in-place encryption engine

Version 3.1

Guide d'utilisation
et de mise en oeuvre
Manuel rvision 2

Ref: PX81092

Reproduction et droits
Copyright Prim'X Technologies 2003 - 2008
Toute reproduction, mme partielle, du document est interdite sans autorisation crite
pralable de la socit Prim'X Technologies ou de l'un de ses reprsentants lgaux.
Toute demande de publication, de quelque nature que ce soit, devra tre
accompagne d'un exemplaire de la publication envisage. Prim'X Technologies se
rserve le droit de refuser toute proposition sans devoir justifier sa dcision.
Tous droits rservs. L'utilisation du logiciel ZoneCentral est soumise aux termes et
conditions de l'accord de licence conclu avec l'utilisateur ou son reprsentant lgal.
ZoneCentral est une marque dpose de Prim'X TECHNOLOGIES.

Sige : 10 Place Charles Braudier 69428 Lyon Cedex 03 - France - Tl. : +33 (0)426.68.70.02 - contact@primx.eu
Dir. Com. : 14 Avenue d'Eylau 75116 Paris France - Tl. : +33 (0)177.72.64.80 - Fax : +33 (0)177.72.64.99 - www.primx.eu

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

Sommaire
Prambule .........................................................................................................3
Evaluation Critres Communs ........................................................................4
Description gnrale ........................................................................................5
Installation.........................................................................................................6
Premire mise en oeuvre .................................................................................7
Le Moniteur montre que ZoneCentral est actif ........................................................................ 7
Cration d'une premire zone chiffre..................................................................................... 7
Utilisation de cette zone chiffre............................................................................................ 10
Premires conclusions........................................................................................................... 11
Comment a marche.............................................................................................................. 11

Prise en main avance ...................................................................................12

Votre 'liste d'accs personnelle'............................................................................................. 12
Ajouter des accs une zone chiffre................................................................................... 13
Vue globale des zones sur un Poste de Travail .................................................................... 15
Chiffrer une cl mmoire USB ............................................................................................... 15
Crer un partage chiffr ......................................................................................................... 16
Chiffrer un partage sur un serveur de fichiers (et y accder) ................................................ 16
Utiliser un fichier de cls (.pfx)............................................................................................... 17
Utiliser une carte mmoire RSA (ou un token) ................................................................... 17
Utiliser un provider CSP (magasins Windows) ...................................................................... 18
Oprations sur zones............................................................................................................. 18
Dchiffrer une zone................................................................................................................ 18
Transchiffrer une zone, ou toutes les zones sur un volume .................................................. 19
Dissocier un sous-dossier d'une zone chiffre pour en faire une zone indpendante .......... 19
Regrouper une zone chiffre avec une zone chiffre 'parente' ............................................. 19
Vrifier une zone chiffre....................................................................................................... 19
Vue de dtail (avance) d'une zone chiffre ......................................................................... 20
"Marquer" une zone en clair .................................................................................................. 20
Accs de secours................................................................................................................... 21
Quels dossiers peut-on (doit-on) chiffrer ............................................................................... 22

Utilisation des conteneurs chiffrs...............................................................24

Aperu des outils d'administration...............................................................27
Les Rgles de Scurit (policies) [gpedit] ............................................................................. 27
L'outil d'dition de profils de zone et de listes d'accs [zcedit].............................................. 28
La console d'administration en ligne de commande [zcacmd] .............................................. 29
L'assistant graphique [zcapply].............................................................................................. 30
Les journaux et vnements Windows .................................................................................. 30

Oprations d'administration importantes ....................................................31

Lire le "Manuel Technique de ZoneCentral" .......................................................................... 31
Dfinir les emplacements des listes d'accs ......................................................................... 31
Dfinir les accs de secours/recouvrement........................................................................... 32

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

Prambule
Ce guide d'utilisation et de mise en uvre a pour but de guider les premiers pas de
l'utilisateur-administrateur :

Aperu des fonctionnalits gnrales

Prise en main rapide selon un mode d'utilisation simple et standard

Donner les "repres" ncessaires l'utilisation et l'administration.

Dans le cadre d'un dploiement en entreprise, ce guide n'est pas vritablement destin
aux utilisateurs eux-mmes, car il ne sera pas adapt au cadre et cas d'usage qui seront
dfinis.

Pour une valuation approfondie du produit, pour dfinir une politique d'utilisation et
de dploiement, ou pour toute question ou problme rencontr lors de lutilisation du
produit, il est vivement recommand de se rfrer au

MANUEL TECHNIQUE DE ZONECENTRAL

tlchargeable sparment sur le site www.primx.eu. Ce manuel expose de faon
dtaille les concepts de zones, d'accs et de listes d'accs, les procdures
d'administration, les stratgies de scurit, etc.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

Evaluation Critres Communs

Le produit ZoneCentral v3.1 est en cours dvaluation conformment la cible de
scurit version 2.5 davril 2008 au niveau EAL2+ (EAL2 augment des composants
ALC_FLR.3, AVA_VLA.2, ADV_HLD.2, AVA_MSU.1 et ALC_DVS.1, ainsi que
ADV_LLD.1, ALC_TAT.1 et ADV_IMP.1 pour les mcanismes cryptographiques).
Afin d'utiliser le produit dans les conditions de l'valuation, des mesures de scurit
portant sur l'environnement oprationnel doivent tre suivies.

Recommandations pour une utilisation de l'outil dans les conditions

de l'valuation
1- Lorsque l'utilisateur est authentifi, l'environnement oprationnel doit assurer la
confidentialit des donnes sensibles et des donnes d'authentification.
Note d'application
L'quipement doit apporter des protections efficaces contre l'coute illicite et la
transmission non autorise de donnes (pare-feu correctement configur, antivirus avec
base de donnes jour, anti-spyware , etc.).
Les applications installes sur l'quipement ne doivent pas perturber le bon
fonctionnement de la TOE. Ainsi, les oprations que peut faire l'utilisateur sur les fichiers
protgs par la TOE, surtout au travers de ses applications, ne doivent pas entrainer de
copies totales ou partielles de ces fichiers en dehors de la TOE, sauf lorsqu'il l'a
clairement demand ou lorsque c'est une consquence claire de l'opration demande.
2 - L'utilisateur ne doit accder ses donnes sensibles que lorsqu'il se trouve dans un
environnement de confiance (lorsqu'il se trouve seul ou avec des personnes ayant le
besoin d'en connatre).
3- L'environnement de confiance doit notamment permettre aux utilisateurs d'entrer leur
mot de passe (ou code PIN) sans tre observable directement et sans que cela puisse
tre intercept (clavier sans fil) par dautres utilisateurs ou attaquants potentiels.
4- Les utilisateurs sont chargs de la conservation dans un lieu sr et de la non
divulgation des cls daccs qui leurs ont t transmises par un administrateur de
ZoneCentral. Ladministrateur est lui mme charg de conservation dans un lieu sr et de
la non divulgation des cls daccs de recouvrement.
5- Avant tout chiffrement de zone, il est impratif que lutilisateur ait eu une importante
activit de frappe au clavier ou dfaut quil frappe lquivalent de 3 lignes de textes en
langage naturel. Ces squences de frappe font en effet partie des lments de bruit
intervenant dans linitialisation du calcul des alas utiliss pour la gnration des cls de
zone.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

