ZoneCentral Release Notes 3.1 (PX83134)

Release Notes v3.1
Nouveautés de la version 3.1
Refonte et amélioration de l’assistance utilisateur (SOS)
L’assistance à un utilisateur éloigné ayant oublié son mot de passe ou
perdu/cassé/bloqué sa carte à puce à été considérablement améliorée avec cette
nouvelle version. L’interface graphique a été entièrement revue et guide plus facilement
l’utilisateur au travers des différentes étapes lui permettant de pouvoir ré-accéder à ses
ressources chiffrées.
Mode Laisser-passer temporaire (OTA : One-Time Access)
Ce mode est une alternative à la délivrance directe du mot de passe de secours à
l’utilisateur. Avec cette procédure, l’utilisateur doit fournir au Centre Support de
l’entreprise un ticket (composé de quelques caractères), qui permettra la génération d’un
code de déblocage à usage unique. Ce code ne pourra pas être réutilisé par la suite pour
accéder à nouveau aux données chiffrées.
L’utilisateur accède à la procédure d’assistance depuis la fenêtre d’ouverture de zone, ou
depuis le Moniteur. Côté support, la génération du code de déblocage peut s’effectuer
dans l’outil de gestion de zones (ZCEdit), ou en ligne de commande.
Le mode classique ‘Mot de passe de secours’ reste bien sûr toujours disponible et
utilisable s’il est préféré au mode Laisser-passer Temporaire.
Choix d’un nouvel accès
Une fois le code de déblocage (ou le mot de passe de secours) saisi, l’assistant proposera
à l’utilisateur de choisir un nouveau mot de passe, si c’est ce type d’accès qui est utilisé.
Indication des coordonnées du support utilisateur
La nouvelle politique P255 (« Informations Helpdesk
utilisateurs ») permet d’afficher aux utilisateurs les coordonnées
d’un centre de secours. Ces coordonnées sont affichées dans
l’assistant de secours et dans la fenêtre ‘A propos’ de
ZoneCentral. Différentes informations peuvent être indiquées
(téléphone, adresse électronique, adresse d’un site web,
message libre, etc.).
PX83134 r1
[E#2560]
+simple
+sûr
Release Notes v3.1
Nouveau composant X12 : gestion et publication sécurisée des
fichiers de clés
[E#2575]
mieux gérer
son pfx
Le module X12 est un gestionnaire de fichiers de clés (.pfx, .p12). Les clés gérées sont
rendues accessibles aux applications autres que ZoneCentral, comme MS Outlook. On
peut ainsi par exemple faire du chiffrement de mails en utilisant le fichier de clés géré par
X12. Techniquement, la publication se fait au travers
d’un fournisseur cryptographique CSP. L’intérêt de ce
type d’utilisation est que la clé privée reste toujours
confinée dans le fichier de clés, sans jamais être
enregistrée sous une autre forme, ni, en aucun cas,
être accessible en dehors du module X12 dont elle ne
sort jamais. Cela évite, notamment, d’importer la clé
dans un magasin Windows. Le module X12 se base
toujours sur le fichier de clés original, sans jamais
l’altérer.
La politique P111 permet d’activer le composant X12 (inactif par défaut). Lorsque c’est le
cas, le fichier de clés présenté par l’utilisateur lors de l’initialisation de son accès
personnel devient automatiquement géré par X12, et les clés sont rendues utilisables
pour les autres applications.
Un raccourci dans le moniteur permet de voir
les différents fichiers de clés gérés par X12,
d’en supprimer ou d’en ajouter de nouvelles.
La politique P112 permet d’affiner le
fonctionnement de X12 : le fichier de clés est
il recopié dans un dossier interne (afin qu’il
soit toujours disponible) ? Si ce n’est pas le
cas, seule une référence vers l’emplacement
du fichier est conservée. Le fichier peut alors résider sur une clé USB : X12 scannera
automatiquement les clés USB connectées lorsqu’il aura besoin du fichier de clés.
Ajout d’une icône d’état permanente dans la zone de notification
(systray)
Une icône permanente est maintenant affichée dans la zone de notification de Windows.
