleure tolérance à la présence d'un antivirus serveur lors du chiffrement d'un
partage de fichiers
[F#2094]
Certains antivirus serveur ouvrent périodiquement des fichiers de manière exclusive, sur des laps de
temps courts. Ce fonctionnement pouvait empêchait un chiffrement complet d'un partage de fichiers,
ce qui nécessitait de terminer le chiffrement manuellement.
Les modifications de fichiers effectuées par l'assistant ont été optimisées et rendues plus tolérantes
à ce cas de figure. Le partage de fichiers peut alors être intégralement chiffré pour peu que
l'antivirus ne 'tienne' pas le fichier ouvert trop longtemps.
Echec lors de l’utilisation du mot de passe de secours pour changer son mot de
passe dans le Moniteur
[F#2090]
Cette opération échouait systématiquement dans le build 394.
Il était néanmoins possible de contourner cette anomalie en éditant la liste d’accès personnelle via
les propriétés Windows.
Mauvais affichage des modèles d’administration des stratégies de sécurité
(policies) sous Windows Vista et Windows 2003 R2
[F#2087]
mineur
Sous Windows Vista et Windows 2003 R2, tous les textes des stratégies ZoneCentral étaient
encadrés par des guillemets.
Echec de l'assistant de chiffrement sur des configurations particulières
Sur certaines configurations et lorsqu'il était lancé depuis un compte Administrateur, l'assistant de
chiffrement pouvait échouer avec l'erreur 'Fichier non trouvé' ou 'Chemin non trouvé'.
[F#2101]
[F#2099]
très rare
Cette erreur très rare se produisait lorsqu'un autre compte utilisateur de la machine était présent
mais incomplet.
Blocage de quelques minutes après le login Windows sur un poste chiffré
utilisant des dossiers disponibles hors connexion
[F#2097]
rare
Sur certaines configurations, le chiffrement intégral du poste pouvait ralentir le login : le poste
semblait alors bloqué pendant quelques minutes au login, avant qu'une fenêtre d'ouverture de zone
apparaisse. Ce blocage survenait sur certaines configurations particulières.
Cette anomalie est corrigée. La méthode de chargement des listes d'accès par le service ZoneCentral
a été optimisée et rendue plus tolérante aux blocages système.
Plus grande tolérance sur la syntaxe des options consignes de chiffrement
[F#2071]
L’analyse des options configurées dans les consignes de chiffrement est maintenant plus tolérante
sur la syntaxe, et autorise l’utilisation d’espaces.
L'annulation de l'assistant de chiffrement en mode quick (rapide) ne rétablissait
pas le fichier en cours de traitement dans le bon état
[F#2095]
Pour rappel, le mode 'quick' de l'assistant permet de chiffrer sans effectuer toutes les opérations de
sauvegarde des fichiers avant leur transformation. L'opération est ainsi plus rapide, mais moins
tolérante aux coupures de courant et crashs système. L'annulation d'une opération lancée en mode
quick pouvait conduire à rendre le fichier en cours de traitement temporairement illisible : son état
n'était plus conforme avec la zone dans laquelle il se trouvait. Ainsi un fichier pouvait être laissé en
clair alors qu'il était dans une zone chiffrée. Une opération technique avancée était alors nécessaire
pour récupérer le fichier.
L'annulation en mode quick est maintenant totalement sûre.
Dysfonctionnement lors du chiffrement de fichiers de plus de 4 Go
[F#2096]
L'assistant de chiffrement échouait lors du chiffrement de fichiers trop volumineux.
Problème d'ouverture de fichiers sur DVD-Rom sous Windows 2003 R2
L'ouverture de fichiers sur DVD échouait avec cette version de Windows 2003 lorsque ZoneCentral
était installé.
[F#2081]
Fix Build 394
La policy P129 "Utilisation du certificat personnel dans Active Directory" est
maintenant disponible également dans ZoneExpress.
[E#1805]
important
Cette fonctionnalité était déjà présente dans ZoneCentral. Elle permet d'éviter à l'utilisateur de
choisir avec quelle clé il désire chiffrer ses fichiers : si un certificat le concernant est publié dans son
compte Active Directory, il sera automatiquement utilisé lors de la création de sa liste d'accès
personnelle (sous réserve bien sûr que l'utilisateur puisse indiquer la clé privée correspondant à ce
certificat).
Le dossier temporaire Temp peut être déchiffré malgré la présence de fichiers
ouverts.
[E#1978]
+transparent
Ce dossier (présent par défaut dans le profil utilisateur, sous 'Local Settings\Temp') contient souvent
des fichiers ouverts par des applications, qui ne sont pas toujours faciles à fermer pour l'utilisateur.
Le traitement de ce dossier lors du chiffrement était déjà particulier, et permettait le chiffrement
malgré la présence de fichiers ouverts. Néanmoins cela ne marchait que lorsque le dossier passait
d'un état clair vers un état chiffré : un déchiffrement ou un transchiffrement n'étaient pas possibles,
et il était obligatoire que l'utilisateur ferme les applications concernées.
Cette limitation n'existe plus : quelque soit l'opération effectuée, la présence de fichiers ouverts ne
pose plus de problèmes.
Le mode 'clé d'accès personnelle' (policy P128) permet maintenant l'utilisation
de mots de passe.