Description gnrale
ZoneCentral est un produit de scurit pour postes de travail oprant sous Windows
2000 et Windows XP. Son rle est de prserver la confidentialit des documents
manipuls par les utilisateurs, sur des postes isols, des ordinateurs portables, ou des
postes de travail connects un rseau d'entreprise.
Il permet de grer un stockage chiffr (crypt) des fichiers, sans modifier leurs
caractristiques (emplacement, nom, dates, tailles) et de faon la plus transparente
possible pour les utilisateurs. Le chiffrement des fichiers s'effectue en effet 'in-place' (l
o rsident les fichiers) et ' la vole' (sans manipulation particulire de l'utilisateur).
Pour simplifier la gestion des fichiers chiffrs, ZoneCentral est bas sur le principe de
zones : une zone chiffre est un volume, ou un dossier, avec tout ce qu'il contient
(fichiers et sous-dossiers) et l'intrieur duquel tout fichier existant ou venir est
maintenu chiffr, sans qu'il existe aucun moment de copie en clair des donnes.
L'ensemble des zones chiffres dfinit un espace scuris pour les utilisateurs : cela
peut comprendre son 'profil utilisateur Windows' (avec son dossier 'Mes Documents', son
'Bureau', son cache de navigation Web, les fichiers temporaires, etc.), son espace de
travail habituel (l'endroit o habituellement l'utilisateur gre ses fichiers), les partages
rseau auxquels il accde (serveurs de fichiers), ou encore la ou les cls mmoire USB
qu'il utilise.
Pour chaque zone chiffre, il est possible de dfinir un certain nombre d'accs : l'accs
de l'utilisateur principal, d'un collgue ou d'un chef de service ventuel, l'accs rserv du
responsable de la scurit, l'accs de secours de l'entreprise (recouvrement), etc. La
dfinition de ces accs est libre, mais le produit est dot de fonctions et de mcanismes
d'administration permettant d'imposer certains accs ou certains types d'accs.
Un accs correspond une cl d'accs (une cl cryptographique) que possde un
utilisateur. Cette cl peut tre un mot de passe, ou une cl RSA hberge dans un portecl (un fichier de cl, une carte mmoire, ...).
Pour assurer un haut niveau de scurit, ZoneCentral chiffre galement le fichier
d'change de la mmoire virtuelle du poste (le swap) dans lequel peuvent figurer des
informations rmanentes (portions de mmoire des applications utilises).
Il intgre galement un service automatique et transparent d'effacement scuris par
surcharge : tout fichier (chiffr ou non) supprim sur un disque local est
automatiquement effac (rcriture de son contenu avec du 'bruit') avant d'tre
effectivement supprim. Cela concerne galement les fichiers temporaires crs par les
applications.
ZoneCentral intgre galement un produit appel Zed! qui permet aux utilisateurs de
fabriquer des conteneurs chiffrs, dans lesquels ils peuvent copier des fichiers, et qu'ils
peuvent envoyer des correspondants ou archiver. L'utilisateur peut dfinir lui-mme les
accs ces conteneurs, par exemple pour introduire un mot de passe dont il a convenu
avec un correspondant.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

Installation
Vous devez disposer des droits "administrateur" sur l'ordinateur pour installer le produit.
Pour installer le produit, excuter le programme d'installation "Setup ZoneCentral" qui
vous a t fourni. Cette installation est standard et rapide, et les options par dfaut
conviennent la majorit des cas.
L'installation permet d'installer la partie 'utilisateur' du produit et les outils d'administration
(cette option n'est pas slectionne par dfaut, sauf dans la version d'valuation).
A la fin de l'installation, il est ncessaire de redmarrer l'ordinateur.
Notes :

l'installation administre (Setup /A) est compatible avec les logiciels de tlinstallation du march (technologie Microsoft Installer 2x et suprieur), et l'installation
peut tre programme pour tre "silencieuse", au dmarrage du poste ou
l'ouverture de session ;

il est possible de personnaliser et pr-masteriser les 'policies' du produit pour

qu'elles soient installes avec le logiciel.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

Premire mise en oeuvre

Le Moniteur montre que ZoneCentral est actif
Aprs installation et redmarrage, ZoneCentral est dj actif sur le poste :

le fichier d'change (swap) du systme est chiffr (et maintenu chiffr) ;

tous les fichiers supprims sur les disques locaux sont automatiquement nettoys
(leur contenu est effac) avant leur suppression effective. Pour les fichiers qui ne
sont pas effacs mais dont la taille est rduite, l'espace occup avant rduction et
non rutilis est galement trait.

Activez le Moniteur ZoneCentral, qui

se trouve dans le menu Dmarrer de
Windows.
Les deux premiers onglets montrent
les zones chiffres ouvertes et les
cls d'accs fournies. Pour l'instant, il
n'y en a pas.
Activez l'onglet "statut", qui montre
l'tat du logiciel.

L'tape suivante consiste dfinir des

zones chiffres.

Cration d'une premire zone chiffre

1 - Choisir un dossier existant, ou, pour un
premier essai, crer un nouveau dossier avec
quelques fichiers.
2 - Ouvrir les proprits du dossier
Dans l'Explorateur Windows, slectionner ce
dossier, et afficher ses proprits : un onglet
"Chiffrement" a t ajout.
3 - Activer le chiffrement du dossier
Comme le dossier slectionn n'est pas encore
chiffr, il faut effectuer une conversion initiale
pour chiffrer son contenu. Par la suite, tout fichier
qui sera cr dans ce dossier, ou dans ses sousdossiers, sera automatiquement chiffr.
Cliquer sur le bouton "Chiffrer".
Il aurait galement t possible de slectionner
le dossier dans l'Explorateur et d'utiliser le menu
contextuel "Chiffrer" qu'il propose.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

4 - Choix d'une cl d'accs : comme il s'agit de la premire utilisation, il vous est

demand de choisir votre cl d'accs. Diffrents choix sont possibles en fonction de la
politique de gestion de cls de votre environnement.

Pour ce premier essai, choisissez l'option 'mot de passe'.

Tant que la premire 'pastille' n'est pas devenue verte, votre mot de passe n'est pas
assez 'fort', vous devez le durcir. La seconde pastille devient verte ds que la seconde
saisie est identique la premire.
Note : ces saisies de mots de passe sont effectues en mode protg, par capture bas
niveau dans le systme des caractres saisis.
Attention vous souvenir du mot de passe, car cette tape de la dmonstration, nous
n'avons pas encore dfini de cl de secours/recouvrement !

Cette opration de slection de votre cl personnelle et de fabrication de votre liste

d'accs personnelle n'a lieu que la premire fois que vous utilisez ZoneCentral pour
chiffrer (une zone ou un conteneur).
Il est possible de prparer cet accs en "amont", par l'administrateur de la scurit, et
donc d'viter cette tape.

Ds que cette liste personnelle est cre, l'opration initialement demande (chiffrer le
dossier) se dclenche.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

5 - Chiffrement initial du dossier : l'assistant de chiffrement apparat, et vous guide

pour la suite. Il ne vous sera demand que des confirmations intermdiaires entre
chaque tape. Il y a trois tapes : analyse du dossier, chiffrement, et vrification.
L'tape d'analyse consiste vrifier que
les fichiers chiffrer ne sont pas dj
ouverts par des applications, que les
droits d'accs autorisent la modification
des fichiers, etc.

Ce chiffrement initial s'effectue de faon trs

rigoureuse et trs protge (notamment contre
les coupures de courant). Les fichiers qui sont
chiffrs sont systmatiquement vrifis (essais
de dchiffrement, comparaison avec le contenu
initial, etc.), et l'image en clair du fichier, qui
existait au dpart, est nettoye (effacement de
son contenu).
Si, pour une raison quelconque, un fichier ne
peut pas tre chiffr, l'assistant le signale, puis
continue son traitement. C'est le cas, par
exemple, si le fichier est ouvert par une
application. Il faut alors fermer cette
application.
6 - C'est termin ! : les proprits du dossier indiquent maintenant qu'il est chiffr.
L'Explorateur Windows le montre dsormais avec un petit cadenas.