Elle permet à l’utilisateur de vérifier d’un coup d’œil que son espace de travail est
correctement protégé et conforme au plan de
chiffrement. Cette icône peut également servir de
raccourci pour exécuter certaines actions : déclencher
la vérification de l’espace de travail, fermer toutes les
zones, afficher les options ou encore changer l’accès
utilisateur.
L’affichage de cette icône peut être désactivé par une
nouvelle politique (P197), pour les officiers de
sécurité souhaitant garder le produit invisible. Sinon,
l’utilisateur peut lui-même décider du masquage de
cette icône.
PX83134 r1
[E#2472]
systray
Release Notes v3.1
Nouvelles langues disponibles : Espagnol, Italien, Néerlandais,
Japonais
[E#2475]
ようこそ
Les produits Prim’X se déclinent maintenant en quatre langues supplémentaires (en plus
de l’anglais, du français et de l’allemand) : l’espagnol, l’italien, le néerlandais et le
japonais. Ces langues sont compatibles MUI : la langue affichée est celle de l’utilisateur
connecté.
Amélioration de la gestion d’un poste multi-utilisateurs chiffré
[E#2636]
[E#2634]
L’utilisation d’un poste chiffré partagé entre plusieurs utilisateurs a été améliorée,
notamment d’un point de vue ergonomique. Lorsqu’un poste était composé de plusieurs
espaces de travail chiffrés (chacun dédié à un utilisateur), des demandes d’ouvertures de
zones pour lesquelles l’utilisateur n’a pas de clé pouvaient apparaître et devenir
gênantes. C’était par exemple le cas lorsque des applications, comme Windows Desktop
Search, scannaient le contenu des fichiers d’autres utilisateurs pour leurs besoins
internes (par exemple pour faire de l’indexation). La nouvelle politique P284 « Désactiver les ouvertures de zones quand la clé personnelle n’est pas un accès »
permet d’éliminer cet effet gênant. Lorsqu’elle - ou son option utilisateur équivalente est activée, les ouvertures de zones liées à des espaces chiffrés d’autres utilisateurs ne
seront plus proposées. Seules les zones ayant comme accès celui de l’utilisateur
déclencheront des ouvertures.
De plus, la gestion des redirections de dossiers utilisateur dans l’assistant CryptUpdate a
été améliorée. Des demandes de mise en conformité inutiles pouvaient apparaître sur
certaines configurations.
Personnalisation de l’image de fond des conteneurs chiffrés
L’image de fond (ou watermark) visible lorsqu’on ouvre un conteneur chiffré peut
maintenant être personnalisée par l’utilisateur, et ceci conteneur par conteneur. L’image
choisie est conservée dans le conteneur et restituée ensuite aux correspondants, même
lorsque ceux-ci possèdent une version limitée (Zed! Edition limitée).
[E#2523]
☺
L’utilisateur peut ainsi s’il le souhaite avoir des conteneurs personnalisés selon le
destinataire, ou bien définir une image par défaut qui sera utilisée pour tous les
conteneurs créés (exemple : « CONFIDENTIEL MA SOCIETE »).
Cette fonction est accessible par le menu, via l’action « Image de marque… ». Des
images par défaut sont proposées dans le dossier d’installation du produit. Les principaux
formats d’image sont autorisés (.bmp, .jpg, .gif, .png).
Affinage du contrôle des certificats pour les conteneurs chiffrés
Une nouvelle politique permet d’affiner le contrôle sur les certificats présentés lors de
l’ajout de correspondants à un conteneur chiffré. La politique P148 (« Extended Key
Usages autorisés pour les conteneurs chiffrés ») définit un filtrage des certificats
présentés suivant leur « Extended Key Usage » (en français ‘utilisation avancée de la
clé’). Aucun contrôle n’était effectué sur ce critère dans les versions précédentes lorsqu’il
s’agissait d’accès pour un conteneur chiffré. Configurer cette politique a un intérêt très
fort dans certaines situations. Par exemple lorsque chaque utilisateur dispose dans
l’annuaire de deux certificats, tous deux ayant comme Key Usage le chiffrement de clé,
mais dont l’un est en fait destiné à une autre utilisation que du chiffrement de fichiers
(chiffrement de mail par exemple). Avec une politique P148 bien configurée, un des deux
certificats apparaîtra avec un avertissement, permettant à l’utilisateur de faire le bon
choix.
