Académique Documents
Professionnel Documents
Culture Documents
Version 3.1
Guide d'utilisation
et de mise en oeuvre
Manuel rvision 2
Ref: PX81092
Reproduction et droits
Copyright Prim'X Technologies 2003 - 2008
Toute reproduction, mme partielle, du document est interdite sans autorisation crite
pralable de la socit Prim'X Technologies ou de l'un de ses reprsentants lgaux.
Toute demande de publication, de quelque nature que ce soit, devra tre
accompagne d'un exemplaire de la publication envisage. Prim'X Technologies se
rserve le droit de refuser toute proposition sans devoir justifier sa dcision.
Tous droits rservs. L'utilisation du logiciel ZoneCentral est soumise aux termes et
conditions de l'accord de licence conclu avec l'utilisateur ou son reprsentant lgal.
ZoneCentral est une marque dpose de Prim'X TECHNOLOGIES.
Sige : 10 Place Charles Braudier 69428 Lyon Cedex 03 - France - Tl. : +33 (0)426.68.70.02 - contact@primx.eu
Dir. Com. : 14 Avenue d'Eylau 75116 Paris France - Tl. : +33 (0)177.72.64.80 - Fax : +33 (0)177.72.64.99 - www.primx.eu
Sommaire
Prambule .........................................................................................................3
Evaluation Critres Communs ........................................................................4
Description gnrale ........................................................................................5
Installation.........................................................................................................6
Premire mise en oeuvre .................................................................................7
Le Moniteur montre que ZoneCentral est actif ........................................................................ 7
Cration d'une premire zone chiffre..................................................................................... 7
Utilisation de cette zone chiffre............................................................................................ 10
Premires conclusions........................................................................................................... 11
Comment a marche.............................................................................................................. 11
Prambule
Ce guide d'utilisation et de mise en uvre a pour but de guider les premiers pas de
l'utilisateur-administrateur :
Dans le cadre d'un dploiement en entreprise, ce guide n'est pas vritablement destin
aux utilisateurs eux-mmes, car il ne sera pas adapt au cadre et cas d'usage qui seront
dfinis.
Pour une valuation approfondie du produit, pour dfinir une politique d'utilisation et
de dploiement, ou pour toute question ou problme rencontr lors de lutilisation du
produit, il est vivement recommand de se rfrer au
Description gnrale
ZoneCentral est un produit de scurit pour postes de travail oprant sous Windows
2000 et Windows XP. Son rle est de prserver la confidentialit des documents
manipuls par les utilisateurs, sur des postes isols, des ordinateurs portables, ou des
postes de travail connects un rseau d'entreprise.
Il permet de grer un stockage chiffr (crypt) des fichiers, sans modifier leurs
caractristiques (emplacement, nom, dates, tailles) et de faon la plus transparente
possible pour les utilisateurs. Le chiffrement des fichiers s'effectue en effet 'in-place' (l
o rsident les fichiers) et ' la vole' (sans manipulation particulire de l'utilisateur).
Pour simplifier la gestion des fichiers chiffrs, ZoneCentral est bas sur le principe de
zones : une zone chiffre est un volume, ou un dossier, avec tout ce qu'il contient
(fichiers et sous-dossiers) et l'intrieur duquel tout fichier existant ou venir est
maintenu chiffr, sans qu'il existe aucun moment de copie en clair des donnes.
L'ensemble des zones chiffres dfinit un espace scuris pour les utilisateurs : cela
peut comprendre son 'profil utilisateur Windows' (avec son dossier 'Mes Documents', son
'Bureau', son cache de navigation Web, les fichiers temporaires, etc.), son espace de
travail habituel (l'endroit o habituellement l'utilisateur gre ses fichiers), les partages
rseau auxquels il accde (serveurs de fichiers), ou encore la ou les cls mmoire USB
qu'il utilise.
Pour chaque zone chiffre, il est possible de dfinir un certain nombre d'accs : l'accs
de l'utilisateur principal, d'un collgue ou d'un chef de service ventuel, l'accs rserv du
responsable de la scurit, l'accs de secours de l'entreprise (recouvrement), etc. La
dfinition de ces accs est libre, mais le produit est dot de fonctions et de mcanismes
d'administration permettant d'imposer certains accs ou certains types d'accs.