Astuce : si le cadenas comporte une "serrure", c'est qu'il s'agit

d'une "tte de zone chiffre". Sinon, c'est qu'il s'agit d'un sousdossier (chiffr) d'une zone chiffre.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

Utilisation de cette zone chiffre

1 - Activez le moniteur : vous pouvez
constatez qu'il mentionne maintenant votre cl
d'accs (deuxime onglet).
Dans le dossier chiffr, essayez, par exemple,
de crer un nouveau fichier. La zone s'ouvre
automatiquement, car la cl d'accs est
prsente.

3 - Les fichiers que contient la zone sont chiffrs, mais il n'y a aucune diffrence
d'utilisation : ouvrez l'un des fichiers, comme vous le faites habituellement : l'application
se lance, vous travaillez sur le fichier, il n'y a aucune diffrence !
En effet, comme vous avez dj fourni votre cl d'accs prcdemment, la zone est
ouverte, et les fichiers sont accessibles.
De plus, tous les nouveaux fichiers et sous-dossiers seront chiffrs automatiquement :
nous vous invitons essayer toutes les manipulations habituelles sur les fichiers :
copier/coller, renommage, glisser-dplacer, enregistrer-sous dans une application, etc. A
partir de maintenant, tout fichier qui "entrera" dans cette zone chiffre sera nativement
chiffr.
Remarquez que tous les sous-dossiers comportent galement une icne avec cadenas.
4 - Dans le moniteur, cliquez sur le bouton "Fermer tout" : cette action va fermer les
zones chiffres ouvertes et les cls d'accs dj fournies.
5 - Ouverture de la zone chiffre
Retournez dans le dossier et ouvrez un des
fichiers, ou tentez de le copier ailleurs :
automatiquement, ZoneCentral demande de
fournir une cl d'accs pour la zone chiffre.
Notez la bulle d'aide qui indique le fichier
accd et l'application concerne.
Un rappel peut galement apparatre en
barre des tches si cette fentre venait
tre masque.

Quelle que soit la cause, et ds lors qu'il y a un accs au CONTENU d'un fichier chiffr
dans un dossier chiffr (en lecture ou en criture), il faut fournir la cl d'accs pour que
ZoneCentral soit en mesure de chiffrer ce qui est crit ou dchiffrer ce qui est lu.
Note : les zones et les cls sont galement automatiquement fermes lorsque
l'conomiseur d'cran se met en marche, si vous fermez votre session ou si le poste est
teint. Il existe galement des squences de touches simples et rapides qui permettent
une fermeture des zones et des cls, mais elles doivent tre configures par un outil
d'administration.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

10

Premires conclusions
Il n'y a jamais de copie en clair des fichiers chiffrs : le dchiffrement et le chiffrement
s'effectuent intgralement ' la vole', quelle que soit l'application et l'opration effectue.
Lorsqu'une nouvelle zone chiffre est cre, les fichiers dj prsents sont chiffrs une
premire fois (migration), mais tous les fichiers (et dossiers) venir dans cette zone
seront nativement chiffrs, systmatiquement, et de faon transparente.
Tant qu'un fichier reste dans une zone chiffre, ou passe d'une zone chiffre une autre,
il demeure inaccessible pour quiconque ne disposant pas d'une cl d'accs, et ce mme
s'il utilise des moyens avancs (dmarrage sur un autre systme, accs rseau, etc.)
puisque le fichier est stock sous forme chiffre. Par contre, bien entendu, si vous copiez
ou dplacez un fichier vers un emplacement non chiffr, alors son contenu sera
disponible en clair.

Comment a marche...
ZoneCentral dtecte bas niveau, dans le noyau de Windows, tous les accs aux
fichiers effectus par les applications ou par le systme lui-mme.
Lorsqu'un accs concerne un fichier qui se trouve dans une zone chiffre (c'est--dire un
dossier chiffr, ou dans un de ses sous-dossiers), ZoneCentral vrifie la vole s'il
possde une cl d'accs habilite pour cette zone chiffre. Si oui, il l'utilise pour dchiffrer
les donnes lues ou chiffrer les donnes crites lors des accs effectus par les
applications. Il ne traite que les "portions" de donnes demandes par les applications,
quand elles le demandent.
S'il ne possde pas de cl d'accs permettant de chiffrer/dchiffrer, il en demande une
l'utilisateur, qui doit la fournir, ce qui permet "d'ouvrir la zone chiffre" et de travailler avec
les fichiers qu'elle contient (prsents ou venir).
Si la cl d'accs n'est pas fournie, alors l'accs au fichier demand est refus.
Ce processus ne s'effectue que lorsqu'il y a un rel accs aux donnes des fichiers.
Lorsqu'il ne s'agit que d'informations lies au fichier mais pas son contenu, ZoneCentral
reste transparent.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

11

Prise en main avance

Votre 'liste d'accs personnelle'
Lors de la toute premire opration de chiffrement d'une zone, il vous a t demand de
choisir votre cl d'accs personnelle (et, pour un premier essai, nous avions choisi un
accs de type mot de passe).
Ceci a entran la cration d'un fichier spcial, portant comme nom de fichier une
composition du nom de votre ordinateur et de votre nom d'utilisateur Windows
(par exemple : pour l'ordinateur 'PC2412' et l'utilisateur Windows 'Paul', cela donne
"PC2412 Paul.zaf", zaf tant une abrviation de ZoneCentral Access File)
Ce fichier a t dpos dans votre profil Windows, dans le dossier "Mes
documents\Profil ZoneCentral".
De plus, si la cl personnelle que vous aviez choisi tait un fichier de cls .pfx (que
votre administrateur vous a remis), alors une copie de ce fichier a galement t faite
dans ce dossier (pour que vous puissiez le retrouver facilement).

Que contient le fichier 'liste d'accs personnelle' ? Dans l'exemple que nous avons pris, il
ne contient que la dfinition de votre accs avec la cl d'accs que vous aviez
slectionn.
Mais, dans une configuration administre, il
peut galement contenir d'autres accs,
dfinis et imposs par votre administrateur
de la scurit (accs d'un collgue, d'un chef
de service, de l'administrateur de la scurit,
ou encore un accs de recouvrement pour
l'entreprise). Ceci afin de garantir que tout ce
que vous serez amen chiffrer (dossiers,
conteneurs, etc.) pourra tre dchiffr par
des accs de secours.
Ce fichier d'accs personnel est trs important, et il ne doit pas tre supprim, sauf
par un utilisateur expriment ou un administrateur. Il constitue en effet le seul lien entre
une zone chiffre et, in fine, les cls d'accs qui permettent de dchiffrer son contenu. Il
est fortement conseill d'effectuer une sauvegarde de ce fichier 'liste d'accs'. Par
mesure de prcaution, ce fichier est en lecture seule.
Si vous supprimez ce fichier (par exemple pour faire un autre essai avec une autre cl
personnelle), assurez-vous auparavant d'avoir dchiffr toutes les zones chiffres (ou
bien changez simplement le nom du fichier pour le conserver au cas o).
Note : Pour l'administrateur de la scurit, il existe d'autres mesures de prcaution de ce
type. Les accs obligatoires ('mandatory members') sont, en plus et dans tous les cas,
ajouts directement dans les zones chiffres et dans les conteneurs (ce qui permet de se
protger de la perte de ces fichiers "liste d'accs personnelle").
Le concept de 'liste d'accs' est un concept plus gnral dans ZoneCentral, qui permet
de fabriquer des listes d'habilitation, puis de les appliquer des zones chiffres. Ce
concept sera abord plus loin.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