[E#1806]
Ce mode (qui est une alternative à l'utilisation de listes d'accès personnelles) était réservé aux clés
de type RSA (certificat). Ca n'est plus le cas : l'utilisateur est maintenant libre de choisir un mot de
passe (si les autres policies liées aux types d'accès l'y autorisent bien sûr).
Basculement plus facile pour un utilisateur d'une clé mot de passe vers une clé
certificat (RSA), et inversement.
[E#1965]
pratique
Cette opération n'était pas directement accessible dans le moniteur : si l'utilisateur possédait un mot
de passe, il était invité à le changer, mais ne pouvait pas le remplacer par une clé RSA. Pour cela il
devait faire une édition manuelle de sa liste d'accès personnelle, ce qui n'était pas pratique.
Toutes les transitions entre les types de clé sont maintenant gérées dans les assistants, ce qui
permet une migration du type de clé beaucoup plus facile.
Ne concerne pas ZoneExpress.
Les fichiers cachés 'ZoneCentral.sav' deviennent 'Zone.sav'.
Ces fichiers, utiles pour certains types de backup/restauration, changent de nom. Cela n'a aucun
impact fonctionnel, et les fichiers 'ZoneCentral.sav' déjà existant sont silencieusement remplacés.
Cette évolution peut cependant avoir un impact sur les éventuels scripts mis en place par
l'administrateur qui se basaient sur ce nom de fichier.
Nouveaux champs 'masterisables' dans l'installation : titre, sujet et auteur.
[E#1991]
à savoir
[E#1973]
Il est maintenant possible à l'administrateur lors de la création d'un master d'installation de spécifier
les champs du 'Summary Stream'. Ces champs apparaissent lorsqu'on affiche les propriétés (par
l'explorateur) d'un fichier msi. De plus une masterisation met à jour automatiquement le champ
Commentaires du msi, en indiquant 'MASTER (date)'. Cela permet distinguer plus facilement ses
différents fichiers msi.
Lors d'une phase de transformation de fichiers par l'assistant (chiffrement,
déchiffrement, etc.), les zones restent toujours ouvertes malgré un verrouillage
ou une mise en veille.
[E#1961]
La fermeture automatique des zones (par exemple sur verrouillage du poste) lorsque l'assistant de
chiffrement était lancé pouvait provoquer certains problèmes, conduisant à un état où tout n'était
pas chiffré (ce qui nécessitait de relancer l'assistant).
Dorénavant, dés lors que l'assistant de chiffrement est actif, il n'y a plus de fermeture automatique
de zone. L'assistant peut ainsi terminer son travail malgré un verrouillage ou une mise en veille.
Forcer la langue d'utilisation lors de l'installation.
[E#1958]
Le passage de l'argument "ZC_LANG_FORCED=1036" (1036 dans le cas d'un forçage en français)
lors du lancement du setup ou du fichier .msi permet de forcer la langue utilisée. Par défaut cette
langue est déterminée selon les principes MUI Windows.
Préparation à l'intégration de multiples langues.
La gestion interne de la langue affichée a évolué afin de permettre la traduction et l'intégration du
produit dans une autre langue dans des délais minimaux. Le processus de traduction est maintenant
complètement externalisé et permet de démarrer l'intégration de nouvelles langues très rapidement.
Adaptation à la marque blanche ('rebranding')
Dans une perspective de distribuer les produits sous une autre marque (bundles avec des solutions
partenaires), des travaux d'architecture internes ont été faits afin d'isoler et rendre configurables les
différents éléments (textes, graphiques etc.) désignant le nom de produit.
Adaptation des installations des produits ZoneCentral et ZoneExpress pour gérer
le nouveau produit Zed.
[E#2056]
interne
[E#2057]
interne
[E#2058]
interne
Les installations des différents produits ont été adaptées afin de gérer le nouveau produit Zed
(version indépendante).
Malgré la policy P129 (utilisation des certificats publiés dans ActiveDirectory),
un nouveau certificat n'était pas détecté lorsque l'utilisateur possédait une liste
d'accès personnelle avec un mot de passe.
[F#2017]
L'utilisateur devait alors éditer manuellement sa liste d'accès personnelle pour utiliser le nouveau
certificat, ce qui n'était pas pratique.
Correction d'une incompatibilité avec l'antivirus ESET Nod32.
[F#1979]
Sur la version 2.5 de cet antivirus, le chiffrement de fichiers échouait systématiquement.
La compatibilité avec ce logiciel est maintenant totale.
Dysfonctionnement (rare) sur machines multiprocesseur.
Sur certaines configurations particulières multiprocesseur, un blocage pouvait survenir. Ce problème
n'a été constaté qu'une seule fois.
[F#1947]
rare
Fix Build 387
La durée d'attente maximale lors d'une recherche LDAP est maintenant
configurable
[E#1952]
Auparavant, toute recherche de certificat via un annuaire LDAP échouait systématiquement une fois
un délai de 30 secondes dépassé. Cela pouvait poser problème sur des annuaires aux temps d'accès
importants et/ou possédant une structure très complexe.
La durée d'attente est maintenant fixée par défaut à 120 secondes. Il est de plus possible d'allonger
cette durée en modifiant dans la chaîne de configuration de l'annuaire (règle P195) la valeur
"timeout=x", où x est le nombre de secondes d'attente maximale.