Un accs correspond une cl d'accs (une cl cryptographique) que possde un
utilisateur. Cette cl peut tre un mot de passe, ou une cl RSA hberge dans un portecl (un fichier de cl, une carte mmoire, ...).
Pour assurer un haut niveau de scurit, ZoneCentral chiffre galement le fichier
d'change de la mmoire virtuelle du poste (le swap) dans lequel peuvent figurer des
informations rmanentes (portions de mmoire des applications utilises).
Il intgre galement un service automatique et transparent d'effacement scuris par
surcharge : tout fichier (chiffr ou non) supprim sur un disque local est
automatiquement effac (rcriture de son contenu avec du 'bruit') avant d'tre
effectivement supprim. Cela concerne galement les fichiers temporaires crs par les
applications.
ZoneCentral intgre galement un produit appel Zed! qui permet aux utilisateurs de
fabriquer des conteneurs chiffrs, dans lesquels ils peuvent copier des fichiers, et qu'ils
peuvent envoyer des correspondants ou archiver. L'utilisateur peut dfinir lui-mme les
accs ces conteneurs, par exemple pour introduire un mot de passe dont il a convenu
avec un correspondant.
Installation
Vous devez disposer des droits "administrateur" sur l'ordinateur pour installer le produit.
Pour installer le produit, excuter le programme d'installation "Setup ZoneCentral" qui
vous a t fourni. Cette installation est standard et rapide, et les options par dfaut
conviennent la majorit des cas.
L'installation permet d'installer la partie 'utilisateur' du produit et les outils d'administration
(cette option n'est pas slectionne par dfaut, sauf dans la version d'valuation).
A la fin de l'installation, il est ncessaire de redmarrer l'ordinateur.
Notes :
l'installation administre (Setup /A) est compatible avec les logiciels de tlinstallation du march (technologie Microsoft Installer 2x et suprieur), et l'installation
peut tre programme pour tre "silencieuse", au dmarrage du poste ou
l'ouverture de session ;
tous les fichiers supprims sur les disques locaux sont automatiquement nettoys
(leur contenu est effac) avant leur suppression effective. Pour les fichiers qui ne
sont pas effacs mais dont la taille est rduite, l'espace occup avant rduction et
non rutilis est galement trait.
Tant que la premire 'pastille' n'est pas devenue verte, votre mot de passe n'est pas
assez 'fort', vous devez le durcir. La seconde pastille devient verte ds que la seconde
saisie est identique la premire.
Note : ces saisies de mots de passe sont effectues en mode protg, par capture bas
niveau dans le systme des caractres saisis.
Attention vous souvenir du mot de passe, car cette tape de la dmonstration, nous
n'avons pas encore dfini de cl de secours/recouvrement !
Ds que cette liste personnelle est cre, l'opration initialement demande (chiffrer le
dossier) se dclenche.
3 - Les fichiers que contient la zone sont chiffrs, mais il n'y a aucune diffrence
d'utilisation : ouvrez l'un des fichiers, comme vous le faites habituellement : l'application
se lance, vous travaillez sur le fichier, il n'y a aucune diffrence !
En effet, comme vous avez dj fourni votre cl d'accs prcdemment, la zone est
ouverte, et les fichiers sont accessibles.
De plus, tous les nouveaux fichiers et sous-dossiers seront chiffrs automatiquement :
nous vous invitons essayer toutes les manipulations habituelles sur les fichiers :
copier/coller, renommage, glisser-dplacer, enregistrer-sous dans une application, etc. A
partir de maintenant, tout fichier qui "entrera" dans cette zone chiffre sera nativement
chiffr.
Remarquez que tous les sous-dossiers comportent galement une icne avec cadenas.
4 - Dans le moniteur, cliquez sur le bouton "Fermer tout" : cette action va fermer les
zones chiffres ouvertes et les cls d'accs dj fournies.
5 - Ouverture de la zone chiffre
Retournez dans le dossier et ouvrez un des
fichiers, ou tentez de le copier ailleurs :
automatiquement, ZoneCentral demande de
fournir une cl d'accs pour la zone chiffre.
Notez la bulle d'aide qui indique le fichier
accd et l'application concerne.
Un rappel peut galement apparatre en
barre des tches si cette fentre venait
tre masque.
Quelle que soit la cause, et ds lors qu'il y a un accs au CONTENU d'un fichier chiffr
dans un dossier chiffr (en lecture ou en criture), il faut fournir la cl d'accs pour que
ZoneCentral soit en mesure de chiffrer ce qui est crit ou dchiffrer ce qui est lu.