Cette politique se configure de la même manière que son équivalente concernant les
usages étendus autorisés pour les zones (P147). Les OIDs tolérés doivent être configurés
sous forme de chaîne de numéros.
PX83134 r1
[E#2569]
+précis
Release Notes v3.1
Import automatique des certificats d’annuaire dans le magasin
Windows <Autres personnes>
[E#2589]
pratique
Lors de l’ajout d’accès à un conteneur ou à une zone chiffrée, il est désormais possible
d’importer un certificat récupéré (par exemple depuis un annuaire LDAP) dans le magasin
de certificats Windows <Autres personnes>. Ce magasin peut ainsi servir de dépôt pour
les certificats les plus utilisés, et les rendre disponibles même lorsque le poste est
déconnecté du réseau.
Cette fonctionnalité est accessible
depuis le menu clic droit sur un
certificat. Il est également possible
d’indiquer que tout certificat
sélectionné comme accès soit
automatiquement importé dans le
magasin (cette option est également
accessible dans le Moniteur). Dans le
même ordre d’idée, il est possible
également de retirer un certificat d’un
magasin depuis la même fenêtre.
Pour rappel, pour choisir un certificat parmi ceux publiés dans les magasins Windows, il
faut cliquer sur l’icône Internet Explorer dans la fenêtre d’ajout d’accès.
Mise à jour automatique des zones partagées lors d’un
changement de clé
Cette amélioration concerne le mode « Clé d’accès personnelle » (politique P128), utilisé
comme alternative à l’utilisation de la liste d’accès personnelle (qui est le mode proposé
par défaut). Dans ce mode, lorsque l’utilisateur change sa clé d’accès, toutes ses zones
personnelles (réseau ou locales) sont mises à jour avec son nouvel accès. La nouvelle
politique P138 permet d’étendre cette mise à jour aux zones partagées, où l’utilisateur
n’est pas le seul accès. Si cette politique est activée, ZoneCentral vérifiera lors de
l’ouverture d’une zone partagée si une mise à jour est nécessaire. Si la zone contient un
ancien accès de l’utilisateur, celui-ci sera remplacé par le nouvel accès.
Les changements d’accès des utilisateurs sont ainsi automatiquement répercutés sur
toutes les ressources chiffrées auxquelles ils avaient accès, sans que l’Officier de sécurité
n’ait de fastidieuses opérations de maintenance à réaliser.
PX83134 r1
[E#2523]
Release Notes v3.1
Nouveautés diverses
Invité, administrateur : « Je n’ai pas de clé »
Sous Windows XP, mais surtout sur Vista, un utilisateur ‘tiers’ d’un ordinateur chiffré pouvait
recevoir des demandes d’ouverture de zones, qui à la longue deviennent intrusives. Elles peuvent
être provoquées par l’indexation, un antivirus, ou par le système lui-même (Vista en particulier).
Or cet utilisateur, un administrateur technique, un invité, un itinérant, un compte familial, n’a
aucune clé pour répondre et doit annuler fréquemment ces ouvertures de zones.
[E#2517]
Surtout utile
avec Vista
Plusieurs mécanismes ont été ajoutés :
- (pour connaisseurs) Sur une première demande, appuyer sur ‘Annuler’ en maintenant la touche
Control enfoncée. Toutes les ouvertures de zones seront alors automatiquement refusées pendant la
session (sans erreur ni message).
- (pour ultra-connaisseurs) Sur une première demande, appuyer sur ‘Annuler’ en maintenant les
deux touches Shift et Control enfoncées simultanément. Toutes les ouvertures de zones seront
automatiquement refusées pour cet utilisateur, sur cette machine, tout le temps.
- Une option utilisateur a été ajoutée dans le Moniteur (« désactiver les ouvertures de zones (je n’ai
pas de clé) »), qui produira un effet équivalent au mécanisme précédent.
Ces mécanismes ne s’appliquent pas aux demandes de clés liées à un conteneur chiffré ou à une
opération de transformation (chiffrement, déchiffrement, agent CryptUpdate, etc.).
Nouvelle action ‘Vider’ dans un conteneur chiffré
[E#2547]
Il est maintenant possible de supprimer tous les fichiers et dossiers d’un conteneur en une seule
action, sans même avoir à ouvrir le conteneur : il suffit de faire un clic-droit sur le conteneur dans
l’explorateur, et choisir ‘Vider le conteneur’ dans le menu.