Chargement de plusieurs modèles d'administration (fichiers .adm) possible sur la
même machine
[E#1953]
pratique
Il n'était auparavant pas possible de charger dans l'éditeur de policies des modèles de chiffrement
de langue différente. On ne pouvait en voir qu'un seul à la fois.
La structure des fichiers .adm a été légèrement modifiée pour permettre ce chargement multiple. Il
est ainsi possible d'avoir dans le même éditeur de policies la version française et anglaise des
policies de ZoneCentral ou ZoneExpress!.
Nouvelle option '–reset' dans la commande ExportPolicies
Cette option ajoute la valeur 'ResetCurrentPolicies' dans le fichier de policies exporté. Lors de
l'import, ce champ spécial provoquera un effacement des policies déjà configurées. Seules les
policies spécifiées dans le fichier importé seront configurées.
[E#1951]
Question inutile dans certains cas de vérification de dossiers
[F#1946]
Lors d'une vérification, sur des configurations de consignes de chiffrement très particulières, il
pouvait être proposé à l'utilisateur de déchiffrer des dossiers sans raison valable. Ces fichiers étaient
alors rechiffrés lors de la prochaine application des consignes de chiffrement. Cette question inutile a
été retirée.
Création de zones explicites inutiles lors d'une vérification ou d'un déchiffrement
Sur un domaine possédant des profils utilisateur itinérants, l'opération de vérification ou de
déchiffrement pouvait laisser certains dossiers (les dossiers fixes exclus de l'itinérance) comme étant
des zones explicites, alors que ça n'était pas nécessaire (cela ne provoquait néanmoins aucun
dysfonctionnement).
Dysfonctionnements possibles en environnement Citrix multiprocesseurs sur
Windows 2003 R2
[F#1674]
mineur
[F#1947]
[F#1955]
Des problèmes d'ouverture de zones pouvaient apparaître sur certaines configurations Citrix avec
profils itinérants, notamment sur machines multiprocesseur.
Fix Build 386
Mode SPO (Single Pin On) opérationnel avec les middleware Axalto
Il n'y a pas eu de modification dans le logiciel.
[E#----]
utile
Cette fix-note est publiée uniquement pour déclarer cette compatibilité testée, et pour signaler qu'il
est nécessaire pour cela de disposer du Middleware Axalto en version 5.1, augmenté du Hot Fix
Axalto numéro 5 minimum.
Rappel : le SPO consiste à utiliser le smart-card-login de Windows et à configurer l'ensemble
Windows + Middleware carte + ZoneCentral de façon à qu'il n'y ait pas de saisie de PIN
supplémentaire demandée par ZoneCentral pour accéder aux zones chiffrées. En fonction de la
solution, cette propriété s'étend aussi aux autres logiciels utilisant les clés dans la carte.
Amélioration des temps de réponse d'accès à des zones fermées
[E#1813]
Initialement, cette modification concernait le logiciel Norton Antivirus 10 dont les scans étaient
notablement ralentis quand ils étaient déclenchés en ScreenSaver ou en session verrouillée, et que
les zones chiffrées étaient fermées.
En effet, ses tentatives de lecture de fichiers [chiffrés] déclenchaient des demandes d'ouverture de
zone qui ne pouvaient aboutir (session non disponible), et comme il effectue de très nombreux
essais par fichiers (et qu'il y a souvent beaucoup de fichiers), il y en avait beaucoup. Or,
ZoneCentral ne s'apercevait que tardivement dans cette procédure que la session n'est pas
disponible et déroulait donc trop d'opérations inutiles.
Après modification, cette détection se fait maintenant au plus tôt, ce qui améliore le comportement
des logiciels comme celui cité, lui permet d'aller plus vite et de passer aux fichiers suivants. Notez,
cependant, que, comme les zones sont fermées, son scan sur les fichiers chiffrés n'est pas efficace.
De façon plus générale, cette modification améliore donc aussi le comportement des applications
qui, même quand la session est verrouillée, effectuent des rafales d'accès aux fichiers.
Ajouts d'accès par certificats dans un conteneur chiffré : relax des contrôles
[F#1914]
Les mêmes règles étaient appliquées pour les conteneurs que pour les zones ou les listes d'accès,
concernant les contrôles de chaines de certificats et de révocation. Ce qui était trop contraignant,
car les conteneurs sont souvent utilisés pour faire des échanges externes, et donc avec des
certificats tiers pour lesquels les accès à la PKI sont limités.
Désormais, et dans le seul cas des conteneurs chiffrés, le comportement est strictement le même
que si on avait activé la politique P140 (mais quelle que soit la valeur de P140, et P140 reste
applicable aux zones et listes d'accès).
Note : ceci ne concerne pas le logiciel Zed! (actuellement en phase beta build 340) qui n'avait pas ce
problème.
Masterisation avec Mandatories indiquées par un chemin complet
[F#1906]
La masterisation (avec politiques et fichiers mandatories), effectuée avec la politique P131 indiquant
un chemin complet n'était pas bien gérée, l'installation échouait systématiquement.
Traitement d'un nouveau volume USB avec l'option 'Zone+Conteneur' : le
conteneur n'est pas créé si P263 est activée.