Note : les zones et les cls sont galement automatiquement fermes lorsque
l'conomiseur d'cran se met en marche, si vous fermez votre session ou si le poste est
teint. Il existe galement des squences de touches simples et rapides qui permettent
une fermeture des zones et des cls, mais elles doivent tre configures par un outil
d'administration.
10
Premires conclusions
Il n'y a jamais de copie en clair des fichiers chiffrs : le dchiffrement et le chiffrement
s'effectuent intgralement ' la vole', quelle que soit l'application et l'opration effectue.
Lorsqu'une nouvelle zone chiffre est cre, les fichiers dj prsents sont chiffrs une
premire fois (migration), mais tous les fichiers (et dossiers) venir dans cette zone
seront nativement chiffrs, systmatiquement, et de faon transparente.
Tant qu'un fichier reste dans une zone chiffre, ou passe d'une zone chiffre une autre,
il demeure inaccessible pour quiconque ne disposant pas d'une cl d'accs, et ce mme
s'il utilise des moyens avancs (dmarrage sur un autre systme, accs rseau, etc.)
puisque le fichier est stock sous forme chiffre. Par contre, bien entendu, si vous copiez
ou dplacez un fichier vers un emplacement non chiffr, alors son contenu sera
disponible en clair.
Comment a marche...
ZoneCentral dtecte bas niveau, dans le noyau de Windows, tous les accs aux
fichiers effectus par les applications ou par le systme lui-mme.
Lorsqu'un accs concerne un fichier qui se trouve dans une zone chiffre (c'est--dire un
dossier chiffr, ou dans un de ses sous-dossiers), ZoneCentral vrifie la vole s'il
possde une cl d'accs habilite pour cette zone chiffre. Si oui, il l'utilise pour dchiffrer
les donnes lues ou chiffrer les donnes crites lors des accs effectus par les
applications. Il ne traite que les "portions" de donnes demandes par les applications,
quand elles le demandent.
S'il ne possde pas de cl d'accs permettant de chiffrer/dchiffrer, il en demande une
l'utilisateur, qui doit la fournir, ce qui permet "d'ouvrir la zone chiffre" et de travailler avec
les fichiers qu'elle contient (prsents ou venir).
Si la cl d'accs n'est pas fournie, alors l'accs au fichier demand est refus.
Ce processus ne s'effectue que lorsqu'il y a un rel accs aux donnes des fichiers.
Lorsqu'il ne s'agit que d'informations lies au fichier mais pas son contenu, ZoneCentral
reste transparent.
11
Que contient le fichier 'liste d'accs personnelle' ? Dans l'exemple que nous avons pris, il
ne contient que la dfinition de votre accs avec la cl d'accs que vous aviez
slectionn.
Mais, dans une configuration administre, il
peut galement contenir d'autres accs,
dfinis et imposs par votre administrateur
de la scurit (accs d'un collgue, d'un chef
de service, de l'administrateur de la scurit,
ou encore un accs de recouvrement pour
l'entreprise). Ceci afin de garantir que tout ce
que vous serez amen chiffrer (dossiers,
conteneurs, etc.) pourra tre dchiffr par
des accs de secours.
Ce fichier d'accs personnel est trs important, et il ne doit pas tre supprim, sauf
par un utilisateur expriment ou un administrateur. Il constitue en effet le seul lien entre
une zone chiffre et, in fine, les cls d'accs qui permettent de dchiffrer son contenu. Il
est fortement conseill d'effectuer une sauvegarde de ce fichier 'liste d'accs'. Par
mesure de prcaution, ce fichier est en lecture seule.
Si vous supprimez ce fichier (par exemple pour faire un autre essai avec une autre cl
personnelle), assurez-vous auparavant d'avoir dchiffr toutes les zones chiffres (ou
bien changez simplement le nom du fichier pour le conserver au cas o).
Note : Pour l'administrateur de la scurit, il existe d'autres mesures de prcaution de ce
type. Les accs obligatoires ('mandatory members') sont, en plus et dans tous les cas,
ajouts directement dans les zones chiffres et dans les conteneurs (ce qui permet de se
protger de la perte de ces fichiers "liste d'accs personnelle").