12

Ajouter des accs une zone chiffre

1- voir les accs
Dans l'Explorateur Windows, slectionnez le dossier que vous avez dj chiffr dans
l'tape prcdente, et affichez ses proprits (onglet 'Chiffrement').
Pour l'instant, il n'y a qu'un seul accs, le votre,
que vous aviez dfini lors du premier
chiffrement de dossier.
Comme il est expliqu au paragraphe
prcdent, cet accs porte le nom de
l'ordinateur et votre nom d'utilisateur Windows.
Si vous dtaillez son contenu, vous verrez
ensuite qu'il mentionne bien votre accs par
mot de passe tel que vous l'aviez dfini.
Les boutons "Nouveau" et "Supprimer"
permettent de grer les accs la zone
chiffre, sous certaines conditions toutefois, en
fonction de ce qu'autorise votre administrateur
(pour l'instant, nous faisons une dmonstration
du produit avec ses options par dfaut, non
limitatives).
Note : avec cette interface graphique, il n'est
possible d'ajouter des accs que sur une "tte
de zone chiffre", c'est--dire sur le dossier
chiffr de plus haut niveau, celui qui dfinit toute la zone et qui englobe les sous-dossiers
ventuels. D'autres moyens avancs existent cependant pour ajouter des accs sur des
dossiers 'infrieurs' si ncessaire.
Cliquez sur le bouton "Nouveau". Si la zone n'est pas ouverte, il vous est demand de
l'ouvrir, pour s'assurer que vous y avez bien accs.
Puis vous avez le choix entre divers modes d'ajouts d'accs : ajouter un accs par mot
de passe ou ajouter un accs de type cl RSA, en utilisant le certificat associ la cl
RSA, certificat que l'on peut slectionner dans un fichier ou sur un annuaire de certificats.
2 - Ajouter un accs de type mot de passe
Il suffit de donner un nom cet
accs (quivalent d'un identifiant
utilisateur) et de lui choisir un
mot de passe.
L encore, les pastilles de
couleur donnent des indications
sur la qualit du mot de passe
choisi (qualit qui peut tre
configure par l'administrateur).
Vous pouvez ajouter ainsi
plusieurs accs si ncessaire.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

13

3 - Ajouter un accs partir d'un certificat lu dans un fichier ou un magasin

Cliquez sur le petit bouton symbolisant
un dossier et slectionnez un ou
plusieurs fichiers pouvant contenir des
certificats (fichiers dont l'extension
peut tre .cer, .crt, ou .p7b) : les
certificats utilisables trouvs sont
affichs dans la liste et vous pouvez
cocher ceux qui correspondent aux
personnes qui vous voulez donner
accs la zone chiffre.
Le second bouton symbolise les
magasins de certificats de votre poste
de travail. Il permet d'afficher les
certificats disponibles des magasins
"personnel" et "autres personnes".
Si le certificat ne peut pas tre utilis, il apparat en rouge, et une bulle d'aide indique
pourquoi. Il peut tre prim, ne pas autoriser le chiffrement, ne pas provenir d'une
Autorit de Confiance, ou bien les listes noires qui le concernent (lui ou sa hirarchie)
peuvent ne pas tre disponibles (elles sont tlcharges en temps rel si ncessaire).
Note: ZoneCentral utilise le magasin de certificat "autorits de confiance" (y compris
celles de "l'entreprise'" du Poste de Travail pour trouver les autorits intermdiaires et
racines de confiance.
4 - Ajouter un accs partir d'un certificat trouv dans un annuaire
Si vous disposez d'annuaires (LDAP) de certificats, vous pouvez rechercher le
certificat de ce correspondant sur cet annuaire : il suffit de donner le nom de l'annuaire et
d'entrer le nom du correspondant. Exemple : utilisez le serveur public
'directory.verisign.com' et recherchez
'Parker', ou 'clinton'...
Note : si le serveur LDAP le supporte,
il est possible de mettre plusieurs
critres de recherche, mme
incomplets, spars par des pointsvirgules, comme "Par;Clint".
La plupart du temps, il s'agira
d'annuaires internes votre
organisation, avec ventuellement ses
rgles de recherche propres. Votre
administrateur ZoneCentral peut
galement prdfinir la liste des
annuaires disponibles.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

14

Vue globale des zones sur un Poste de Travail

Dans l'Explorateur Windows, slectionnez le "Poste de Travail" et activez le menu
contextuel : un choix "Chiffrement" apparat.
Le second onglet permet de visualiser toutes les zones chiffres connues (ouvertes ou
non) du Poste de Travail.

Chiffrer une cl mmoire USB

Lorsqu'une cl mmoire USB est introduite dans un port USB de l'ordinateur,
ZoneCentral le dtecte et propose automatiquement de chiffrer cette cl mmoire,
c'est--dire d'en faire une zone chiffre.
Si vous acceptez, l'assistant de
chiffrement va s'activer (comme pour un
dossier) et chiffrer le contenu existant
de la cl USB. Par la suite, tout fichier
copi sur cette cl mmoire sera
automatiquement chiffr sans
intervention.
Si vous refusez, ZoneCentral mmorise le numro de srie du volume, pour ne pas
refaire cette proposition la prochaine fois qu'il sera insr. Si, par la suite, vous souhaitez
quand mme le chiffrer, il faudra effectuer cette opration par vous-mme partir de
l'onglet 'Proprits' du volume.
Au cours de cette opration, l'assistant copie sur la cl USB votre fichier 'liste d'accs
personnelle' et, si vous en utilisez un, votre fichier de cls, de faon ce que vous
puissez utiliser la zone chiffre directement sur un autre ordinateur quip de
ZoneCentral.
Il se peut que cette opration ne puisse pas s'effectuer par manque de place sur la cl
USB. Si c'est le cas, vous devez d'abord faire de la place sur la cl (copier son contenu
sur votre ordinateur), puis refaire l'opration, pour finalement remettre le contenu initial
sur la cl USB. Pour refaire l'opration, il suffit soit de rintroduire la cl USB dans
l'ordinateur, soit plus simplement d'accder aux proprits du volume USB (H: par
exemple) et de procder comme auparavant pour un dossier.

L'administrateur de ZoneCentral a en plus la possibilit d'interdire la copie de fichiers

en clair sur une cl mmoire USB, pour s'assurer que toute copie sur une cl USB sera
protge par chiffrement. Dans ce cas, une cl mmoire non chiffre fonctionnera en
pratique en "lecture seule", toute 'sortie d'information' tant interdite si elle n'est pas
chiffre.
ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

15

Crer un partage chiffr

Avec ZoneCentral, les partages de zones chiffres restent chiffrs.
Si le poste client qui se connecte ce partage n'est pas quip de ZoneCentral, il ne
verra que des fichiers chiffrs, sans aucun moyen pour les dchiffrer. Un partage n'est
donc pas dangereux en termes de confidentialit.
Si le poste client qui se connecte ce partage est quip de ZoneCentral, alors son
poste dtectera que c'est une zone chiffre et demandera son utilisateur de fournir une
cl d'accs valide pour la zone en question. Une fois fournie, la zone sera ouverte (pour
lui et pour son poste seulement), et les chiffrements et dchiffrements de fichiers
s'effectueront sur son poste (c'est son logiciel ZoneCentral qui le fera).
Ceci signifie que, mme si le partage chiffr est ouvert par un poste client, le trafic rseau
reste chiffr, et cette ouverture ne concerne que ce seul poste. Si un autre poste se
connecte au partage, il devra lui aussi fournir une cl d'accs.
Le fait que la zone chiffre (partage) soit ouverte et accessible localement ou ferme
ne change rien ces principes.

Avec ZoneCentral, la notion de partage ne change donc pas, plusieurs postes peuvent
l'utiliser et accder des fichiers. Ce qui change, c'est que le contenu des fichiers reste
chiffr et que, pour y accder, les mmes rgles que pour un accs local s'applique : il
faut avoir une cl d'accs valide.
Pour partager un dossier chiffr, il est ncessaire que ce dossier soit une "tte de zone
chiffre" (et non pas seulement un dossier inclus dans une zone chiffre). Donc, lorsque
vous effectuez l'action de partage sur le dossier, ZoneCentral va automatiquement
transformer ce dossier en une zone indpendante, ce qui va vous permettre, notamment,
d'attribuer des accs personnaliss pour cette zone (pour autoriser telle ou telle personne
dchiffrer son contenu chiffr).