Enrichissement de l’interface graphique du lecteur gratuit Zed ! édition limitée
Une barre d’outils est maintenant disponible et permet d’accéder plus rapidement aux différentes
actions possibles (extraire tout, ajouter un fichier, voir les accès, etc.).
Mise à profit des nouveautés graphiques de l’explorateur (Shell) Vista
ZoneCentral tire parti des nouvelles possibilités graphiques de l’explorateur Vista : utilisation de la
barre de commande pour les opérations sur un conteneur chiffré, enrichissement des différents
menus avec des icônes explicatives, etc.
Purge du « cache de pin » d’un fournisseur CSP lors de la fermeture des zones et
des clés
Lorsqu’un token ou une carte à puces était utilisé via l’interface CSP (fournisseur cryptographique),
la fermeture des zones et des clés (manuellement ou à l’occasion d’un verrouillage de session) puis
la réouverture d’une zone ne provoquait pas systématiquement la demande du code pin : les zones
pouvaient s’ouvrir automatiquement si le token n’avait pas été retiré du poste entre temps. Ce
mécanisme s’appelle le pin-caching et n’était pas satisfaisant d’un point de vue sécurité.
[E#2552]
Zed ! édition
limitée
[E#2550]
[E#2551]
Vista only
[E#2578]
mode CSP
+ sûr
Ca n’est maintenant plus le cas : lorsque les zones et clés sont fermées dans ZoneCentral, une
demande de purge de ce cache est envoyée au fournisseur CSP. Une prochaine ouverture de zone
déclenchera alors systématiquement une demande de pin, et ce même si le token n’a pas été retiré
et rebranché entre temps.
L’assistant de chiffrement CryptUpdate effectue les mises à jour purement
techniques silencieusement et automatiquement
[E#2587]
+silencieux
Certaines évolutions du plan de chiffrement ne se traduisent pas forcément par la transformation de
fichiers dans l’espace de travail (chiffrement, déchiffrement). Certaines mises à jour sont en effet
purement techniques et n’ont pas besoin de l’accord de l’utilisateur. Elles étaient indiquées avec
l’intitulé ‘mise à jour technique’ dans le détail de l’agent CryptUpdate. Les mises à jour de ce type
sont maintenant appliquées de manière silencieuse et automatique, sans afficher ni demander quoi
que soit à l’utilisateur.
Diminution du nombre de zones restantes après annulation/reprise d’un
chiffrement
Lorsque le chiffrement d’une arborescence importante était interrompu par l’utilisateur, puis repris
plus tard, on pouvait constater un nombre de zones chiffrées plus important dans l’arborescence.
Cela ne portait pas à conséquence pour l’utilisateur, mais pouvait avoir certains petits effets
gênants, comme l’augmentation de la taille des archives de cartes des zones. La reprise sur un
PX83134 r1
[E#2579]
optimisation
Release Notes v3.1
chiffrement interrompu a été améliorée afin d’éviter ce type de désagrément. Le nombre de zones
final sera maintenant le même pour une opération interrompue et une opération réalisée en deux
temps.
PX83134 r1
Release Notes v3.1
Corrections ou améliorations
Meilleure tolérance aux périphériques PKCS#11 peu responsifs
[E#1380]
Certains tokens ou cartes à puce peuvent avoir des temps de réponse excessivement longs,
notamment lorsqu’ils sont restés inactifs trop longtemps. ZoneCentral pouvait alors parfois mal
réagir à cette lenteur, et bloquer l’interface graphique.
La couche d’accès PKCS#11 a été revue, renforcée et optimisée pour mieux gérer ce genre de
tokens.
Passage des logs au format UNICODE
[F#2592]
Les fichiers de logs étaient au format ANSI, et présentaient donc mal les caractères spéciaux, par
exemple les kanji japonais. Tous les fichiers de logs sont maintenant au format UNICODE, et
peuvent afficher tous les caractères spéciaux.
Meilleure gestion de l’annulation d’une ouverture de zone en mode CSP
[F#2638]
Il fallait parfois annuler plusieurs fois la même fenêtre d’ouverture de zone en mode CSP (par
exemple la demande de pin d’une carte à puce) pour qu’elle soit bien prise en compte. Cette
anomalie a été corrigée.