[F#1908]
Si la politique P263 est activée (création de fichiers en clair interdite sur un volume amovible), et si
politique P150 est activée (Les utilisateurs peuvent chiffrer les nouveaux volumes amovibles
insérés), alors, quand l'option 'Zone+Conteneur' est choisie, le conteneur n'est pas créé sur le
volume, et le programme zedle.exe n'est pas copié à non plus, à cause du respect de l'interdiction
P263. Le problème a été traité, et les deux fichiers sont maintenant bien créés.
L'opération "Vérifier" demande à tort les droits de chiffrement
[F#1913]
L'opération 'Vérifier' (mise en conformité de zone vis-à-vis des politiques) était masquée lorsqu'une
politique restreignait les opérations de chiffrement. Une vérification n'est maintenant jamais
restreinte.
Numéro de politique incorrect avec modifypolicy –expand
[F#1915]
Le numéro de politique affichée dans cette commande exécutée en mode 'expand' (exécution à vide
pour obtenir la commande résultante) était incorrect (indice de tableau au lieu de valeur).
Log absent sur invocation de zcacmd ou zcapply avec leur chemin complet
[F#1917]
Lorsqu'une commande était exécutée en spécifiant le chemin complet de zcacmd (ou zcapply), le
fichier de log n'était jamais généré.
Problème de Single Pin On (P342) sur certains XP SP1 ou W2000
[F#1919]
Ce mode ne fonctionnait pas sur certains systèmes XP SP1 ou W2000 (pas tous, et pour des raisons
systèmes liées aux ACL indéterminées), alors qu'il fonctionne bien sur XP SP2. La cause n'a pas pu
être identifiée, mais le problème reproduit et corrigé par l'emploi de fonctions Windows alternatives.
Rappel : comme indiqué dans le Manuel Technique, cette politique P342 n'est à utiliser qu'en
combinaison avec certains CSP fabricants, et si possible après avis du support Prim'X. En effet, c'est
un contournement d'une non-fonctionnalité des CSPs, et qui ne fonctionne pas obligatoirement non
plus avec tous.
Cohabitation avec des volumes SafeGuard PrivateDisk © de Utimaco
[F#1909]
Ces volumes peuvent maintenant résider dans des zones chiffrées (leur fichier sous-jacent) et
contenir des zones chiffrées.
Zedle.exe ne s'enregistre pas auprès de Windows comme 'programme habituel'
pour les fichiers .zed si on n'est pas administrateur
[F#1923]
Problème corrigé. Cet enregistrement, qui est fait automatiquement à la première utilisation, est
pratique, car il permet ensuite de simplement double-cliquer sur un conteneur pour l'ouvrir, sans
plus se préoccuper du programme et de l'endroit où il est.
La politique P190 (suppression de dossiers avec zones) s'applique maintenant
aux dossiers envoyés à la Corbeille
[F#1918]
Ce qui n'était pas le cas avant. De plus, un événement de niveau Warning est maintenant émis
quand une suppression de zone est refusée à cause de cette politique.
La politique P243 (restriction du regroupement) s'applique maintenant aussi à la
dissociation de zones
Auparavant, l'opération de dissociation ne pouvait être restreinte dans les Politiques de Sécurité.
Nota : cette nouvelle règle ne s'applique pas aux dissociations automatiques induites lorsqu'un
utilisateur partage un de ses dossiers chiffrés.
[F#1910]
Fix Build 385
Possibilité de ne pas fermer les zones chiffrées lors du verrouillage de session
Par défaut ZoneCentral et ZoneExpress ferment automatiquement toutes les zones lors d'un
verrouillage (lock) du PC. Cette approche sécuritaire peut néanmoins avoir des effets négatifs
lorsque certaines applications continuent à travailler en arrière plan : elles se voient refuser l'accès
aux fichiers, ce qui au mieux diffère leurs traitements ou au pire provoque leur arrêt brutal, dans le
cas d'applications plus anciennes.
[E#1820]
utile
La policy P196 permet maintenant de définir le comportement de ZoneCentral lorsque la session est
verrouillée : il peut soit fermer les zones tout de suite, soit les laisser ouvertes, soit les laisser
ouvertes et ne les fermer que lors du déverrouillage.
Cette option est également configurable par l'utilisateur lui-même dans le Moniteur (ça ne sera pas
le cas si l'administrateur décide de forcer ce comportement avec la policy).
La synchronisation de la liste d'accès personnelle (P125) se fait maintenant
systématiquement
[E#1790]
Auparavant les essais de synchronisation étaient faits périodiquement, toutes les 30 minutes. Ce
délai était beaucoup trop long, notamment lorsqu'une opération de support utilisateur était
effectuée (transmission d'un mot de passe de secours par exemple). De plus une réouverture de
session ne provoquait pas non plus la synchronisation.
La synchronisation est maintenant effectuée systématiquement et à chaque utilisation de la liste
d'accès personnelle de l'utilisateur. Ainsi une mise à jour par l'administrateur de la liste sur
l'emplacement réseau sera toute de suite répercutée sur la liste locale de l'utilisateur. Noter que
dans le cas où l'emplacement réseau n'est pas accessible (poste déconnecté), la synchronisation
devient périodique pour éviter de perdre du temps et des performances à chercher un serveur
inaccessible.