Chiffrer un partage sur un serveur de fichiers (et

y accder)
Cette procdure est normalement rserve l'administrateur de la scurit, mais ce
partage sur un serveur de fichier peut galement tre un espace personnel.
ZoneCentral n'a pas besoin d'tre install sur le serveur de fichiers, et ce serveur peut
oprer sous Windows ou sur d'autres systmes (UNIX, etc.). Ce sont en effet les postes
clients ZoneCentral qui accdent aux fichier et effectuent les oprations de
chiffrement/dchiffrement localement (le trafic rseau portant donc par construction sur
des portions de fichiers chiffrs).
L'opration est exactement la mme que pour un dossier local, avec les mmes
contraintes, notamment celle d'avoir les droits d'accs en lecture et en criture sur le
dossier du serveur chiffrer.
Par la suite, les accs ce partage se feront galement exactement comme pour un
dossier local. Comme dans le cas des partages sur les postes de travail, chaque poste
client devra fournir sa cl d'accs pour accder l'espace chiffr sur le serveur, et
chaque poste utilisera le ou les fichiers dsirs.
L'organisation de la gestion des habilitations est libre. Toutefois, s'agissant d'espaces
communs et partags entre plusieurs utilisateurs, il est gnralement de rgle qu'une
personne dsigne (le chef de service par exemple), s'occupe de grer les habilitations.
Nous entrons l dans un contexte plus global d'administration, qui sera dcrit plus loin,
avec notamment les notions de droits et de listes d'accs.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

16

Utiliser un fichier de cls (.pfx)

Un fichier de cl est un "porte-cl" comportant un jeu de cls RSA (dont la cl prive) et
le certificat associ. Ce fichier est protg par un code d'accs.
Pour utiliser un fichier de cls que vous a fourni votre administrateur de la scurit
(certainement issu d'une infrastructure PKI), il suffit, lors la cration de votre 'liste d'accs
personnelle' (au tout premier chiffrement), de slectionner le second symbole ('fichier de
cls') et d'indiquer l'emplacement de votre fichier. Le code d'accs du fichier doit
galement tre fourni.
Si vous avez dj cr le fichier 'liste d'accs personnelle' au cours d'essais
prcdents, vous devez aller dans le dossier "Mes Documents\Profil ZoneCentral",
localiser le fichier existant ("Ordinateur UtilisateurWindows.zaf") et soit le supprimer soit
le renommer (ce qui est prfrable, car vous avez peut-tre toujours des dossiers
d'essai chiffrs avec l'ancien, et il vaut mieux le conserver au cas o), puis effectuer une
procdure de chiffrement de dossier.

Noter que le fichier de cls indiqu est automatiquement recopi dans le dossier "Mes
Documents\Profil ZoneCentral" pour que vous puissiez le retrouver facilement. Sa
prsence dans ce dossier n'est cependant pas indispensable.
Par la suite, lorsque vous ouvrez une zone chiffre ou un conteneur chiffr, ZoneCentral
proposera automatiquement un accs par fichier de cls, et proposera directement le bon
fichier, vous n'aurez qu' entrer son code d'accs.

Utiliser une carte mmoire RSA (ou un token)

La procdure est la mme que pour un fichier de cls, mais vous devez introduire la carte
ou le token et saisir son code confidentiel lors de la cration de votre liste d'accs
personnelle.
Par dfaut, ZoneCentral est livr avec une configuration qui lui permet de reconnatre
automatiquement les cartes de certains constructeurs. Si votre carte n'apparat pas
dans la liste, c'est qu'elle n'est pas reconnue. L'administration de ZoneCentral (policies)
permet toutefois d'ajouter des modules ' reconnatre', si vous disposez du module
PKCS#11 fourni par les constructeurs.

Par la suite, lorsque vous ouvrez une zone chiffre ou un conteneur chiffr, si la carte est
prsente, elle sera propose automatiquement.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

17

Utiliser un provider CSP (magasins Windows)

Pour utiliser une cl RSA rfrence dans les magasins CSP de votre ordinateur
Windows, il faut qu'elle soit prsente au moment o vous crez votre 'liste d'accs
personnelle' (voir paragraphes prcdents).
Il suffit alors d'activer le quatrime pictogramme (ci-contre) et, s'il y a des cls
disponibles, elles sont proposes.
Par la suite, lorsque vous ouvrez une zone chiffre ou un conteneur chiffr, le mode
opratoire est trs diffrent des cas prcdents, car c'est alors le CSP lui-mme qui
effectue l'authentification, avec ses propres fentres. La fentre d'ouverture de
ZoneCentral n'apparatra que s'il n'y avait pas de cl disponible dans les magasins CSP.
Si vous utilisez le CSP standard Microsoft, sans protection particulire : alors votre cl
d'accs est dverrouille par Windows ds que vous ouvrez votre session Windows, et il
n'y aura aucune interface graphique d'ouverture de zone, les zones seront
automatiquement ouvertes.
Toujours avec le CSP standard Microsoft, si vous avez activ une protection renforce,
alors il proposera sa propre fentre (soit une simple validation de l'utilisation de la cl
d'accs, soit une demande de code d'accs).
Si vous utiliser un CSP fourni par un constructeur de carte mmoire (ou token) RSA,
alors ce sera la fentre de demande de code confidentiel de ce constructeur qui
apparatra pour ouvrir la zone.

Oprations sur zones

Ces oprations ne sont disponibles que si l'administrateur de ZoneCentral ne les a pas
masques et/ou interdites.
Elles peuvent porter sur un dossier, un volume, ou le poste de travail complet. Dans le
cas d'un dossier, il peut s'agir d'un dossier rsidant sur un partage externe.
Ces oprations peuvent tre demandes depuis :
 Le menu contextuel (Explorateur) d'un dossier ou d'un volume. Par dfaut, seule
l'opration "simple" est propose (chiffrer ou dchiffrer). Si le menu contextuel est
invoqu avec la touche SHIFT enfonce, les oprations "avances" sont galement
proposes si elles peuvent s'appliquer (transchiffrer, dissocier, regrouper, vrifier,
etc.) ;
 Les proprits (Explorateur) d'un dossier ou d'un volume. L'onglet "Chiffrement"
montre les accs et propose les oprations "simples" (chiffrer ou dchiffrer). Le
bouton "Avanc" permet d'accder aux oprations plus complexes ;
 Le menu "Chiffrement" du Poste de Travail ;
 Les outils d'administration de ZoneCentral.

Dchiffrer une zone

Il suffit de slectionner le dossier "tte de zone", d'afficher ses proprits (onglet
'Chiffrement') et de cliquer sur le bouton 'Dchiffrer'.
Si le dossier n'est pas une tte de zone chiffre, les proprits indiquent le nom de la tte
de zone, avec un lien pour y accder rapidement.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

18

Transchiffrer une zone, ou toutes les zones sur un

volume
Le transchiffrement consiste renouveler les cls de chiffrement des fichiers dans les
zones chiffres. C'est une opration "cryptosanitaire" qui doit tre excute
priodiquement, selon une frquence dfinie par la politique de scurit de l'entreprise
(tous les ans ou tous les deux ans en gnral).
Cette opration combine le dchiffrement (avec une ancienne cl) et le chiffrement (avec
une nouvelle cl). Attention, il ne s'agit pas ici des cls d'accs (mots de passe, fichiers
de cls, cartes mmoire, etc.) mais des cls internes qui chiffrent les zones.
Elle va donc traiter tous les fichiers dans tous les sous-dossiers d'une zone chiffre, de
faon rigoureuse et scurise (pas de copie en clair, vrification systmatique avant et
aprs transformation, protection contre les coupures de courant, etc.).
L'interface graphique est la mme que pour le chiffrement.
Pour traiter toutes les zones sur un volume (mme si la racine du volume n'est pas
chiffre), afficher les proprits du volume, slectionner l'onglet 'chiffrement' et cliquer sur
le bouton 'Transchiffrer'.