Le concept de 'liste d'accs' est un concept plus gnral dans ZoneCentral, qui permet
de fabriquer des listes d'habilitation, puis de les appliquer des zones chiffres. Ce
concept sera abord plus loin.
12
13
14
15
Avec ZoneCentral, la notion de partage ne change donc pas, plusieurs postes peuvent
l'utiliser et accder des fichiers. Ce qui change, c'est que le contenu des fichiers reste
chiffr et que, pour y accder, les mmes rgles que pour un accs local s'applique : il
faut avoir une cl d'accs valide.
Pour partager un dossier chiffr, il est ncessaire que ce dossier soit une "tte de zone
chiffre" (et non pas seulement un dossier inclus dans une zone chiffre). Donc, lorsque
vous effectuez l'action de partage sur le dossier, ZoneCentral va automatiquement
transformer ce dossier en une zone indpendante, ce qui va vous permettre, notamment,
d'attribuer des accs personnaliss pour cette zone (pour autoriser telle ou telle personne
dchiffrer son contenu chiffr).
16
Noter que le fichier de cls indiqu est automatiquement recopi dans le dossier "Mes
Documents\Profil ZoneCentral" pour que vous puissiez le retrouver facilement. Sa
prsence dans ce dossier n'est cependant pas indispensable.
Par la suite, lorsque vous ouvrez une zone chiffre ou un conteneur chiffr, ZoneCentral
proposera automatiquement un accs par fichier de cls, et proposera directement le bon
fichier, vous n'aurez qu' entrer son code d'accs.
Par la suite, lorsque vous ouvrez une zone chiffre ou un conteneur chiffr, si la carte est
prsente, elle sera propose automatiquement.
17
18
19
20
Accs de secours
Les accs de secours font partie des techniques de recouvrement proposes par
ZoneCentral. Ils peuvent tre configurs par l'administrateur de la scurit.
C'est une technique de "recouvrement oprationnel ddi un poste ou un utilisateur et
drivant d'un recouvrement central". Sauf indication contraire, ZoneCentral gnre pour
toute liste d'accs un accs spcial dit "de secours" protg par un mot de passe long et
fort.
1/ L'administrateur met en place un recouvrement gnral, par exemple l'aide d'une
cl RSA et d'un certificat, qu'il conserve en central de faon scurise. Grce aux
"policies" de ZoneCentral, il impose l'utilisation de ce recouvrement dans tout ce qui est
chiffr, et notamment dans les listes d'accs (personnelles), dont il a une copie (grce
aux diffrents dispositifs de synchronisation de ZoneCentral).
2/ Un utilisateur en dplacement l'tranger oublie son mot de passe ou perd sa
carte mmoire. Il appelle au secours l'administrateur de la scurit. Ce dernier retrouve
la liste d'accs personnelle de l'utilisateur, l'ouvre avec la cl de recouvrement gnrale,
et affiche ses proprits. Dans l'onglet "Accs", il utilise le menu contextuel "Accs de
Secours" pour visualiser ce mot de passe, qu'il peut ensuite dicter ou tlcopier
l'utilisateur :
3/ L'utilisateur peut alors ouvrir ses zones par un mcanisme spcial, il est
dpann et peut travailler. L'administrateur dispose maintenant du temps ncessaire
pour lui envoyer une autre carte mmoire ou une autre liste d'accs.
21
Le profil utilisateur courant sera chiffr, avec tout ce qu'il contient (My Documents,
Bureau, espace temporaire, cache Internet, etc.), l'exception de quelques dossiers
cachs trs techniques qu'il est dconseill de chiffrer, car cela perturberait certaines
fonctions de Windows.
Les autres profils utilisateurs (administrateur, etc.) ne seront pas chiffrs (car ils ne
disposent sans doute pas de la mme cl d'accs).
Le dossier "Documents And Settings", qui englobe les profils utilisateurs ne sera pas
chiffr pour que, par dfaut, un nouvel utilisateur du poste ne se retrouve pas avec un
profil chiffr sans avoir la cl d'accs correspondante.
Enfin, tous les autres dossiers du volume seront chiffrs, en appliquant toutefois les
exceptions sur les types de fichiers dcrites plus haut.