Possibilité de filtrer les certificats utilisables suivant leur 'Extended Key Usages'
[E#1861]
La nouvelle policy P147, "'Extended Key Usages' autorisés", permet maintenant d'indiquer finement
quels types de certificats peuvent être utilisés comme accès utilisateur.
Par défaut tous les certificats ayant l'usage 'Chiffrement de clé' sont acceptés (sous réserve bien sûr
que le certificat soit validé par les autres contrôles – confiance dans l'autorité, CRLs, etc. -). Cela
pose problème lorsqu'une entreprise dispose de plusieurs clés (certificats) de chiffrement par
utilisateur, chacune dédiée à une application : chiffrement de fichiers, de mails, de réseau, etc.
La policy P147 permet d'indiquer explicitement lesquels de ces certificats de chiffrement doivent être
utilisés, en les identifiant par leur 'Extended Key Usage' (usage étendu), dont la définition est
normalisée. Seuls les usages étendus définis par cette policy seront acceptés.
Cette différenciation est notamment très utile lorsque le mode ActiveDirectory est activé (P129) :
ZoneCentral peut choisir parmi tous les certificats de chiffrement publiés celui qui lui est dédié.
A noter que cette policy ne s'applique pas sur l'ajout d'accès.
Mise à disposition d'un champ libre dans les policies (P050) pour identifier une
configuration de policies.
[E#1878]
pratique
La policy P050 permet d'indiquer un commentaire libre (par exemple un numéro de version) qui sera
systématiquement renseigné dans les fichiers journaux des opérations d'administration. Dans un
parc où plusieurs versions de configuration de policies sont présentes (certaines issues du domaine,
d'autres issues de masterisation par exemple), cela permet d'identifier plus vite la configuration
concernée.
Meilleure prise en compte des caractères spéciaux avec les cartes à mémoire
utilisant des versions anciennes de la norme PKCS#11
ZoneCentral est maintenant totalement compatible avec les cartes à mémoire dont le middleware
implémente une ancienne version de PKCS#11. L'envoi de caractères spéciaux s'effectuait
systématiquement avec un codage UTF-8, tel que le définit la norme actuelle PKCS#11, même si le
middleware indiquait être d'une version antérieure. Les codes étaient alors considérés comme
invalides.
Les anciennes versions PKCS#11 sont maintenant détectées pour envoyer sans codage ces
caractères spéciaux.
[E#1863]
Les fichiers techniques "ZoneCentral.sav" ont maintenant l'attribut "fichier
système"
[E#1892]
Ces fichiers, générés automatiquement dans chaque zone, sont utiles lors des opérations de backup:
ils contiennent une copie de la configuration de la zone, et permettent de réactiver la zone lors d'une
restauration. Ces fichiers peuvent être supprimés par l'utilisateur, ZoneCentral les récréera
automatiquement. Néanmoins, afin de rendre plus compliquée cette suppression, l'attribut "fichier
système" est maintenant positionné sur ces fichiers.
Amélioration de l'ergonomie de la fenêtre de proposition de chiffrement des
volumes amovibles
[E#1876]
La manière dont était prise en compte l'option "Ne plus me poser la question" pouvait prêter à
confusion : elle n'était en fait traitée que lors d'une annulation de la fenêtre. La fenêtre a été
modifiée pour éviter cette erreur.
Tous les journaux d'opérations d'administration indiquent maintenant le logiciel
et le numéro de version concernés
[E#1877]
Sur un parc équipé de différentes versions de ZoneCentral ou ZoneExpress, il est utile de repérer
dans les fichiers de log quelle version est concernée.
Lorsque le PC est très chargé (occupation CPU proche de 100%), la saisie
sécurisée de mots de passe pouvait 'perdre' des caractères
[F#1885]
Lorsque le processeur est très occupé (ça peut être le cas lors de l'ouverture de session, où plusieurs
applications peuvent être lancées en même temps), le composant de saisie sécurisé (driver clavier)
pouvait perdre certains caractères, ce qui rendait le mot de passe saisi invalide.
Le composant a été optimisé afin d'être plus réactif et tolérant à ces conditions.
Meilleur comportement lorsque de multiples ouvertures de zones sont demandées
simultanément
[F#1862]
Il peut arriver lorsque le PC comporte de nombreuses zones (chiffrement sélectif) que plusieurs
fenêtres d'ouvertures de zone s'affichent en même temps. La dernière fenêtre d'ouverture
apparaissait toujours au premier plan, masquant du coup celle où l'on avait commencé à saisir son
authentifiant. ZoneCentral corrige maintenant ce problème en faisant en sorte que les nouvelles
fenêtres apparaissent toujours en arrière plan, sans gêner l'utilisateur.
L'annulation du processus de chiffrement de fichiers volumineux semblait mettre
du temps à être prise en compte
[F#1662]
Un clic sur 'Annuler' dans l'assistant de chiffrement semblait ne produire aucun effet lorsque
l'assistant était en train de transformer de gros fichiers. Un message apparaît maintenant tout de
suite pour indiquer que l'annulation est bien prise en compte.
Sur certaines configurations, il était impossible de rouvrir des zones après une
annulation
Constaté dans le cas d'un profil chiffré avec utilisation d'une carte à mémoire : après l'annulation
d'une ouverture de zones, aucune autre ouverture n'était proposée. Il fallait fermer puis ouvrir une
session Windows pour revenir au fonctionnement normal.