Dissocier un sous-dossier d'une zone chiffre

pour en faire une zone indpendante
Cette opration "dtache" un sous-dossier (chiffr) de la zone laquelle il se rapporte, et
fait donc de ce sous-dossier une zone part entire (avec tout ce qu'il contient).
L'opration a pour but de permettre, par exemple, d'affecter des accs diffrents de ceux
de la zone 'au-dessus'.
Elle peut permettre galement, ensuite, de dchiffrer ce sous-dossier pour en faire une
zone en clair (sans avoir eu modifier la zone 'au-dessus' et ses autres sous-dossiers).
Note : bien que spares, les deux zones conservent des proprits de chiffrement
identiques (algorithmes et cls internes).

Regrouper une zone chiffre avec une zone

chiffre 'parente'
Cette opration n'est propose que si elle est pertinente et possible (les deux zones
utilisent les mmes algorithmes et les mmes cls internes, et sont donc le rsultat d'une
dissociation, cf. prcdent). Une confirmation est demande, notamment si les accs
des deux zones sont diffrents : ce sont les accs de la zone 'parente' qui seront
conservs, ceux de la zone regroupe disparaissant (car elle n'existe plus).

Vrifier une zone chiffre

Cette opration permet de vrifier la conformit de la zone chiffre avec les "Stratgies
de Scurit" mises en place. Si des modifications doivent tre apportes, elles sont
excutes. Il s'agit, en particulier et surtout, d'appliquer ou de rappliquer les "accs
obligatoires" imposs par l'administrateur de la scurit (cas du recouvrement).
Cette opration est galement disponible pour les listes d'accs.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

19

Vue de dtail (avance) d'une zone chiffre

On y accde l'aide du bouton Dtail/Avanc
disponible en bas de l'onglet 'Chiffrement' d'un
dossier chiffr.
Cette fentre regroupe toutes les fonctionnalits
possibles : informations de gestion, liste des accs,
exceptions, oprations possibles.
L'onglet 'Gnral' ci-contre montre le label (libre) de
la zone, l'algorithme de chiffrement des fichiers et la
longueur (force) des cls, ainsi que des informations
de gestion.

"Marquer" une zone en clair

Quand une zone est chiffre, tous les sous-dossiers (et ainsi de suite) sont considrs
comme chiffrs.
Pour indiquer qu'un sous-dossier d'une zone chiffre est en clair, il faut "marquer" ce
dossier avec cette caractristique (sinon, ZoneCentral croira que son contenu est chiffr).

Exemple 1 : le dossier C:\Marketing est chiffr.

On dissocie le sous-dossier C;\Marketing\Public
Sheets, pour en faire une zone indpendante,
puis on le dchiffre, car son contenu est
finalement jug public. Ce dossier (et tout ce qu'il
contient), en clair sous une zone chiffre sera
automatiquement "marqu" comme tant en clair.
Exemple 2 : au moment de chiffrer la zone
C:\Markting, on sait dj que le sous-dossier
Public Sheets (volumineux) n'est pas confidentiel.
On va d'abord le marquer comme tant "en clair",
et seulement ensuite on chiffrera C:\Marketing :
ce chiffrement ne traitera pas cet emplacement
car il a t explicitement marqu.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

20

Accs de secours
Les accs de secours font partie des techniques de recouvrement proposes par
ZoneCentral. Ils peuvent tre configurs par l'administrateur de la scurit.
C'est une technique de "recouvrement oprationnel ddi un poste ou un utilisateur et
drivant d'un recouvrement central". Sauf indication contraire, ZoneCentral gnre pour
toute liste d'accs un accs spcial dit "de secours" protg par un mot de passe long et
fort.
1/ L'administrateur met en place un recouvrement gnral, par exemple l'aide d'une
cl RSA et d'un certificat, qu'il conserve en central de faon scurise. Grce aux
"policies" de ZoneCentral, il impose l'utilisation de ce recouvrement dans tout ce qui est
chiffr, et notamment dans les listes d'accs (personnelles), dont il a une copie (grce
aux diffrents dispositifs de synchronisation de ZoneCentral).
2/ Un utilisateur en dplacement l'tranger oublie son mot de passe ou perd sa
carte mmoire. Il appelle au secours l'administrateur de la scurit. Ce dernier retrouve
la liste d'accs personnelle de l'utilisateur, l'ouvre avec la cl de recouvrement gnrale,
et affiche ses proprits. Dans l'onglet "Accs", il utilise le menu contextuel "Accs de
Secours" pour visualiser ce mot de passe, qu'il peut ensuite dicter ou tlcopier
l'utilisateur :

3/ L'utilisateur peut alors ouvrir ses zones par un mcanisme spcial, il est
dpann et peut travailler. L'administrateur dispose maintenant du temps ncessaire
pour lui envoyer une autre carte mmoire ou une autre liste d'accs.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

21

Quels dossiers peut-on (doit-on) chiffrer

Vous pouvez dcider vous-mmes des dossiers qui doivent tre chiffrs (avec leurs
sous-dossiers). Dans ce cas, il vous suffit de rpter les oprations dcrites plus haut.
Une fois ce travail effectu, vous n'avez plus vous proccuper de rien, sauf si un jour
vous souhaitez que de nouveaux dossiers, ailleurs, soient galement chiffrs.
Vous pouvez galement demander aux Assistants de ZoneCentral de dterminer euxmmes les zones chiffrer sur un poste de travail, un disque systme, un autre volume,
ou un profil utilisateur. Le principe est alors le suivant :
Les dossiers 'Windows' et 'Program Files' ne seront pas chiffrs : car le systme luimme ne doit pas tre chiffr, et car les applications elles-mmes ne sont pas
confidentielles (il est cependant possible de chiffrer certains dossiers de Program Files
sans que cela pose de problme).
D'ailleurs, de faon gnrale, et par dfaut, ZoneCentral ne chiffre pas certains types de
fichiers, notamment les programmes, les fichiers de cl, et quelques fichiers particuliers
utiliss par l'Explorateur Windows (comme desktop.ini, etc.). Cette liste est configurable
pour l'administrateur ZoneCentral.

Le profil utilisateur courant sera chiffr, avec tout ce qu'il contient (My Documents,
Bureau, espace temporaire, cache Internet, etc.), l'exception de quelques dossiers
cachs trs techniques qu'il est dconseill de chiffrer, car cela perturberait certaines
fonctions de Windows.
Les autres profils utilisateurs (administrateur, etc.) ne seront pas chiffrs (car ils ne
disposent sans doute pas de la mme cl d'accs).
Le dossier "Documents And Settings", qui englobe les profils utilisateurs ne sera pas
chiffr pour que, par dfaut, un nouvel utilisateur du poste ne se retrouve pas avec un
profil chiffr sans avoir la cl d'accs correspondante.
Enfin, tous les autres dossiers du volume seront chiffrs, en appliquant toutefois les
exceptions sur les types de fichiers dcrites plus haut.
Pour une bonne scurit du poste de travail, il est recommand de chiffrer l'espace de
travail habituel de l'utilisateur, c'est--dire les volumes ou dossiers dans lesquels il place
habituellement ses fichiers, ET son profil utilisateur. En effet, la diffrence de solution
de chiffrement plus classiques, comme les volumes virtuels chiffrs, ZoneCentral est un
produit capable de grer plus globalement la scurit du poste, en chiffrant notamment
les copies temporaires de fichiers (ex: quand on ouvre une pice jointe dans Outlook), les
innombrables fichiers temporaires, le cache du navigateur (contenant des informations
Intranet/Extranet), et enfin les emplacements de confort des utilisateurs (fichiers copis
sur le Bureau, par exemple).

