ZoneCentral 3.1

Ref: PX81092 i n- pl aceencr ypt i onengi ne Version 3.1 Guide d'utilisation et de mise en oeuvre Manuel rvision 2 ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 20081 Reproduction et droits Copyright Prim'X Technologies 2003 - 2008 Toute reproduction, mme partielle, du document est interdite sans autorisation crite pralable de la socit Prim'X Technologies ou de l'un de ses reprsentants lgaux. Toute demande de publication, de quelque nature que ce soit, devra tre accompagne d'un exemplaire de la publication envisage. Prim'X Technologies se rserve le droit de refuser toute proposition sans devoir justifier sa dcision. Tous droits rservs. L'utilisation du logiciel ZoneCentral est soumise aux termes et conditions de l'accord de licence conclu avec l'utilisateur ou son reprsentant lgal. ZoneCentral est une marque dpose de Prim'X TECHNOLOGIES. Sige : 10 Place Charles Braudier 69428 Lyon Cedex 03 - France - Tl. : +33 (0)426.68.70.02 - [email protected] Dir. Com. : 14 Avenue d'Eylau 75116 Paris France - Tl. : +33 (0)177.72.64.80 - Fax : +33 (0)177.72.64.99 - www.primx.eu ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 20082 Sommaire Prambule .........................................................................................................3 Evaluation Critres Communs ........................................................................4 Description gnrale........................................................................................5 Installation.........................................................................................................6 Premire mise en oeuvre.................................................................................7 Le Moniteur montre que ZoneCentral est actif ........................................................................7 Cration d'une premire zone chiffre.....................................................................................7 Utilisation de cette zone chiffre............................................................................................10 Premires conclusions...........................................................................................................11 Comment a marche..............................................................................................................11 Prise en main avance...................................................................................12 Votre 'liste d'accs personnelle'.............................................................................................12 Ajouter des accs une zone chiffre...................................................................................13 Vue globale des zones sur un Poste de Travail ....................................................................15 Chiffrer une cl mmoire USB...............................................................................................15 Crer un partage chiffr.........................................................................................................16 Chiffrer un partage sur un serveur de fichiers (et y accder)................................................16 Utiliser un fichier de cls (.pfx)...............................................................................................17 Utiliser une carte mmoire RSA (ou un token)...................................................................17 Utiliser un provider CSP (magasins Windows)......................................................................18 Oprations sur zones.............................................................................................................18 Dchiffrer une zone................................................................................................................18 Transchiffrer une zone, ou toutes les zones sur un volume..................................................19 Dissocier un sous-dossier d'une zone chiffre pour en faire une zone indpendante..........19 Regrouper une zone chiffre avec une zone chiffre 'parente' .............................................19 Vrifier une zone chiffre.......................................................................................................19 Vue de dtail (avance) d'une zone chiffre.........................................................................20 "Marquer" une zone en clair ..................................................................................................20 Accs de secours...................................................................................................................21 Quels dossiers peut-on (doit-on) chiffrer ...............................................................................22 Utilisation des conteneurs chiffrs...............................................................24 Aperu des outils d'administration...............................................................27 Les Rgles de Scurit (policies) [gpedit] .............................................................................27 L'outil d'dition de profils de zone et de listes d'accs [zcedit]..............................................28 La console d'administration en ligne de commande [zcacmd]..............................................29 L'assistant graphique [zcapply]..............................................................................................30 Les journaux et vnements Windows..................................................................................30 Oprations d'administration importantes ....................................................31 Lire le "Manuel Technique de ZoneCentral"..........................................................................31 Dfinir les emplacements des listes d'accs .........................................................................31 Dfinir les accs de secours/recouvrement...........................................................................32 ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 20083 Prambule Ce guide d'utilisation et de mise en uvre a pour but de guider les premiers pas de l'utilisateur-administrateur : Aperu des fonctionnalits gnrales Prise en main rapide selon un mode d'utilisation simple et standard Donner les "repres" ncessaires l'utilisation et l'administration. Dans le cadre d'un dploiement en entreprise, ce guide n'est pas vritablement destin aux utilisateurs eux-mmes, car il ne sera pas adapt au cadre et cas d'usage qui seront dfinis. Pour une valuation approfondie du produit, pour dfinir une politique d'utilisation et de dploiement, ou pour toute question ou problme rencontr lors de lutilisation du produit, il est vivement recommand de se rfrer auMANUEL TECHNIQUE DE ZONECENTRAL tlchargeable sparment sur le site www.primx.eu. Ce manuel expose de faon dtaille les concepts de zones, d'accs et de listes d'accs, les procdures d'administration, les stratgies de scurit, etc. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 20084 Evaluation Critres Communs Le produit ZoneCentral v3.1 est en cours dvaluation conformment la cible de scurit version 2.5 davril 2008 au niveau EAL2+(EAL2 augment des composants ALC_FLR.3, AVA_VLA.2, ADV_HLD.2, AVA_MSU.1 et ALC_DVS.1, ainsi que ADV_LLD.1, ALC_TAT.1 et ADV_IMP.1 pour les mcanismes cryptographiques). Afin d'utiliser le produit dans les conditions de l'valuation, des mesures de scurit portant sur l'environnement oprationnel doivent tre suivies. Recommandations pour une utilisation de l'outil dans les conditions de l'valuation 1- Lorsque l'utilisateur est authentifi, l'environnement oprationnel doit assurer la confidentialit des donnes sensibles et des donnes d'authentification.Note d'application L'quipement doit apporter des protections efficaces contre l'coute illicite et la transmission non autorise de donnes (pare-feu correctement configur, antivirus avec base de donnes jour, anti-spyware , etc.). Les applications installes sur l'quipement ne doivent pas perturber le bon fonctionnement de la TOE. Ainsi, les oprations que peut faire l'utilisateur sur les fichiers protgs par la TOE, surtout au travers de ses applications, ne doivent pas entrainer de copies totales ou partielles de ces fichiers en dehors de la TOE, sauf lorsqu'il l'a clairement demand ou lorsque c'est une consquence claire de l'opration demande.2 - L'utilisateur ne doit accder ses donnes sensibles que lorsqu'il se trouve dans un environnement de confiance (lorsqu'il se trouve seul ou avec des personnes ayant le besoin d'en connatre). 