[F#1893]
[F#1900]
rare
Ce problème a été corrigé.
Des consignes de chiffrement redondantes, référençant le même dossier par son
nom long et son nom court, pouvaient conduire à un surchiffrement
Le nom court d'un dossier, vestige de l'époque DOS, comme par exemple
"C:\DOCUME~1\USER\LOCALS~1\Temp", est parfois renvoyé lors de l'utilisation de certaines
variables d'environnement, tel que %TEMP%. Cibler plusieurs fois le même dossier, avec son nom
long (nom normal) et son nom court, dans la même opération, pouvait provoquer un surchiffrement,
nécessitant une récupération manuelle. Ce cas n'a été constaté que pour le dossier des fichiers
temporaires, dont le contenu peut par définition être supprimé à tout moment.
[F#1874]
[F#1879]
rare
Sur certaines configurations de types d'accès et de policies, la fenêtre
d'ouverture de zone pouvait se bloquer
[F#1856]
Problème apparu sur une configuration très particulière où la zone ne contient que des accès de
recouvrement, avec des policies indiquant qu'ils doivent être masqués (P193) mais peuvent être
utilisés lors des ouvertures (P260).
rare
Fix Build 384
Les commandes d'administration 'createaccessfile' et 'addaccess' permettent
maintenant d'ajouter un mot de passe à changer lors de sa première utilisation
[E#1850]
utile
Sur les versions précédentes, ce type de mot de passe ne pouvait être créé qu'avec l'outil graphique
de gestion de zones, non scriptable.
Il est par exemple maintenant possible d'intégrer cette option dans des scripts de génération
automatique de listes d'accès personnelles.
Accélération du chiffrement initial lorsque l'anti-virus VirusScan v8i est présent
Le chiffrement d'un poste équipé de cet anti-virus pouvait connaître des ralentissements importants
en raison d'analyses systématiques et inutiles effectuées lors de chaque modification de fichiers. Cet
anti-virus est maintenant détecté et les analyses superflues sont temporairement désactivées
pendant (et uniquement pendant) le processus de chiffrement.
[E#1853]
cas
particulier
Fix Build 383
Problème d'installation masterisée des accès obligatoires quand l'installation est
exécutée en mode silencieux (/qn) ou en téléinstallation
[F#1816]
Constat : après installation, le fichier des accès obligatoires qui a été inséré dans le master n'est pas
installé.
L'origine du problème vient du délai de rafraichissement des GPOs (policies) par Windows, qui est un
procédé asynchrone et imprévisible. En mode silencieux uniquement (/qn), le problème n'apparait
que dans des cas aléatoires de machine lente ou chargée. En mode téléinstallation (silencieuse
aussi), le problème est systématique.
En installation interactive, ou si l'installation ne contient pas de 'mandatories' à installer, le problème
ne se produit pas ou ne se pose pas.
L'installation a été modifiée de manière à ne pas avoir immédiatement besoin des policies qu'elle
installe elle-même, ce qui résout le problème.
Les sous-dossiers "non-roaming" d'un profil itinérant et qui sont créés après
l'ouverture de session sont maintenant bien pris en compte
[F#1733]
Pour un profil itinérant, il est possible avec Windows d'exclure des (sous-)dossiers du profil de la
liste des dossiers qui sont synchronisés avec le serveur qui héberge le profil itinérant. Ces dossiers,
s'ils existent, restent locaux.
Quand un utilisateur charge son profil itinérant sur un nouveau poste, il se peut que ces dossiers
(qui n'arrivent donc pas du serveur et ne sont donc pas créés lors du login) soient créés plus tard, à
retardement, par des applications par exemple. Ce cas est désormais pris en compte.
Note importante: par défaut, ces dossiers seront en clair, même si le profil (itinérant) est chiffré. Au
login suivant, sur le même poste, comme ces dossiers existeront dès le début, ZoneCentral les
détectera et les chiffrera automatiquement, car faisant partie d'un profil chiffré. Pour que ces
dossiers soient chiffrés dès le départ, il faut passer par des consignes de chiffrement explicites, qui
forcent la création de ces dossiers quand ils sont susceptibles de ne pas exister (consigne avec
create=1).
Possibilité de "Single-Pin-On" (réutilisation du login par carte pour ouvrir les
zones) quand le provider CSP ne supporte pas cette fonction.
Cette fonctionnalité n'a pas été testée avec tous les fournisseurs de cartes et tokens. Contacter le
support pour plus d'information.
Si le fournisseur CSP supporte déjà la saisie de Pin 'session-wide' (une saisie suffit pour tous les
programmes lancés pour la session de l'utilisateur, et en particulier celle de l'ouverture de session),
[E#1845]
+confortable
alors il est inutile d'activer cette fonctionnalité.
Sinon, cette fonctionnalité permet de faire exécuter les accès de ZoneCentral vers le CSP dans un
contexte d'exécution spécial (WinLogon.exe) qui permet, si le CSP le supporte, la réutilisation du
contexte d'ouverture de la carte de l'ouverture de session.
Pour activer cette fonctionnalité, une nouvelle policy a été ajoutée : "P342- Utiliser le contexte de
login par carte pour éviter des saisies de codes redondantes" dans le groupe "Avancé – Cas
particuliers".