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

22

Exemple de mise en uvre sur un poste Windows

L'assistant de chiffrement de ZoneCentral adoptera automatiquement cette stratgie et

aboutira ce rsultat, compltement si le chiffrement est appliqu globalement (Poste de
Travail), ou partiellement s'il est appliqu sur C: ou sur Pierre (par exemple).
Cas particuliers de profils itinrants (roaming) et de dossiers off-line (synchroniss):
se rfrer au Manuel Technique de ZoneCentral pour la mise en uvre. Les dossiers offline synchroniss, en particulier, doivent imprativement tre des "ttes de zone".

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

23

Utilisation des conteneurs

chiffrs
L'utilisation des conteneurs chiffrs est trs intuitive et tout fait similaire l'utilisation
des 'dossiers compresss' sous Windows XP.
1 - Crez un conteneur :
Sur le bureau, ou dans un dossier
de l'Explorateur, cliquer dans le
fond de l'cran ou de la fentre et
slectionnez le menu 'Nouveau' :
le choix 'conteneur chiffr'
apparat.
Un fichier 'porte-conteneur' est
alors cr cet emplacement,
avec un nom par dfaut, que vous
pouvez modifier.
L'extension des conteneurs chiffrs est ".zed".
Note : ce stade, le conteneur n'est pas encore rellement initialis, il le sera ds sa
premire utilisation.
2 - Ouvrez le conteneur :
Il suffit de double-cliquer dessus ou d'utiliser le menu contextuel 'ouvrir'. Le conteneur
s'affiche, il ne contient pas encore
de fichiers. Cependant, il a t
initialis, et les cls d'accs au
contenu ont t automatiquement
dfinies, avec notamment votre
cl d'utilisateur (celle qui avait t
choisie lors de la cration de la
premire zone chiffre). Si vous
n'avez pas encore ouvert de zone
chiffr ou de conteneur chiffr, et
que vous n'avez pas encore fourni
votre cl d'accs personnelle,
alors elle vous sera demande
cette occasion.
3 - Ajoutez des fichiers dans le
conteneur : il y a plusieurs faons
de procder : glisser-dplacer de fichiers vers l'intrieur du conteneur ou vers son icne,
copier/coller de fichiers, ou encore utilisation du menu "Ajouter".
Note : le conteneur ne peut pas contenir de dossiers.
4 - Modifiez le contenu du conteneur : vous pouvez ajouter des fichiers, renommer les
fichiers existants, supprimer des fichiers, en remplacer certains, etc.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

24

5 - Ajoutez un accs au conteneur pour un correspondant

Si ce conteneur (et son contenu) est destin tre envoy comme
pice jointe chiffre un correspondant, il faut lui donner un accs.
Utilisez le menu contextuel (click droit) sur le fichier conteneur, ou
dans le fond du conteneur et choisissez l'option "Liste des accs" :
Pour l'instant, le conteneur
n'a qu'un seul accs, le
votre, avec votre cl
personnelle (cet accs
porte un nom calcul partir du nom de
l'ordinateur et du nom d'utilisateur Windows).
Avec les boutons "Ajouter" et "Retirer", vous
pouvez grer les accs que vous souhaitez
pour ce conteneur chiffr.
La procdure pour ajouter des accs un
conteneur chiffr est totalement similaire celle
qui permet d'ajouter des accs une zone
chiffre (ajout d'accs de type mot de passe ou
avec des certificats RSA).

Si vous disposez d'un certificat (RSA) pour

votre correspondant, vous pouvez simplement
slectionner ce fichier certificat (second onglet) pour ajouter ce correspondant : comme
il dtient la cl d'accs correspondante, il sera en mesure de dchiffrer le conteneur.
Si vous disposez d'annuaires (LDAP) de certificats, vous pouvez rechercher le
certificat de ce correspondant sur cet annuaire : il suffit de donner le nom de l'annuaire et
d'entrer le nom du correspondant. Exemple : utilisez le serveur public
'directory.verisign.com' et
recherchez 'Parker', ou 'clinton'...
Sinon, vous pouvez toujours
convenir d'un mot de passe avec
votre correspondant (par tlphone
par exemple) et utiliser ce mot de
passe pour vos changes.

Astuce : si vous correspondez

frquemment avec certaines
personnes, une habitude courante
est de "prparer" l'avance
diffrents conteneurs (jean.zed,
paul.zed, marketing.zed, etc.), de
les placer un endroit trs
accessible (sur votre bureau par exemple), puis d'utiliser toujours les mmes pour vos
changes, en changeant simplement les fichiers qu'ils contiennent.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

25

6 - Envoyez le conteneur chiffr votre correspondant

Il vous suffit de joindre le conteneur en tant que pice jointe dans un courrier
lectronique.
Un autre usage "classique" des conteneurs chiffrs est de les copier dans une cl
mmoire USB.
Bien entendu, votre correspondant doit disposer d'un logiciel pour pouvoir ouvrir et
dchiffrer le contenu du conteneur. S'il dispose de ZoneCentral, cela ne pose aucun
problme.
S'il n'en dispose pas, il existe un module gratuit et libre d'usage, appel "Zed! Limited
Edition" qu'il peut installer et qui lui permettra d'ouvrir le conteneur chiffr.
Ce module est prsent sur votre ordinateur, et vous pouvez le lui envoyer directement : il
se trouve dans le dossier d'installation de ZoneCentral (en gnral, sous C:\Program
Files\PrimX\ZoneCentral) et il se nomme "Setup Zed! Limited Edition.exe".
Cette dition limite offre les mmes possibilits que celles qui ont t dcrites ci-dessus,
mais interdit de crer un nouveau conteneur ou de modifier les accs des conteneurs
existants.
Votre correspondant sera donc en mesure d'ouvrir vos pices jointes, d'extraire les
fichiers du conteneur (moyennant la fourniture de sa cl d'accs, comme le mot de passe
dont vous avez pu convenir).
Il peut galement changer le contenu du conteneur (ajouter des fichiers, en retirer, etc.),
ce qui fait qu'il est mesure de vous rpondre, en vous retournant le mme conteneur
avec un contenu diffrent.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

26

Aperu des outils

d'administration
Ces outils permettent :

de fixer certains comportements de ZoneCentral et ses rgles d'utilisation ;

de grer des accs, des profils de zones chiffres, ou des listes d'accs prdfinies ;

d'effectuer des oprations "avances" sur des zones ou des espaces, notamment
des espaces partags sur des serveurs de fichiers ;

d'automatiser certaines oprations rptitives d'administration.

Ils permettent galement, une fois le produit assimil et pris en main par le chef de projet,
de dfinir un Plan de Scurit et de Dploiement et de grer son application.

Les Rgles de Scurit (policies) [gpedit]

Le comportement de ZoneCentral sur les postes utilisateur peut tre modul en fonction
de rgles dfinies dans des 'Policies' (au sens Windows du terme).
Les Policies sont des paramtres qui peuvent tre dfinis par machine ou par domaine.
Si vous disposez d'un contrleur de domaine supportant cette notion de Policies, alors il
est possible de dfinir de faon centralise ces paramtres, et chaque poste de travail
raccord ce domaine en hritera alors, avec un systme intgr de mise jour.
Si vous ne disposez pas d'un contrleur de domaine, le systme des Policies existe
toujours, mais il devient local chaque poste. Il y a plusieurs faons d'viter de configurer
chaque poste, soit
en "masterisant"
l'image de
ZoneCentral
installer, soit en
automatisant une
commande
ZoneCentral de
mise jour des
Policies.
Un raccourci est
disponible dans le
menu Dmarrer de
ZoneCentral pour
afficher l'Editeur de
Policies.
Les Policies sont
dcrites de faon
dtaille dans un
document spar.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

27

L'outil d'dition de profils de zone et de listes

d'accs [zcedit]
Cet outil permet l'administrateur de raliser de nombreuses oprations. Il peut
notamment intervenir directement sur une zone chiffre, sur son poste, sur un serveur de
fichier, ou sur un ordinateur d'utilisateur, pour la transchiffrer, modifier les accs, etc.
Il lui permet galement, et surtout, de dfinir des listes d'accs "prfabriques", parmi
lesquelles, par exemple :

les accs obligatoires (Security Officer, Recouvrement) ;

les listes de groupes d'utilisateurs pour les accs des ressources communes et
partages sur des serveurs de fichiers ;

ventuellement, s'il souhaite le grer lui-mme, les listes d'accs 'personnelles des
utilisateurs'.