3- L'environnement de confiance doit notamment permettre aux utilisateurs d'entrer leur mot de passe (ou code PIN) sans tre observable directement et sans que cela puisse tre intercept (clavier sans fil) par dautres utilisateurs ou attaquants potentiels. 4- Les utilisateurs sont chargs de la conservation dans un lieu sr et de la non divulgation des cls daccs qui leurs ont t transmises par un administrateur de ZoneCentral. Ladministrateur est lui mme charg de conservation dans un lieu sr et de la non divulgation des cls daccs de recouvrement. 5- Avant tout chiffrement de zone, il est impratif que lutilisateur ait eu une importante activit de frappe au clavier ou dfaut quil frappe lquivalent de 3 lignes de textes en langage naturel. Ces squences de frappe font en effet partie des lments de bruit intervenant dans linitialisation du calcul des alas utiliss pour la gnration des cls de zone. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 20085 Description gnrale ZoneCentral est un produit de scurit pour postes de travail oprant sous Windows 2000 et Windows XP. Son rle est de prserver la confidentialit des documents manipuls par les utilisateurs, sur des postes isols, des ordinateurs portables, ou des postes de travail connects un rseau d'entreprise. Il permet de grer un stockage chiffr (crypt) des fichiers, sans modifier leurs caractristiques (emplacement, nom, dates, tailles) et de faon la plus transparente possible pour les utilisateurs. Le chiffrement des fichiers s'effectue en effet 'in-place' (l o rsident les fichiers) et ' la vole' (sans manipulation particulire de l'utilisateur). Pour simplifier la gestion des fichiers chiffrs, ZoneCentral est bas sur le principe de zones : une zone chiffre est un volume, ou un dossier, avec tout ce qu'il contient (fichiers et sous-dossiers) et l'intrieur duquel tout fichier existant ou venir est maintenu chiffr, sans qu'il existe aucun moment de copie en clair des donnes. L'ensemble des zones chiffres dfinit un espace scuris pour les utilisateurs : cela peut comprendre son 'profil utilisateur Windows' (avec son dossier 'Mes Documents', son 'Bureau', son cache de navigation Web, les fichiers temporaires, etc.), son espace de travail habituel (l'endroit o habituellement l'utilisateur gre ses fichiers), les partages rseau auxquels il accde (serveurs de fichiers), ou encore la ou les cls mmoire USB qu'il utilise. Pour chaque zone chiffre, il est possible de dfinir un certain nombre d'accs : l'accs de l'utilisateur principal, d'un collgue ou d'un chef de service ventuel, l'accs rserv du responsable de la scurit, l'accs de secours de l'entreprise (recouvrement), etc. La dfinition de ces accs est libre, mais le produit est dot de fonctions et de mcanismes d'administration permettant d'imposer certains accs ou certains types d'accs. Un accs correspond une cl d'accs (une cl cryptographique) que possde un utilisateur. Cette cl peut tre un mot de passe, ou une cl RSA hberge dans un porte-cl (un fichier de cl, une carte mmoire, ...).Pour assurer un haut niveau de scurit, ZoneCentral chiffre galement le fichier d'change de la mmoire virtuelle du poste (le swap) dans lequel peuvent figurer des informations rmanentes (portions de mmoire des applications utilises). Il intgre galement un service automatique et transparent d'effacement scuris par surcharge : tout fichier (chiffr ou non) supprim sur un disque local est automatiquement effac (rcriture de son contenu avec du 'bruit') avant d'tre effectivement supprim. Cela concerne galement les fichiers temporaires crs par les applications. ZoneCentral intgre galement un produit appel Zed! qui permet aux utilisateurs de fabriquer des conteneurs chiffrs, dans lesquels ils peuvent copier des fichiers, et qu'ils peuvent envoyer des correspondants ou archiver. L'utilisateur peut dfinir lui-mme les accs ces conteneurs, par exemple pour introduire un mot de passe dont il a convenu avec un correspondant. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 20086 Installation Vous devez disposer des droits "administrateur" sur l'ordinateur pour installer le produit. Pour installer le produit, excuter le programme d'installation "Setup ZoneCentral" qui vous a t fourni. Cette installation est standard et rapide, et les options par dfaut conviennent la majorit des cas. L'installation permet d'installer la partie 'utilisateur' du produit et les outils d'administration (cette option n'est pas slectionne par dfaut, sauf dans la version d'valuation). A la fin de l'installation, il est ncessaire de redmarrer l'ordinateur. Notes : l'installation administre (Setup /A) est compatible avec les logiciels de tl-installation du march (technologie Microsoft Installer 2x et suprieur), et l'installation peut tre programme pour tre "silencieuse", au dmarrage du poste ou l'ouverture de session ; il est possible de personnaliser et pr-masteriser les 'policies' du produit pour qu'elles soient installes avec le logiciel. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 20087 ichier s-sur le bouton "Chiffrer". e slectionner Premire mise en oeuvre Le Moniteur montre que ZoneCentral est actif Aprs installation et redmarrage, ZoneCentral est dj actif sur le poste : le fichier d'change (swap) du systme est chiffr (et maintenu chiffr) ; tous les fichiers supprims sur les disques locaux sont automatiquement nettoys (leur contenu est effac) avant leur suppression effective. Pour les fichiers qui ne sont pas effacs mais dont la taille est rduite, l'espace occup avant rduction et non rutilis est galement trait.Activez le Moniteur ZoneCentral, qui se trouve dans le menu Dmarrer de Windows. Les deux premiers onglets montrent les zones chiffres ouvertes et les cls d'accs fournies. Pour l'instant, il n'y en a pas. Activez l'onglet "statut", qui montre l'tat du logiciel. L'tape suivante consiste dfinir des zones chiffres. Cration d'une premire zone chiffre 1 - Choisir un dossier existant, ou, pour un premier essai, crer un nouveau dossier avec quelques fichiers. 2 - Ouvrir les proprits du dossier Dans l'Explorateur Windows, slectionner ce dossier, et afficher ses proprits : un onglet "Chiffrement" a t ajout. 3 - Activer le chiffrement du dossier Comme le dossier slectionn n'est pas encore chiffr, il faut effectuer une conversion initiale pour chiffrer son contenu. Par la suite, tout fqui sera cr dans ce dossier, ou dans ses soudossiers, sera automatiquement chiffr. Cliquer Il aurait galement t possible dle dossier dans l'Explorateur et d'utiliser le menucontextuel "Chiffrer" qu'il propose. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 20088 4 - Choix d'une cl d'accs : comme il s'agit de la premire utilisation, il vous est demand de choisir votre cl d'accs. Diffrents choix sont possibles en fonction de la politique de gestion de cls de votre environnement.