Pour que cette fonctionnalité soit opérationnelle, il ne faut pas interdire l'utilisation des CSP (P105).
Il devient impossible d'ouvrir une zone parce que ZoneCentral ou ZoneExpress
semble ne pas répondre
Constaté après un verrouillage de session, avec le Moniteur ouvert. Une conjonction assez rare
d'événements fait apparaitre un bug potentiel lié à des états (ouvert/fermé) de zones qui changent
juste au moment où le service ZCS de ZoneCentral est interrogé pour en connaitre la liste. Cette
explication est technique parce que le problème n'a été constaté/remonté qu'une seule fois. Son
symptôme externe le plus probable est que le service ZCS étant 'asphyxié" (bug), il ne peut traiter
les demandes d'ouverture de zone.
[F#1844]
constaté une
seule fois
Il n'y a pas de conséquence sur les zones chiffrées. Après un redémarrage du poste, le problème
disparait.
Avec deux fenêtres d'ouverture de zone en même temps, fournir la clé à l'une des
deux ne ferme pas l'autre automatiquement (uniquement quand les accès par
carte PKCS#11 et par CSP sont tous deux désactivés en policy)
[F#1811]
Il est tout à fait possible et normal que deux fenêtres d'ouverture, pour des zones différentes,
s'affichent en même temps. Il suffit qu'une ou deux applications accèdent quasi-simultanément à
des zones différentes.
Normalement, quand l'utilisateur fournit une solution à une demande, et qui aussi valide pour
l'autre, l'autre se ferme automatiquement, pour ne pas que l'utilisateur aie à s'accréditer deux fois.
Ce principe ne fonctionnait que si l'un des deux types d'accès "Carte/Token PKCS#11" ou "CSP" au
moins était autorisé en Policies (même s'il n'était pas utilisé). Ce problème a été corrigé.
Dans certains cas, les fichiers écrits en réseau vers une zone chiffrée sur un
serveur de fichiers Windows 2000 équipé de ZoneCentral étaient corrompus.
[F#1838]
important
Un serveur de fichier Windows 2000, équipé de ZoneCentral, ou bien un poste utilisateur sous
Windows 2000 partageant un dossier, utilise quelques fois des modes d'I/O que nous n'avions pas
prévus, lorsqu'il est invoqué à distance pour écrire un fichier.
Ne se produit pas sur XP, 2003, etc. C'était un mode spécifique 2000.
Rappel : il ne faut de toute façon pas installer ZoneCentral sur un serveur, c'est un logiciel poste
client.
Le problème se limitait donc, opérationnellement, aux partages sur les postes utilisateurs : quand un
poste distant copie un fichier sur un partage chiffré, il se peut que le fichier soit mal écrit, et
malheureusement, il semble que l'erreur qui se produisait dans ce cas ne soit pas détectée par
l'Explorer sur le poste distant (ce qui, justement, entraine la corruption du fichier car il continue le
traitement). En général, le problème n'apparait pas ou a une portée réduite, car quand on copie un
fichier vers le partage d'un collègue, c'est neuf fois sur dix une copie, l'original demeure donc
disponible.
Si vous êtes équipés de postes Windows 2000 et que vous autorisez les utilisateurs à effectuer des
partages de dossiers, il est recommandé d'utiliser cette mise à jour, qui a également été faite dans
la branche "2.5" (build 300).
Message de refus "Avec l'Edition Limitée des conteneurs chiffrés…" alors que
ZoneCentral ou ZoneExpress (avec option Zed!) est installé
Si, sur ce poste, l'Edition Limitée de Conteneurs Chiffrés a été utilisée avec le programme
"zedle.exe", et que l'utilisateur a effectué une "association forte" entre les fichiers .zed et le
programme "zedle.exe" ("toujours ouvrir ce type de fichier avec…"), alors l'installation plus tard de
ZoneCentral ou ZoneExpress fonctionne, mais cette association forte n'est pas supprimée à
l'installation. Du coup, c'est toujours zedle.exe qui opère, avec forcément des fonctions limitées.
[F#1836]
Correction apportée dans zedle.exe (Edition Limitée) B383 : quand il est lancé, il vérifie que
ZoneCentral ou ZoneExpress sont installés, et si oui, il supprime cette association forte dans
l'Explorer.
L'option "quiet=1" des consignes s'étend maintenant aux sous-zones trouvées,
pour ne pas poser la question "voulez-vous traiter aussi cette sous-zone"
[F#1832]
L'option quiet=1 signifie "ne pas poser de question à l'utilisateur" lors de l'exécution des consignes
de chiffrement. Dans un cas, il subsistait un message : si, par exemple C:\Folder est déjà une zone
chiffrée, alors la consigne portant sur C:\ demande, au cours de son exécution, si elle doit aussi
s'appliquer à cet emplacement déjà chiffré. Avec l'option "quiet=1", la question n'est plus posée, et
la réponse sous-entendue est "oui, il faut traiter aussi cette sous-zone".
Possibilité de configurer en Policies plusieurs emplacements de sauvegarde
("backup") des listes d'accès personnelles.
[E#1793]
Dans la policy P127, il est possible de spécifier plusieurs emplacements (chemins de dossiers
complets) séparés par des points-virgules. Ils sont traités indépendamment, et le mode de
fonctionnement n'a pas changé.