Pour une bonne scurit du poste de travail, il est recommand de chiffrer l'espace de
travail habituel de l'utilisateur, c'est--dire les volumes ou dossiers dans lesquels il place
habituellement ses fichiers, ET son profil utilisateur. En effet, la diffrence de solution
de chiffrement plus classiques, comme les volumes virtuels chiffrs, ZoneCentral est un
produit capable de grer plus globalement la scurit du poste, en chiffrant notamment
les copies temporaires de fichiers (ex: quand on ouvre une pice jointe dans Outlook), les
innombrables fichiers temporaires, le cache du navigateur (contenant des informations
Intranet/Extranet), et enfin les emplacements de confort des utilisateurs (fichiers copis
sur le Bureau, par exemple).
22
23
24
25
26
de grer des accs, des profils de zones chiffres, ou des listes d'accs prdfinies ;
d'effectuer des oprations "avances" sur des zones ou des espaces, notamment
des espaces partags sur des serveurs de fichiers ;
Ils permettent galement, une fois le produit assimil et pris en main par le chef de projet,
de dfinir un Plan de Scurit et de Dploiement et de grer son application.
27
les listes de groupes d'utilisateurs pour les accs des ressources communes et
partages sur des serveurs de fichiers ;
ventuellement, s'il souhaite le grer lui-mme, les listes d'accs 'personnelles des
utilisateurs'.
Parmi les notions importantes pour cet outil, on trouve les 'modles de zones chiffres'.
L'emploi de ces modles n'est pas obligatoire, car il est presque quivalent une liste
d'accs, en un peu plus complet. En effet, quand on chiffre un dossier en appliquant une
liste d'accs, un certain nombre de paramtres complmentaires sont pris dans les
Policies, alors que, dans le cas d'un modle de zone, ils sont pris dans ce modle (qui les
aura certainement obtenu, lui aussi, partir des Policies).
Dans les listes d'accs, on trouve galement quelques paramtres supplmentaires pour
les accs qu'elles contiennent :
ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008
28
marquer un accs comme ayant un droit administratif sur la liste d'accs elle-mme
et toutes les zones laquelle la liste est rattache : ce droit est ncessaire pour
pouvoir chiffrer une zone avec cette liste, dchiffrer une zone, ou modifier les accs
d'une zone.
Bien que prsent sous forme de lignes de commande, cet outil est trs instrument pour
faciliter sa prise en main. Il dispose d'un mode interactif intgr (il pose les questions sur
les paramtres dont il a besoin), d'un mode 'essai' (qui n'effectue pas l'opration, mais
qui, finalement, affiche la commande qui aurait pu tre passe pour qu'il n'y ait pas de
question), et il est instrument pour tre intgr dans des scripts d'automatisation.
A noter galement, l'outil [zcucmd.exe] qui permet d'ouvrir ou de fermer des zones
partir d'une ligne de commande.
29
30
Oprations d'administration
importantes
Lire le "Manuel Technique de ZoneCentral"
Il est disponible sparment en tlchargement sur le site www.zonecentral.com.
Les accs indirects ne sont mentionns que par leur nom et label, pas par l'emplacement
physique du fichier .ZAF (pour permettre de les changer d'emplacement facilement).
ZoneCentral doit donc effectuer une recherche de ces listes d'accs pour pouvoir
proposer/valider l'accs des utilisateurs.
Il utilise pour cela un emplacement principal et un cache. Le premier a toujours la
priorit : si la liste d'accs y est trouve, alors c'est celle-ci qui est prise en compte, et
une copie est faite dans le cache. Si elle n'est pas trouve, ZoneCentral utilise la copie
du cache s'il y en a une. Ce schma a t tabli pour permettre que l'emplacement
principal rside sur un partage rseau (un serveur de fichier), et que le cache serve pour
des portables dconnects du rseau.
Enfin, si ces deux solutions n'ont rien donn, la liste d'accs est recherche dans la zone
elle-mme ( la tte de la zone), puis dans les espaces 'Mes Documents\Profil
ZoneCentral" des profils utilisateur (l o rsident notamment les listes d'accs
'personnelles').
Dans le cas d'utilisation de listes d'accs pour des partages sur des serveurs, ou pour
des accs de secours/recouvrement, il est donc important de dfinir au pralable
l'emplacement principal des listes d'accs. C'est cet endroit qu'il faudra ensuite les
dposer une fois cres.
Pour cela, il faut dfinir la policy "Rgles spciales/avances - Emplacement des fichiers
listes d'accs".
31
32
Notes
33