Pour ce premier essai, choisissez l'option 'mot de passe'. Tant que la premire 'pastille' n'est pas devenue verte, votre mot de passe n'est pas assez 'fort', vous devez le durcir. La seconde pastille devient verte ds que la seconde saisie est identique la premire. Note : ces saisies de mots de passe sont effectues en mode protg, par capture bas niveau dans le systme des caractres saisis. Attention vous souvenir du mot de passe, car cette tape de la dmonstration, nous n'avons pas encore dfini de cl de secours/recouvrement ! Cette opration de slection de votre cl personnelle et de fabrication de votre liste d'accs personnelle n'a lieu que la premire fois que vous utilisez ZoneCentral pour chiffrer (une zone ou un conteneur).Il est possible de prparer cet accs en "amont", par l'administrateur de la scurit, et donc d'viter cette tape. Ds que cette liste personnelle est cre, l'opration initialement demande (chiffrer le dossier) se dclenche. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 20089 ontenu i t de 5 - Chiffrement initial du dossier : l'assistant de chiffrement apparat, et vous guide pour la suite. Il ne vous sera demand que des confirmations intermdiaires entre chaque tape. Il y a trois tapes : analyse du dossier, chiffrement, et vrification. L'tape d'analyse consiste vrifier que les fichiers chiffrer ne sont pas dj ouverts par des applications, que les droits d'accs autorisent la modification des fichiers, etc. Ce chiffrement initial s'effectue de faon trs rigoureuse et trs protge (notamment contre les coupures de courant). Les fichiers qui sont chiffrs sont systmatiquement vrifis (essais de dchiffrement, comparaison avec le cinitial, etc.), et l'image en clair du fichier, quexistait au dpart, est nettoye (effacemenson contenu). Si, pour une raison quelconque, un fichier ne peut pas tre chiffr, l'assistant le signale, puis continue son traitement. C'est le cas, par exemple, si le fichier est ouvert par une application. Il faut alors fermer cette application. 6 - C'est termin ! : les proprits du dossier indiquent maintenant qu'il est chiffr. L'Explorateur Windows le montre dsormais avec un petit cadenas. Astuce : si le cadenas comporte une "serrure", c'est qu'il s'agit d'une "tte de zone chiffre". Sinon, c'est qu'il s'agit d'un sous-dossier (chiffr) d'une zone chiffre. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200810 Utilisation de cette zone chiffre 1 - Activez le moniteur : vous pouvez constatez qu'il mentionne maintenant votre cl d'accs (deuxime onglet). Dans le dossier chiffr, essayez, par exemple, de crer un nouveau fichier. La zone s'ouvre automatiquement, car la cl d'accs est prsente. 3 - Les fichiers que contient la zone sont chiffrs, mais il n'y a aucune diffrence d'utilisation : ouvrez l'un des fichiers, comme vous le faites habituellement : l'application se lance, vous travaillez sur le fichier, il n'y a aucune diffrence ! En effet, comme vous avez dj fourni votre cl d'accs prcdemment, la zone est ouverte, et les fichiers sont accessibles. De plus, tous les nouveaux fichiers et sous-dossiers seront chiffrs automatiquement : nous vous invitons essayer toutes les manipulations habituelles sur les fichiers : copier/coller, renommage, glisser-dplacer, enregistrer-sous dans une application, etc. A partir de maintenant, tout fichier qui "entrera" dans cette zone chiffre sera nativement chiffr. Remarquez que tous les sous-dossiers comportent galement une icne avec cadenas. 4 - Dans le moniteur, cliquez sur le bouton " Fermer tout": cette action va fermer les zones chiffres ouvertes et les cls d'accs dj fournies. 5 - Ouverture de la zone chiffre Retournez dans le dossier et ouvrez un des fichiers, ou tentez de le copier ailleurs : automatiquement, ZoneCentral demande de fournir une cl d'accs pour la zone chiffre. Notez la bulle d'aide qui indique le fichier accd et l'application concerne. Un rappel peut galement apparatre en barre des tches si cette fentre venait tre masque. Quelle que soit la cause, et ds lors qu'il y a un accs au CONTENU d'un fichier chiffr dans un dossier chiffr (en lecture ou en criture), il faut fournir la cl d'accs pour que ZoneCentral soit en mesure de chiffrer ce qui est crit ou dchiffrer ce qui est lu.Note : les zones et les cls sont galement automatiquement fermes lorsque l'conomiseur d'cran se met en marche, si vous fermez votre session ou si le poste est teint. Il existe galement des squences de touches simples et rapides qui permettent une fermeture des zones et des cls, mais elles doivent tre configures par un outil d'administration. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200811 Premires conclusions Il n'y a jamais de copie en clair des fichiers chiffrs : le dchiffrement et le chiffrement s'effectuent intgralement ' la vole', quelle que soit l'application et l'opration effectue. Lorsqu'une nouvelle zone chiffre est cre, les fichiers dj prsents sont chiffrs une premire fois (migration), mais tous les fichiers (et dossiers) venir dans cette zone seront nativement chiffrs, systmatiquement, et de faon transparente. Tant qu'un fichier reste dans une zone chiffre, ou passe d'une zone chiffre une autre, il demeure inaccessible pour quiconque ne disposant pas d'une cl d'accs, et ce mme s'il utilise des moyens avancs (dmarrage sur un autre systme, accs rseau, etc.) puisque le fichier est stock sous forme chiffre. Par contre, bien entendu, si vous copiez ou dplacez un fichier vers un emplacement non chiffr, alors son contenu sera disponible en clair. Comment a marche... ZoneCentral dtecte bas niveau, dans le noyau de Windows, tous les accs aux fichiers effectus par les applications ou par le systme lui-mme. Lorsqu'un accs concerne un fichier qui se trouve dans une zone chiffre (c'est--dire un dossier chiffr, ou dans un de ses sous-dossiers), ZoneCentral vrifie la vole s'il possde une cl d'accs habilite pour cette zone chiffre. Si oui, il l'utilise pour dchiffrer les donnes lues ou chiffrer les donnes crites lors des accs effectus par les applications. Il ne traite que les "portions" de donnes demandes par les applications, quand elles le demandent. S'il ne possde pas de cl d'accs permettant de chiffrer/dchiffrer, il en demande une l'utilisateur, qui doit la fournir, ce qui permet "d'ouvrir la zone chiffre" et de travailler avec les fichiers qu'elle contient (prsents ou venir). Si la cl d'accs n'est pas fournie, alors l'accs au fichier demand est refus. Ce processus ne s'effectue que lorsqu'il y a un rel accs aux donnes des fichiers. Lorsqu'il ne s'agit que d'informations lies au fichier mais pas son contenu, ZoneCentral reste transparent. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200812 Prise en main avance Votre 'liste d'accs personnelle' Lors de la toute premire opration de chiffrement d'une zone, il vous a t demand de choisir votre cl d'accs personnelle (et, pour un premier essai, nous avions choisi un accs de type mot de passe). Ceci a entran la cration d'un fichier spcial, portant comme nom de fichier une composition du nom de votre ordinateur et de votre nom d'utilisateur Windows(par exemple : pour l'ordinateur 'PC2412' et l'utilisateur Windows 'Paul', cela donne "PC2412 Paul.zaf", zaf tant une abrviation de ZoneCentral Access File) Ce fichier a t dpos dans votre profil Windows, dans le dossier "Mes documents\Profil ZoneCentral". De plus, si la cl personnelle que vous aviez choisi tait un fichier de cls .pfx (que votre administrateur vous a remis), alors une copie de ce fichier a galement t faite dans ce dossier (pour que vous puissiez le retrouver facilement). Que contient le fichier 'liste d'accs personnelle' ? Dans l'exemple que nous avons pris, il ne contient que la dfinition de votre accs avec la cl d'accs que vous aviez slectionn.Mais, dans une configuration administre, il peut galement contenir d'autres accs, dfinis et imposs par votre administrateur de la scurit (accs d'un collgue, d'un chef de service, de l'administrateur de la scurou encore un accs de recouvreml'entreprise). Ceci afin de garantir que tout ce que vous serez amen chiffrer (dossiers, conteneurs, etc.) pourra tre dchiffr par des accs de secours. it, ent pour Ce fichier d'accs personnel est trs important, et il ne doit pas tre supprim, sauf par un utilisateur expriment ou un administrateur. Il constitue en effet le seul lien entre une zone chiffre et, in fine, les cls d'accs qui permettent de dchiffrer son contenu. Il est fortement conseill d'effectuer une sauvegarde de ce fichier 'liste d'accs'. Par mesure de prcaution, ce fichier est en lecture seule. Si vous supprimez ce fichier (par exemple pour faire un autre essai avec une autre cl personnelle), assurez-vous auparavant d'avoir dchiffr toutes les zones chiffres (ou bien changez simplement le nom du fichier pour le conserver au cas o). Note : Pour l'administrateur de la scurit, il existe d'autres mesures de prcaution de ce type. Les accs obligatoires ('mandatory members') sont, en plus et dans tous les cas, ajouts directement dans les zones chiffres et dans les conteneurs (ce qui permet de se protger de la perte de ces fichiers "liste d'accs personnelle"). Le concept de 'liste d'accs' est un concept plus gnral dans ZoneCentral, qui permet de fabriquer des listes d'habilitation, puis de les appliquer des zones chiffres. Ce concept sera abord plus loin. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200813 Ajouter des accs une zone chiffre 1- voir les accs Dans l'Explorateur Windows, slectionnez le dossier que vous avez dj chiffr dans l'tape prcdente, et affichez ses proprits (onglet 'Chiffrement'). Pour l'instant, il n'y a qu'un seul accs, le votre, que vous aviez dfini lors du premier chiffrement de dossier. Comme il est expliqu au paragraphe prcdent, cet accs porte le nom de l'ordinateur et votre nom d'utilisateur Windows. Si vous dtaillez son contenu, vous verrez ensuite qu'il mentionne bien votre accs par mot de passe tel que vous l'aviez dfini. Les boutons "Nouveau" et "Supprimer" permettent de grer les accs la zone chiffre, sous certaines conditions toutefois, en fonction de ce qu'autorise votre administrateur(pour l'instant, nous faisons une dmonstration du produit avec ses options par dfaut, non limitatives). Note : avec cette interface graphique, il n'est possible d'ajouter des accs que sur une "tte de zone chiffre", c'est--dire sur le dossier chiffr de plus haut niveau, celui qui dfinit toute la zoventuels. D'autres moyens avancs existent cependant pour ajouter des accs sur ddossiers 'infrieurs' si ncessaire. ne et qui englobe les sous-dossiers es Cliquez sur le bouton "Nouveau". Si la zone n'est pas ouverte, il vous est demand de l'ouvrir, pour s'assurer que vous y avez bien accs. Puis vous avez le choix entre divers modes d'ajouts d'accs : ajouter un accs par mot de passe ou ajouter un accs de type cl RSA, en utilisant le certificat associ la cl RSA, certificat que l'on peut slectionner dans un fichier ou sur un annuaire de certificats. 2 - Ajouter un accs de type mot de passe Il suffit de donner un nom cet accs (quivalent d'un identifiant utilisateur) et de lui choisir un mot de passe. L encore, les pastilles de couleur donnent des indications sur la qualit du mot de passe choisi (qualit qui peut tre configure par l'administrateur). Vous pouvez ajouter ainsi plusieurs accs si ncessaire. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200814 3 - Ajouter un accs partir d'un certificat lu dans un fichier ou un magasin Cliquez sur le petit bouton symbolisant un dossier et slectionnez un ou plusieurs fichiers pouvant contenir des certificats (fichiers dont l'extension peut tre .cer, .crt, ou .p7b) : les certificats utilisables trouvs sont affichs dans la liste et vous pouvez cocher ceux qui correspondent aux personnes qui vous voulez donner accs la zone chiffre.Le second bouton symbolise les magasins de certificats de votre poste de travail. Il permet d'afficher les certificats disponibles des magasins "personnel" et "autres personnes". Si le certificat ne peut pas tre utilis, il apparat en rouge, et une bulle d'aide indique pourquoi. Il peut tre prim, ne pas autoriser le chiffrement, ne pas provenir d'une Autorit de Confiance, ou bien les listes noires qui le concernent (lui ou sa hirarchie) peuvent ne pas tre disponibles (elles sont tlcharges en temps rel si ncessaire). Note: ZoneCentral utilise le magasin de certificat "autorits de confiance" (y compris celles de "l'entreprise'" du Poste de Travail pour trouver les autorits intermdiaires et racines de confiance. 4 - Ajouter un accs partir d'un certificat trouv dans un annuaire Si vous disposez d'annuaires (LDAP) de certificats, vous pouvez rechercher le certificat de ce correspondant sur cet annuaire : il suffit de donner le nom de l'annuaire et d'entrer le nom du correspondant. Exemple : utilisez le serveur public 'directory.verisign.com' et recherchez 'Parker', ou 'clinton'... Note : si le serveur LDAP le supporte, il est possible de mettre plusieurs critres de recherche, mme incomplets, spars par des points-virgules, comme "Par;Clint". La plupart du temps, il s'agira d'annuaires internes votre organisation, avec ventuellement ses rgles de recherche propres. Votre administrateur ZoneCentral peut galement prdfinir la liste des annuaires disponibles. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200815 Vue globale des zones sur un Poste de Travail Dans l'Explorateur Windows, slectionnez le "Poste de Travail" et activez le menu contextuel : un choix "Chiffrement" apparat. Le second onglet permet de visualiser toutes les zones chiffres connues (ouvertes ou non) du Poste de Travail. Chiffrer une cl mmoire USB Lorsqu'une cl mmoire USB est introduite dans un port USB de l'ordinateur, ZoneCentral le dtecte et propose automatiquement de chiffrer cette cl mmoire, c'est--dire d'en faire une zone chiffre. Si vous acceptez, l'assistant de chiffrement va s'activer (comme pour un dossier) et chiffrer le contenu existant de la cl USB. Par la suite, tout fichier copi sur cette cl mmoire sera automatiquement chiffr sans intervention. Si vous refusez, ZoneCentral mmorise le numro de srie du volume, pour ne pas refaire cette proposition la prochaine fois qu'il sera insr. Si, par la suite, vous souhaitez quand mme le chiffrer, il faudra effectuer cette oprationpar vous-mme partir de l'onglet 'Proprits' du volume. Au cours de cette opration, l'assistant copie sur la cl USB votre fichier 'liste d'accs personnelle' et, si vous en utilisez un, votre fichier de cls, de faon ce que vous puissez utiliser la zone chiffre directement sur un autre ordinateur quip de ZoneCentral. Il se peut que cette opration ne puisse pas s'effectuer par manque de place sur la cl USB. Si c'est le cas, vous devez d'abord faire de la place sur la cl (copier son contenu sur votre ordinateur), puis refaire l'opration, pour finalement remettre le contenu initial sur la cl USB. Pour refaire l'opration, il suffit soit de rintroduire la cl USB dans l'ordinateur, soit plus simplement d'accder aux proprits du volume USB (H: par exemple) et de procder comme auparavant pour un dossier. L'administrateur de ZoneCentral a en plus la possibilit d'interdire la copie de fichiers en clair sur une cl mmoire USB, pour s'assurer que toute copie sur une cl USB sera protge par chiffrement. Dans ce cas, une cl mmoire non chiffre fonctionnera en pratique en "lecture seule", toute 'sortie d'information' tant interdite si elle n'est pas chiffre. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200816 Crer un partage chiffr Avec ZoneCentral, les partages de zones chiffres restent chiffrs. Si le poste client qui se connecte ce partage n'est pas quip de ZoneCentral, il ne verra que des fichiers chiffrs, sans aucun moyen pour les dchiffrer. Un partage n'est donc pas dangereux en termes de confidentialit. Si le poste client qui se connecte ce partage est quip de ZoneCentral, alors son poste dtectera que c'est une zone chiffre et demandera son utilisateur de fournir une cl d'accs valide pour la zone en question. Une fois fournie, la zone sera ouverte (pour lui et pour son poste seulement), et les chiffrements et dchiffrements de fichiers s'effectueront sur son poste (c'est son logiciel ZoneCentral qui le fera). Ceci signifie que, mme si le partage chiffr est ouvert par un poste client, le trafic rseau reste chiffr, et cette ouverture ne concerne que ce seul poste. Si un autre poste se connecte au partage, il devra lui aussi fournir une cl d'accs.Le fait que la zone chiffre (partage) soit ouverte et accessible localement ou ferme ne change rien ces principes. Avec ZoneCentral, la notion de partage ne change donc pas, plusieurs postes peuvent l'utiliser et accder des fichiers. Ce qui change, c'est que le contenu des fichiers reste chiffr et que, pour y accder, les mmes rgles que pour un accs local s'applique : il faut avoir une cl d'accs valide. Pour partager un dossier chiffr, il est ncessaire que ce dossier soit une "tte de zone chiffre" (et non pas seulement un dossier inclus dans une zone chiffre). Donc, lorsque vous effectuez l'action de partage sur le dossier, ZoneCentral va automatiquement transformer ce dossier en une zone indpendante, ce qui va vous permettre, notamment, d'attribuer des accs personnaliss pour cette zone (pour autoriser telle ou telle personne dchiffrer son contenu chiffr). Chiffrer un partage sur un serveur de fichiers (et y accder) Cette procdure est normalement rserve l'administrateur de la scurit, mais ce partage sur un serveur de fichier peut galement tre un espace personnel. ZoneCentral n'a pas besoin d'tre install sur le serveur de fichiers, et ce serveur peut oprer sous Windows ou sur d'autres systmes (UNIX, etc.). Ce sont en effet les postes clients ZoneCentral qui accdent aux fichier et effectuent les oprations de chiffrement/dchiffrement localement (le trafic rseau portant donc par construction sur des portions de fichiers chiffrs). L'opration est exactement la mme que pour un dossier local, avec les mmes contraintes, notamment celle d'avoir les droits d'accs en lecture et en criture sur le dossier du serveur chiffrer. Par la suite, les accs ce partage se feront galement exactement comme pour un dossier local. Comme dans le cas des partages sur les postes de travail, chaque poste client devra fournir sa cl d'accs pour accder l'espace chiffr sur le serveur, et chaque poste utilisera le ou les fichiers dsirs. L'organisation de la gestion des habilitations est libre. Toutefois, s'agissant d'espaces communs et partags entre plusieurs utilisateurs, il est gnralement de rgle qu'une personne dsigne (le chef de service par exemple), s'occupe de grer les habilitations. Nous entrons l dans un contexte plus global d'administration, qui sera dcrit plus loin, avec notamment les notions de droits et de listes d'accs. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200817 Utiliser un fichier de cls (.pfx) Un fichier de cl est un "porte-cl" comportant un jeu de cls RSA (dont la cl prive) et le certificat associ. Ce fichier est protg par un code d'accs. Pour utiliser un fichier de cls que vous a fourni votre administrateur de la scurit (certainement issu d'une infrastructure PKI), il suffit, lors la cration de votre 'liste d'accs personnelle' (au tout premier chiffrement), de slectionner le second symbole ('fichier de cls') et d'indiquer l'emplacement de votre fichier. Le code d'accs du fichier doit galement tre fourni. Si vous avez dj cr le fichier 'liste d'accs personnelle' au cours d'essais prcdents, vous devez aller dans le dossier "Mes Documents\Profil ZoneCentral", localiser le fichier existant ("Ordinateur UtilisateurWindows.zaf") et soit le supprimer soit le renommer (ce qui est prfrable, car vous avez peut-tre toujours des dossiers d'essai chiffrs avec l'ancien, et il vaut mieux le conserver au cas o), puis effectuer une procdure de chiffrement de dossier. Noter que le fichier de cls indiqu est automatiquement recopi dans le dossier "Mes Documents\Profil ZoneCentral" pour que vous puissiez le retrouver facilement. Sa prsence dans ce dossier n'est cependant pas indispensable. Par la suite, lorsque vous ouvrez une zone chiffre ou un conteneur chiffr, ZoneCentral proposera automatiquement un accs par fichier de cls, et proposera directement le bon fichier, vous n'aurez qu' entrer son code d'accs. Utiliser une carte mmoire RSA (ou un token) La procdure est la mme que pour un fichier de cls, mais vous devez introduire la carte ou le token et saisir son code confidentiel lors de la cration de votre liste d'accs personnelle. Par dfaut, ZoneCentral est livr avec une configuration qui lui permet de reconnatre automatiquement les cartes de certains constructeurs. Si votre carte n'apparat pas dans la liste, c'est qu'elle n'est pas reconnue. L'administration de ZoneCentral (policies) permet toutefois d'ajouter des modules ' reconnatre', si vous disposez du module PKCS#11 fourni par les constructeurs. Par la suite, lorsque vous ouvrez une zone chiffre ou un conteneur chiffr, si la carte est prsente, elle sera propose automatiquement. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200818 Utiliser un provider CSP (magasins Windows) Pour utiliser une cl RSA rfrence dans les magasins CSP de votre ordinateur Windows, il faut qu'elle soit prsente au moment o vous crez votre 'liste d'accs personnelle' (voir paragraphes prcdents). Il suffit alors d'activer le quatrime pictogramme (ci-contre) et, s'il y a des cls disponibles, elles sont proposes. Par la suite, lorsque vous ouvrez une zone chiffre ou un conteneur chiffr, le mode opratoire est trs diffrent des cas prcdents, car c'est alors le CSP lui-mme qui effectue l'authentification, avec ses propres fentres. La fentre d'ouverture de ZoneCentral n'apparatra que s'il n'y avait pas de cl disponible dans les magasins CSP. Si vous utilisez le CSP standard Microsoft, sans protection particulire : alors votre cl d'accs est dverrouille par Windows ds que vous ouvrez votre session Windows, et il n'y aura aucune interface graphique d'ouverture de zone, les zones seront automatiquement ouvertes. Toujours avec le CSP standard Microsoft, si vous avez activ une protection renforce, alors il proposera sa propre fentre (soit une simple validation de l'utilisation de la cl d'accs, soit une demande de code d'accs). Si vous utiliser un CSP fourni par un constructeur de carte mmoire (ou token) RSA, alors ce sera la fentre de demande de code confidentiel de ce constructeur qui apparatra pour ouvrir la zone. Oprations sur zones Ces oprations ne sont disponibles que si l'administrateur de ZoneCentral ne les a pas masques et/ou interdites. Elles peuvent porter sur un dossier, un volume, ou le poste de travail complet. Dans le cas d'un dossier, il peut s'agir d'un dossier rsidant sur un partage externe. Ces oprations peuvent tre demandes depuis : Le menu contextuel (Explorateur) d'un dossier ou d'un volume. Par dfaut, seule l'opration "simple" est propose (chiffrer ou dchiffrer). Si le menu contextuel est invoqu avec la touche SHIFT enfonce, les oprations "avances" sont galement proposes si elles peuvent s'appliquer (transchiffrer, dissocier, regrouper, vrifier, etc.) ; Les proprits (Explorateur) d'un dossier ou d'un volume. L'onglet "Chiffrement" montre les accs et propose les oprations "simples" (chiffrer ou dchiffrer). Le bouton "Avanc" permet d'accder aux oprations plus complexes ; Le menu "Chiffrement" du Poste de Travail ; Les outils d'administration de ZoneCentral. Dchiffrer une zone Il suffit de slectionner le dossier "tte de zone", d'afficher ses proprits (onglet 'Chiffrement') et de cliquer sur le bouton 'Dchiffrer'. Si le dossier n'est pas une tte de zone chiffre, les proprits indiquent le nom de la tte de zone, avec un lien pour y accder rapidement. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200819 Transchiffrer une zone, ou toutes les zones sur un volume Le transchiffrement consiste renouveler les cls de chiffrement des fichiers dans les zones chiffres. C'est une opration "cryptosanitaire" qui doit tre excute priodiquement, selon une frquence dfinie par la politique de scurit de l'entreprise (tous les ans ou tous les deux ans en gnral). Cette opration combine le dchiffrement (avec une ancienne cl) et le chiffrement (avec une nouvelle cl). Attention, il ne s'agit pas ici des cls d'accs (mots de passe, fichiers de cls, cartes mmoire, etc.) mais des cls internes qui chiffrent les zones. Elle va donc traiter tous les fichiers dans tous les sous-dossiers d'une zone chiffre, de faon rigoureuse et scurise (pas de copie en clair, vrification systmatique avant et aprs transformation, protection contre les coupures de courant, etc.). L'interface graphique est la mme que pour le chiffrement. Pour traiter toutes les zones sur un volume (mme si la racine du volume n'est pas chiffre), afficher les proprits du volume, slectionner l'onglet 'chiffrement' et cliquer sur le bouton 'Transchiffrer'. Dissocier un sous-dossier d'une zone chiffre pour en faire une zone indpendante Cette opration "dtache" un sous-dossier (chiffr) de la zone laquelle il se rapporte, et fait donc de ce sous-dossier une zone part entire (avec tout ce qu'il contient). L'opration a pour but de permettre, par exemple, d'affecter des accs diffrents de ceux de la zone 'au-dessus'.Elle peut permettre galement, ensuite, de dchiffrer ce sous-dossier pour en faire une zone en clair (sans avoir eu modifier la zone 'au-dessus' et ses autres sous-dossiers).Note : bien que spares, les deux zones conservent des proprits de chiffrement identiques (algorithmes et cls internes). Regrouper une zone chiffre avec une zone chiffre 'parente' Cette opration n'est propose que si elle est pertinente et possible (les deux zones utilisent les mmes algorithmes et les mmes cls internes, et sont donc le rsultat d'une dissociation, cf. prcdent). Une confirmation est demande, notamment si les accs des deux zones sont diffrents : ce sont les accs de la zone 'parente' qui seront conservs, ceux de la zone regroupe disparaissant (car elle n'existe plus). Vrifier une zone chiffre Cette opration permet de vrifier la conformit de la zone chiffre avec les "Stratgies de Scurit" mises en place. Si des modifications doivent tre apportes, elles sont excutes. Il s'agit, en particulier et surtout, d'appliquer ou de rappliquer les "accs obligatoires" imposs par l'administrateur de la scurit (cas du recouvrement). Cette opration est galement disponible pour les listes d'accs. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200820 Vue de dtail (avance) d'une zone chiffre On y accde l'aide du bouton Dtail/Avanc disponible en bas de l'onglet 'Chiffrement' d'un dossier chiffr. Cette fentre regroupe toutes les fonctionnalits possibles : informations de gestion, liste des accs, exceptions, oprations possibles. L'onglet 'Gnral' ci-contre montre le label (libre) de la zone, l'algorithme de chiffrement des fichiers et la longueur (force) des cls, ainsi que des informations de gestion. "Marquer" une zone en clair Quand une zone est chiffre, tous les sous-dossiers (et ainsi de suite) sont considrs comme chiffrs. Pour indiquer qu'un sous-dossier d'une zone chiffre est en clair, il faut "marquer" ce dossier avec cette caractristique (sinon, ZoneCentral croira que son contenu est chiffr). Exemple 1 : le dossier C:\Marketing est chiffr. On dissocie le sous-dossier C;\Marketing\Public Sheets, pour en faire une zone indpendante, puis on le dchiffre, car son contenu est finalement jug public. Ce dossier (et tout ce qu'il contient), en clair sous une zone chiffre sera automatiquement "marqu" comme tant en clair. Exemple 2 : au moment de chiffrer la zone C:\Markting, on sait dj que le sous-dossier Public Sheets (volumineux) n'est pas confidentiel. On va d'abord le marquer comme tant "en clair", et seulement ensuite on chiffrera C:\Marketing : ce chiffrement ne traitera pas cet emplacement car il a t explicitement marqu. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200821 Accs de secours Les accs de secours font partie des techniques de recouvrement proposes par ZoneCentral. Ils peuvent tre configurs par l'administrateur de la scurit. C'est une technique de "recouvrement oprationnel ddi un poste ou un utilisateur et drivant d'un recouvrement central". Sauf indication contraire, ZoneCentral gnre pour toute liste d'accs un accs spcial dit "de secours" protg par un mot de passe long et fort. 1/ L'administrateur met en place un recouvrement gnral, par exemple l'aide d'une cl RSA et d'un certificat, qu'il conserve en central de faon scurise. Grce aux "policies" de ZoneCentral, il impose l'utilisation de ce recouvrement dans tout ce qui est chiffr, et notamment dans les listes d'accs (personnelles), dont il a une copie (grce aux diffrents dispositifs de synchronisation de ZoneCentral). 2/ Un utilisateur en dplacement l'tranger oublie son mot de passe ou perd sa carte mmoire. Il appelle au secours l'administrateur de la scurit. Ce dernier retrouve la liste d'accs personnelle de l'utilisateur, l'ouvre avec la cl de recouvrement gnrale, et affiche ses proprits. Dans l'onglet "Accs", il utilise le menu contextuel "Accs de Secours" pour visualiser ce mot de passe, qu'il peut ensuite dicter ou tlcopier l'utilisateur : 3/ L'utilisateur peut alors ouvrir ses zones par un mcanisme spcial, il est dpann et peut travailler. L'administrateur dispose maintenant du temps ncessaire pour lui envoyer une autre carte mmoire ou une autre liste d'accs. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200822 Quels dossiers peut-on (doit-on) chiffrer Vous pouvez dcider vous-mmes des dossiers qui doivent tre chiffrs (avec leurs sous-dossiers). Dans ce cas, il vous suffit de rpter les oprations dcrites plus haut. Une fois ce travail effectu, vous n'avez plus vous proccuper de rien, sauf si un jour vous souhaitez que de nouveaux dossiers, ailleurs, soient galement chiffrs. Vous pouvez galement demander aux Assistants de ZoneCentral de dterminer eux-mmes les zones chiffrer sur un poste de travail, un disque systme, un autre volume, ou un profil utilisateur. Le principe est alors le suivant : Les dossiers 'Windows' et 'Program Files' ne seront pas chiffrs : car le systme lui-mme ne doit pas tre chiffr, et car les applications elles-mmes ne sont pas confidentielles (il est cependant possible de chiffrer certains dossiers de Program Files sans que cela pose de problme). D'ailleurs, de faon gnrale, et par dfaut, ZoneCentral ne chiffre pas certains types de fichiers, notamment les programmes, les fichiers de cl, et quelques fichiers particuliers utiliss par l'Explorateur Windows (comme desktop.ini, etc.). Cette liste est configurable pour l'administrateur ZoneCentral. Le profil utilisateur courant sera chiffr, avec tout ce qu'il contient (My Documents, Bureau, espace temporaire, cache Internet, etc.), l'exception de quelques dossiers cachs trs techniques qu'il est dconseill de chiffrer, car cela perturberait certaines fonctions de Windows. Les autres profils utilisateurs (administrateur, etc.) ne seront pas chiffrs (car ils ne disposent sans doute pas de la mme cl d'accs). Le dossier "Documents And Settings", qui englobe les profils utilisateurs ne sera pas chiffr pour que, par dfaut, un nouvel utilisateur du poste ne se retrouve pas avec un profil chiffr sans avoir la cl d'accs correspondante. Enfin, tous les autres dossiers du volume seront chiffrs, en appliquant toutefois les exceptions sur les types de fichiers dcrites plus haut. Pour une bonne scurit du poste de travail , il est recommand de chiffrer l'espace de travail habituel de l'utilisateur, c'est--dire les volumes ou dossiers dans lesquels il place habituellement ses fichiers, ET son profil utilisateur. En effet, la diffrence de solution de chiffrement plus classiques, comme les volumes virtuels chiffrs, ZoneCentral est un produit capable de grer plus globalement la scurit du poste, en chiffrant notamment les copies temporaires de fichiers (ex: quand on ouvre une pice jointe dans Outlook), les innombrables fichiers temporaires, le cache du navigateur (contenant des informations Intranet/Extranet), et enfin les emplacements de confort des utilisateurs (fichiers copis sur le Bureau, par exemple). ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200823 Exemple de mise en uvre sur un poste Windows L'assistant de chiffrement de ZoneCentral adoptera automatiquement cette stratgie et aboutira ce rsultat, compltement si le chiffrement est appliqu globalement (Poste de Travail), ou partiellement s'il est appliqu sur C: ou sur Pierre (par exemple). Cas particuliers de profils itinrants (roaming) et de dossiers off-line (synchroniss): se rfrer au Manuel Technique de ZoneCentral pour la mise en uvre. Les dossiers off-line synchroniss, en particulier, doivent imprativement tre des "ttes de zone". ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200824 Utilisation des conteneurs chiffrs L'utilisation des conteneurs chiffrs est trs intuitive et tout fait similaire l'utilisation des 'dossiers compresss' sous Windows XP. 1 - Crez un conteneur : Sur le bureau, ou dans un dossier de l'Explorateur, cliquer dans le fond de l'cran ou de la fentre et slectionnez le menu 'Nouveau' : le choix 'conteneur chiffr' apparat. Un fichier 'porte-conteneur' est alors cr cet emplacement, avec un nom par dfaut, que vous pouvez modifier. L'extension des conteneurs chiffrs est ".zed". Note : ce stade, le conteneur n'est pas encore rellement initialis, il le sera ds sa premire utilisation. 2 - Ouvrez le conteneur : Il suffit de double-cliquer dessus ou d'utiliser le menu contextuel 'ouvrir'. Le conteneur s'affiche, il ne contient pas encore de fichiers. Cependant, il a t initialis, et les cls d'accs au contenu ont t automatiquement dfinies, avec notamment votre cl d'utilisateur (celle qui avait t choisie lors de la cration de la premire zone chiffre). Si vous n'avez pas encore ouvert de zone chiffr ou de conteneur chiffr, et que vous n'avez pas encore fourni votre cl d'accs personnelle, alors elle vous sera demande cette occasion. 3 - Ajoutez des fichiers dans le conteneur : il y a plusieurs fde procder : glisser-dplacer de fichiers vers l'intrieur du conteneur ou vers son icne, copier/coller de fichiers, ou encore utilisation du menu "Ajouter". aons Note : le conteneur ne peut pas contenir de dossiers. 4 - Modifiez le contenu du conteneur : vous pouvez ajouter des fichiers, renommer les fichiers existants, supprimer des fichiers, en remplacer certains, etc. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200825 lphone stuce5 - Ajoutez un accs au conteneur pour un correspondant Si ce conteneur (et son contenu) est destin tre envoy comme pice jointe chiffre un correspondant, il faut lui donner un accs.Utilisez le menu contextuel (click droit) sur le fichier conteneur, ou dans le fond du conteneur et choisissez l'option "Liste des accs" : Pour l'instant, le conteneur n'a qu'un seul accs, le votre, avec votre cl personnelle (cet accs porte un nom calcul partir du nom de l'ordinateur et du nom d'utilisateur Windows). Avec les boutons "Ajouter" et "Retirer", vous pouvez grer les accs que vous souhaitez pour ce conteneur chiffr. La procdure pour ajouter des accs un conteneur chiffr est totalement similaire celle qui permet d'ajouter des accs une zone chiffre (ajout d'accs de type mot de passe ou avec des certificats RSA). Si vous disposez d'un certificat (RSA) pour votre correspondant, vous pouvez simplement slectionner ce fichier certificat (second onglet) pour ajouter ce correspondant : comme il dtient la cl d'accs correspondante, il sera en mesure de dchiffrer le conteneur.Si vous disposez d'annuaires (LDAP) de certificats, vous pouvez rechercher le certificat de ce correspondant sur cet annuaire : il suffit de donner le nom de l'annuaire et d'entrer le nom du correspondant. Exemple : utilisez le serveur public 'directory.verisign.com' et recherchez 'Parker', ou 'clinton'... Sinon, vous pouvez toujours convenir d'un mot de passe avec votre correspondant (par tpar exemple) et utiliser ce mot de passe pour vos changes. A: si vous correspondez ante d, par exemple), puis d'utiliser toujours les mmes pour vos frquemment avec certaines personnes, une habitude courest de "prparer" l'avance diffrents conteneurs (jean.zepaul.zed, marketing.zed, etc.), deles placer un endroit trs accessible (sur votre bureauchanges, en changeant simplement les fichiers qu'ils contiennent. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200826 6 - Envoyez le conteneur chiffr votre correspondant Il vous suffit de joindre le conteneur en tant que pice jointe dans un courrier lectronique. Un autre usage "classique" des conteneurs chiffrs est de les copier dans une cl mmoire USB. Bien entendu, votre correspondant doit disposer d'un logiciel pour pouvoir ouvrir et dchiffrer le contenu du conteneur. S'il dispose de ZoneCentral, cela ne pose aucun problme. S'il n'en dispose pas, il existe un module gratuit et libre d'usage, appel "Zed! Limited Edition" qu'il peut installer et qui lui permettra d'ouvrir le conteneur chiffr. Ce module est prsent sur votre ordinateur, et vous pouvez le lui envoyer directement : il se trouve dans le dossier d'installation de ZoneCentral (en gnral, sous C:\Program Files\PrimX\ZoneCentral) et il se nomme "Setup Zed! Limited Edition.exe". Cette dition limite offre les mmes possibilits que celles qui ont t dcrites ci-dessus, mais interdit de crer un nouveau conteneur ou de modifier les accs des conteneurs existants.Votre correspondant sera donc en mesure d'ouvrir vos pices jointes, d'extraire les fichiers du conteneur (moyennant la fourniture de sa cl d'accs, comme le mot de passe dont vous avez pu convenir). Il peut galement changer le contenu du conteneur (ajouter des fichiers, en retirer, etc.), ce qui fait qu'il est mesure de vous rpondre, en vous retournant le mme conteneur avec un contenu diffrent. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200827 Aperu des outils d'administration Ces outils permettent : de fixer certains comportements de ZoneCentral et ses rgles d'utilisation ; de grer des accs, des profils de zones chiffres, ou des listes d'accs prdfinies ; d'effectuer des oprations "avances" sur des zones ou des espaces, notamment des espaces partags sur des serveurs de fichiers ; d'automatiser certaines oprations rptitives d'administration. Ils permettent galement, une fois le produit assimil et pris en main par le chef de projet, de dfinir un Plan de Scurit et de Dploiement et de grer son application. Les Rgles de Scurit (policies) [gpedit] Le comportement de ZoneCentral sur les postes utilisateur peut tre modul en fonction de rgles dfinies dans des 'Policies' (au sens Windows du terme). Les Policies sont des paramtres qui peuvent tre dfinis par machine ou par domaine. Si vous disposez d'un contrleur de domaine supportant cette notion de Policies, alors il est possible de dfinir de faon centralise ces paramtres, et chaque poste de travail raccord ce domaine en hritera alors, avec un systme intgr de mise jour. Si vous ne disposez pas d'un contrleur de domaine, le systme des Policies existe toujours, mais il devient local chaque poste. Il y a plusieurs faons d'viter de configurer chaque poste, soit en "masterisant" l'image de ZoneCentral installer, soit en automatisant une commande ZoneCentral de mise jour des Policies. Un raccourci est disponible dans le menu Dmarrer de ZoneCentral pour afficher l'Editeur de Policies.Les Policies sont dcrites de faon dtaille dans un document spar. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200828 L'outil d'dition de profils de zone et de listes d'accs [zcedit] Cet outil permet l'administrateur de raliser de nombreuses oprations. Il peut notamment intervenir directement sur une zone chiffre, sur son poste, sur un serveur de fichier, ou sur un ordinateur d'utilisateur, pour la transchiffrer, modifier les accs, etc. Il lui permet galement, et surtout, de dfinir des listes d'accs "prfabriques", parmi lesquelles, par exemple : les accs obligatoires (Security Officer, Recouvrement) ; les listes de groupes d'utilisateurs pour les accs des ressources communes et partages sur des serveurs de fichiers ; ventuellement, s'il souhaite le grer lui-mme, les listes d'accs 'personnelles des utilisateurs'. Tout cela en fonction du schma de dploiement et d'utilisation retenu. Un raccourci vers cet outil de "Gestion de zones chiffres" est disponible dans le menu 'Dmarrer'. Parmi les notions importantes pour cet outil, on trouve les 'modles de zones chiffres'. L'emploi de ces modles n'est pas obligatoire, car il est presque quivalent une liste d'accs, en un peu plus complet. En effet, quand on chiffre un dossier en appliquant une liste d'accs, un certain nombre de paramtres complmentaires sontpris dans les Policies, alors que, dans le cas d'un modle de zone, ils sont pris dans ce modle (qui les aura certainement obtenu, lui aussi, partir des Policies). Dans les listes d'accs, on trouve galement quelques paramtres supplmentaires pour les accs qu'elles contiennent : ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200829 marquer un accs comme tant un accs de secours (recouvrement), ce qui le distinguera des autres (et par dfaut, ZoneCentral ne permet d'ouvrir une zone avec un tel accs, il faut au pralable l'autoriser en policy) ; marquer un accs comme ayant un droit administratif sur la liste d'accs elle-mme et toutes les zones laquelle la liste est rattache : ce droit est ncessaire pour pouvoir chiffrer une zone avec cette liste, dchiffrer une zone, ou modifier les accs d'une zone. Note : dans le cas de 'liste d'accs personnelle', l'utilisateur dispose de ce droit. La console d'administration en ligne de commande [zcacmd] Cet outil permet d'effectuer en ligne de commande toutes les oprations que permettent les interfaces graphiques, et, dans certains cas, des oprations qui sont mme plus complexes (notamment le 'forage' d'une zone en clair, qui n'existe pas sous forme graphique). Bien que prsent sous forme de lignes de commande, cet outil est trs instrument pour faciliter sa prise en main. Il dispose d'un mode interactif intgr (il pose les questions sur les paramtres dont il a besoin), d'un mode 'essai' (qui n'effectue pas l'opration, mais qui, finalement, affiche la commande qui aurait pu tre passe pour qu'il n'y ait pas de question), et il est instrument pour tre intgr dans des scripts d'automatisation. A noter galement, l'outil [zcucmd.exe] qui permet d'ouvrir ou de fermer des zones partir d'une ligne de commande. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200830 L'assistant graphique [zcapply] C'est l'assistant de chiffrement, dchiffrement, etc. qui est activ, directement ou indirectement chaque fois qu'une opration de transformation de zone est excuter. Il est install sur tous les postes utilisateurs, ce n'est pas proprement parler un outil d'administration, mais il peut tre activ via une commande d'administration de faon indpendante. Il peut prendre de nombreuses directives en paramtre de lancement, et il peut tre utilis en tl-excution, ventuellement automatique (login scripts, commandes SMS, etc.). Il est possible de configurer une excution entirement automatique ou avec plus ou moins de confirmations par l'utilisateur. Ces paramtres peuvent tre affichs en tapant "ZCAPPLY /?". Les journaux et vnements Windows ZoneCentral met un certain nombre d'vnements dans les journaux de l'Observateur d'Evnements Windows (Eventvwr). La liste de ces vnements est configurable dans les policies.D'autre part, lors de chaque opration de transformation d'une zone (chiffrement d'une zone, dchiffrement, transchiffrement, modification des accs, etc.), ZoneCentral gnre un fichier 'log' de l'opration avec les vnements rencontrs et les actions effectues. L'emplacement de ce fichier peut tre spcifi en policies (ce qui peut tre pratique pour l'obtenir sur un serveur). Note concernant lhorodatage : Lutilisateur doit vrifier rgulirement lhorloge du poste de travail afin dassurer la bonne qualit de lhorodatage des vnements. ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200831 Oprations d'administration importantes Lire le "Manuel Technique de ZoneCentral" Il est disponible sparment en tlchargement sur le site www.zonecentral.com. Dfinir les emplacements des listes d'accs Quand un utilisateur ouvre une zone chiffre ou un conteneur chiffr, ZoneCentral examine la liste des accs mentionns dans la zone ou le conteneur. Il peut s'agir d'accs dits "directs" ou encore "isols" (pas d'intermdiaire, toutes les informations ncessaires sont prsentes pour ouvrir l'objet avec un mot de passe ou une cl RSA), ou d'accs indirects ou encore "groups" qui passent par l'intermdiaire d'une liste d'accs (un fichier .ZAF). Ce dernier mode permet en particulier de concentrer/centraliser la gestion des accs, en faisant en sorte, par exemple, que N zones chiffres rfrencent la mme liste d'accs. Ainsi, en cas de modification, il peut tre plus simple de modifier la liste une fois plutt que chaque emplacement chiffr. C'est d'ailleurs une facilit qu'il est possible d'utiliser de faon assez riche, puisqu'il peut y avoir N listes d'accs par zone ou conteneur, et que chaque liste d'accs peut elle-mme en rfrencer plusieurs autres (exemple : PAUL, rfrenc dans MARKETING et dans DIRECTION, eux-mmes rfrencs dans ENTREPRISE). Les accs indirects ne sont mentionns que par leur nom et label, pas par l'emplacement physique du fichier .ZAF (pour permettre de les changer d'emplacement facilement). ZoneCentral doit donc effectuer une recherche de ces listes d'accs pour pouvoir proposer/valider l'accs des utilisateurs. Il utilise pour cela un emplacement principal et un cache. Le premier a toujours la priorit : si la liste d'accs y est trouve, alors c'est celle-ci qui est prise en compte, et une copie est faite dans le cache. Si elle n'est pas trouve, ZoneCentral utilise la copie du cache s'il y en a une. Ce schma a t tabli pour permettre que l'emplacement principal rside sur un partage rseau (un serveur de fichier), et que le cache serve pour des portables dconnects du rseau. Enfin, si ces deux solutions n'ont rien donn, la liste d'accs est recherche dans la zone elle-mme ( la tte de la zone), puis dans les espaces 'Mes Documents\Profil ZoneCentral" des profils utilisateur (l o rsident notamment les listes d'accs 'personnelles'). Dans le cas d'utilisation de listes d'accs pour des partages sur des serveurs, ou pourdes accs de secours/recouvrement, il est donc important de dfinir au pralable l'emplacement principal des listes d'accs. C'est cet endroit qu'il faudra ensuite les dposer une fois cres. Pour cela, il faut dfinir la policy "Rgles spciales/avances - Emplacement des fichiers listes d'accs". ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200832 Dfinir les accs de secours/recouvrement Il est recommand de choisir des cls RSA pour ces accs, mais des mots de passe sont galement possibles. Pour les mettre en oeuvre, il faut dfinir la policy "Rgles spciales/avances - Accs obligatoires". C'est une policy de type 'liste', ce qui signifie qu'il est possible de dfinir plusieurs items. Activer l'diteur de stratgie de groupe ("Rgles de Scurit" dans le menu Dmarrer) et retrouver cette policy dans l'arbre. Demander le dtail et choisir de l'activer. C'est cet endroit qu'il est possible de dfinir la liste. Seul le premier champ (nom de valeur) est utilis, le second champ n'est pas utilis (il peut vous servir mettre un commentaire). Il faut entrer un nom de fichier, qui peut tre soit un certificat, soit une liste d'accs (fichier .ZAF). Il est possible de le rentrer avec son chemin complet, ou sans. Dans ce dernier cas, le fichier sera recherch l'emplacement standard des listes d'accs (cf. paragraphe prcdent). Il est recommand d'utiliser un fichier .ZAF, fabriqu avec l'outil d'administration ZCEDIT. Avec ce dernier, demandez la cration d'une nouvelle liste d'accs. Donnez lui un nom significatif, comme "MANDATORY". Ajoutez le ou les certificats des accs de secours/recouvrement que vous souhaitez, en fonction de votre organisation. Il est galement possible de dfinir un accs de secours par mot de passe. Pour chacun de ces accs, veillez positionner l'option "accs de recouvrement". Si, comme c'est probable, l'un des accs sert galement l'administrateur de la scurit, choisir plutt l'option "accs administratif". ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 200833 Notes