L'utilité est de pouvoir spécifier un emplacement local (c'est le cas par défaut) et un emplacement
réseau.
Rappel : ZoneCentral vérifie toujours que l'emplacement de sauvegarde contient bien la dernière
copie à jour de la liste personnelle de l'utilisateur connecté. Sinon, il effectue la copie datée. Cette
vérification a lieu à chaque ouverture de session, ou à chaque modification de la liste personnelle.
Fenêtre d'ouverture de zone mal "peinte" à l'écran et semblant bloquée, après
une succession assez longue d'ouvertures auxquelles on ne répond pas
[E#1821]
Le symptôme externe le plus courant est un utilisateur qui ouvre son profil Windows chiffré mais va
prendre un (long) café. Quand il revient, il a une fenêtre d'ouverture de zone à l'écran, mais
semblant mal "peinte" et bloquée. En réalité, les ouvertures de zones successives à l'ouverture de
son profil, qui est chiffré, ont échoué normalement après 1 minute d'attente. En fonction de ce qui
est chiffré, il arrive en général que le système redemande N fois des ouvertures de zone. Un bug
peut apparaitre dans des cas particuliers de synchronisation d'affichage. Il a été corrigé.
Evénement "Event-Log" incorrect suite à un partage de zone chiffrée.
[F#1827]
Corrigé.
Il est possible d'indiquer un chemin complet en Policy pour un accès obligatoire
(P131)
[E#1826]
Auparavant, dans la règle P131, seul un nom de fichier était autorisé, son chemin étant indiqué par
l'emplacement de référence (P121). Désormais, il est possible d'indiquer un emplacement
(éventuellement réseau UNC) complet.
Des consignes de chiffrement redondantes (désignant la même cible par des
noms différents) sont maintenant acceptées à condition d'avoir des attributs
d'opération identiques
Auparavant, toute forme redondante était rejetée. Maintenant, elles sont acceptées à condition
d'être cohérentes sur les attributs "create" et "clear" (on ne peut pas à la fois créer et ne pas créer
la cible, ni la définir à la fois en clair et en chiffré).
Le cas typique d'une consigne redondante est "C:\subst" et "E:\", quand E: est un montage sur
C:\Subst par la commande système "SUBST".
[F#1810]
Fix Build 382
L'Assistant de Chiffrement supporte les montages effectués avec la commande
système "SUBST"
[E#1804]
Concerne ZCAPPLY.EXE (toutes les opérations de chiffrement, déchiffrement, les consignes) pour
ZoneCentral, et ZCX.EXE (idem) pour ZoneExpress.
Le spool d'impression est maintenant inclus automatiquement dans les cibles de
chiffrement qui concernent/contiennent un profil utilisateur
[E#1801]
Le spool est maintenant traité comme le dossier spécial "CSC" (dossier local système qui contient le
copie locale des dossiers synchronisés) : quand on chiffre (au moins) un profil utilisateur (ou qu'on
le transchiffre, vérifie, etc.), alors ces dossiers sont traités aussi, comme étant des "excroissances
importantes" du profil. Si le chiffrement portent sur tout le disque ou tout le poste, ils sont aussi
bien entendu inclus.
Auparavant, concernant le spool, il fallait demander explicitement son chiffrement.
Lors d'un changement (renouvellement) de la clé d'accès personnelle (mode "clé
personnelle" P128), les montages réseau indiqués dans les consignes de
chiffrement sont maintenant traités aussi, comme pour les zones locales.
[F#1794]
Dans ce mode "clé personnelle", un changement de clé doit être effectué directement sur chaque
zone chiffrée. ZoneCentral traite toutes les zones locales, et, avec cette modification, sait également
traiter les montages réseau indiqués dans les consignes de chiffrement.
Fix Build 381
Une installation masterisée avec un fichier de policies volumineux échoue
[F#1791]
Par "volumineux", il faut entendre "comportant une section [xxx] de texte avec de nombreuses
lignes", ce qui arrive notamment dans le cas de consignes de chiffrement nombreuses ou longues.
© Prim'X Technologies 2005. Prim'X Technologies, ZoneCentral et Zed! sont des marques déposées de Prim'X Technologies SA.
Toutes les autres marques citées sont des marques déposées de leurs propriétaires respectifs - Reproduction interdite
La lecture du fichier de policies était en effet bridée à 261 caractères par section.
Fix Notes ZC-ZE v2.51 (b400).doc
Siège : 10 place Charles Béraudier 69428 Lyon Cedex 03 - Tél. : 04.26.68.70.02 - Fax : 04.26.69.70.04
Service Commercial : 42 avenue Montaigne 75008 Paris - Tél. : 01.72.74.11.59 - [email protected]

Fix Notes ZoneCentral 2.51 (PX71021) r404

Transcription

Documents pareils

Offre spéciale valable jusqu`au 30 juin 2016 pour

RECKLI 1/01 AMRUM

Ethique

Recommandations pour la protection des - ARESU

JOB VACANCY - monaco technologies

Revista de Prensa

Se connecter a Windows xp automatique avec Auto logon

developpeur informatique alternance deux

Accédez rapidement aux propriétés système sous Windows Vista