Création trop fréquente d’une archive de carte des zones (P343)
[F#2568]
La P343 génère une ‘photographie’ de l’espace de chiffrement en sauvegardant tous les fichiers
internes de ZoneCentral dans une archive avec historique. Une nouvelle archive est générée lors
d’une modification dans l’état de chiffrement du poste. Une anomalie faisait qu’une nouvelle archive
pouvait être générée à tort, sans qu’aucun changement n’ait été fait sur l’espace de chiffrement. Le
nombre d’archives pouvait alors être inutilement trop important. Cette anomalie a été corrigée.
L’option –y de l’assistant de chiffrement (‘ne pas me demander la clé’) ne
fonctionnait pas lorsqu’une liste d’accès était spécifiée
[F#2571]
L’option –y, qui permet de chiffrer un emplacement avec une liste d’accès sans avoir à fournir de
clé, ne fonctionnait pas dans la version 3.0. Une commande du type « zcapply –y –c Group.zaf »
provoquait inutilement la demande d’une clé avant de chiffrer. Cette anomalie a été corrigée.
Proposition de chiffrement lors de l’insertion d’un CD
Il pouvait arriver que ZoneCentral propose le chiffrement d’un CD ou DVD inséré. Cette anomalie a
été corrigée.
Amélioration de la compatibilité avec l’anti-virus McAfee CE 10.1.6.6010
Des problèmes pouvaient apparaître sur certaines configurations : l’effacement avec surcharge
échouait sur certains fichiers, et pouvait conduire à la duplication de fichiers. Cet effet a été corrigé.
Meilleur support de Windows Desktop Search
[F#2591]
rare
[F#2619]
rare
[F#2600]
Le chiffrement du poste de travail pouvait être fortement ralenti lorsque l’outil de recherche était
présent. ZoneCentral est maintenant parfaitement compatible avec Windows Desktop Search.
Support des redirections de dossiers techniques
[F#2614]
Certains dossiers techniques peuvent être redirigés en modifiant la base de registre, comme par
exemple Local Settings ou Local Settings\Application Data. Ces redirections particulières n’étaient
pas traitées lors du chiffrement d’un profil utilisateur. Cette anomalie a été corrigée.
Une erreur système se produisait parfois lors de la suppression d’un fichier (cas
très rare)
[F#2586]
très rare
Dans des cas de configuration très rares, la suppression d’un fichier à un certain moment pouvait
déclencher une erreur système. Cette anomalie a été corrigée.
Erreur et arrêt de l’assistant de chiffrement sur certaines configurations
Une erreur brutale pouvait survenir lors du chiffrement de l’espace de travail. Cette anomalie,
constatée une seule fois, a été corrigée.
[F#2163]
très rare
Siège : 10 place Charles Béraudier 69428 Lyon Cedex 03 - France - Tél. : +33 (0)4.26.68.70.02 - Fax : +33 (0)4.26.69.70.04
Service Commercial : 14 avenue d'Eylau 75116 Paris - France - Tél. : +33 (0)1.77.72.64.80 - [email protected]
Release Notes v3.1
Migration
La version 3.1 est totalement compatible avec la précédente version 3.0, et une mise à jour peut être effectuée
sans apporter aucune modification à la configuration des politiques de sécurité.
Les nouvelles politiques apportées par cette version sont :
-
P111 et P112 : Activer le module X12 ;
-
P138 : Mise à jour automatique des zones partagées lors d’un changement de clé ;
-
P148 : « Extended Key Usages » autorisés pour les conteneurs chiffrés ;
-
P197 : Désactiver l’icône de la barre d’état ;
-
P255 : Informations Helpdesk utilisateurs ;
-
P284 : Désactiver les ouvertures de zones quand la clé personnelle n’est pas un accès.
Siège : 10 place Charles Béraudier 69428 Lyon Cedex 03 - France - Tél. : +33 (0)4.26.68.70.02 - Fax : +33 (0)4.26.69.70.04
Service Commercial : 14 avenue d'Eylau 75116 Paris - France - Tél. : +33 (0)1.77.72.64.80 - [email protected]