Tout cela en fonction du schma de dploiement et d'utilisation retenu.

Un raccourci vers cet outil de "Gestion de zones chiffres" est disponible dans le menu
'Dmarrer'.

Parmi les notions importantes pour cet outil, on trouve les 'modles de zones chiffres'.
L'emploi de ces modles n'est pas obligatoire, car il est presque quivalent une liste
d'accs, en un peu plus complet. En effet, quand on chiffre un dossier en appliquant une
liste d'accs, un certain nombre de paramtres complmentaires sont pris dans les
Policies, alors que, dans le cas d'un modle de zone, ils sont pris dans ce modle (qui les
aura certainement obtenu, lui aussi, partir des Policies).
Dans les listes d'accs, on trouve galement quelques paramtres supplmentaires pour
les accs qu'elles contiennent :
ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

28

marquer un accs comme tant un accs de secours (recouvrement), ce qui le

distinguera des autres (et par dfaut, ZoneCentral ne permet d'ouvrir une zone avec
un tel accs, il faut au pralable l'autoriser en policy) ;

marquer un accs comme ayant un droit administratif sur la liste d'accs elle-mme
et toutes les zones laquelle la liste est rattache : ce droit est ncessaire pour
pouvoir chiffrer une zone avec cette liste, dchiffrer une zone, ou modifier les accs
d'une zone.

Note : dans le cas de 'liste d'accs personnelle', l'utilisateur dispose de ce droit.

La console d'administration en ligne de

commande [zcacmd]
Cet outil permet d'effectuer en ligne de commande toutes les oprations que permettent
les interfaces graphiques, et, dans certains cas, des oprations qui sont mme plus
complexes (notamment le 'forage' d'une zone en clair, qui n'existe pas sous forme
graphique).

Bien que prsent sous forme de lignes de commande, cet outil est trs instrument pour
faciliter sa prise en main. Il dispose d'un mode interactif intgr (il pose les questions sur
les paramtres dont il a besoin), d'un mode 'essai' (qui n'effectue pas l'opration, mais
qui, finalement, affiche la commande qui aurait pu tre passe pour qu'il n'y ait pas de
question), et il est instrument pour tre intgr dans des scripts d'automatisation.
A noter galement, l'outil [zcucmd.exe] qui permet d'ouvrir ou de fermer des zones
partir d'une ligne de commande.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

29

L'assistant graphique [zcapply]

C'est l'assistant de chiffrement, dchiffrement, etc. qui est activ, directement ou
indirectement chaque fois qu'une opration de transformation de zone est excuter.
Il est install sur tous les postes utilisateurs, ce n'est pas proprement parler un outil
d'administration, mais il peut tre activ via une commande d'administration de faon
indpendante.
Il peut prendre de nombreuses directives en paramtre de lancement, et il peut tre
utilis en tl-excution, ventuellement automatique (login scripts, commandes SMS,
etc.).
Il est possible de configurer une excution entirement automatique ou avec plus ou
moins de confirmations par l'utilisateur.
Ces paramtres peuvent tre affichs en tapant "ZCAPPLY /?".

Les journaux et vnements Windows

ZoneCentral met un certain nombre d'vnements dans les journaux de l'Observateur
d'Evnements Windows (Eventvwr). La liste de ces vnements est configurable dans
les policies.
D'autre part, lors de chaque opration de transformation d'une zone (chiffrement d'une
zone, dchiffrement, transchiffrement, modification des accs, etc.), ZoneCentral gnre
un fichier 'log' de l'opration avec les vnements rencontrs et les actions effectues.
L'emplacement de ce fichier peut tre spcifi en policies (ce qui peut tre pratique pour
l'obtenir sur un serveur).

Note concernant lhorodatage :

Lutilisateur doit vrifier rgulirement lhorloge du poste de travail afin dassurer la bonne
qualit de lhorodatage des vnements.

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

30

Oprations d'administration
importantes
Lire le "Manuel Technique de ZoneCentral"
Il est disponible sparment en tlchargement sur le site www.zonecentral.com.

Dfinir les emplacements des listes d'accs

Quand un utilisateur ouvre une zone chiffre ou un conteneur chiffr, ZoneCentral
examine la liste des accs mentionns dans la zone ou le conteneur.
Il peut s'agir d'accs dits "directs" ou encore "isols" (pas d'intermdiaire, toutes les
informations ncessaires sont prsentes pour ouvrir l'objet avec un mot de passe ou une
cl RSA), ou d'accs indirects ou encore "groups" qui passent par l'intermdiaire d'une
liste d'accs (un fichier .ZAF).

Ce dernier mode permet en particulier de concentrer/centraliser la gestion des accs,

en faisant en sorte, par exemple, que N zones chiffres rfrencent la mme liste
d'accs. Ainsi, en cas de modification, il peut tre plus simple de modifier la liste une
fois plutt que chaque emplacement chiffr. C'est d'ailleurs une facilit qu'il est possible
d'utiliser de faon assez riche, puisqu'il peut y avoir N listes d'accs par zone ou
conteneur, et que chaque liste d'accs peut elle-mme en rfrencer plusieurs autres
(exemple : PAUL, rfrenc dans MARKETING et dans DIRECTION, eux-mmes
rfrencs dans ENTREPRISE).

Les accs indirects ne sont mentionns que par leur nom et label, pas par l'emplacement
physique du fichier .ZAF (pour permettre de les changer d'emplacement facilement).
ZoneCentral doit donc effectuer une recherche de ces listes d'accs pour pouvoir
proposer/valider l'accs des utilisateurs.
Il utilise pour cela un emplacement principal et un cache. Le premier a toujours la
priorit : si la liste d'accs y est trouve, alors c'est celle-ci qui est prise en compte, et
une copie est faite dans le cache. Si elle n'est pas trouve, ZoneCentral utilise la copie
du cache s'il y en a une. Ce schma a t tabli pour permettre que l'emplacement
principal rside sur un partage rseau (un serveur de fichier), et que le cache serve pour
des portables dconnects du rseau.
Enfin, si ces deux solutions n'ont rien donn, la liste d'accs est recherche dans la zone
elle-mme ( la tte de la zone), puis dans les espaces 'Mes Documents\Profil
ZoneCentral" des profils utilisateur (l o rsident notamment les listes d'accs
'personnelles').
Dans le cas d'utilisation de listes d'accs pour des partages sur des serveurs, ou pour
des accs de secours/recouvrement, il est donc important de dfinir au pralable
l'emplacement principal des listes d'accs. C'est cet endroit qu'il faudra ensuite les
dposer une fois cres.
Pour cela, il faut dfinir la policy "Rgles spciales/avances - Emplacement des fichiers
listes d'accs".

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

31

Dfinir les accs de secours/recouvrement

Il est recommand de choisir des cls RSA pour ces accs, mais des mots de passe sont
galement possibles.
Pour les mettre en oeuvre, il faut dfinir la policy "Rgles spciales/avances - Accs
obligatoires". C'est une policy de type 'liste', ce qui signifie qu'il est possible de dfinir
plusieurs items.
Activer l'diteur de stratgie de groupe ("Rgles de Scurit" dans le menu Dmarrer) et
retrouver cette policy dans l'arbre. Demander le dtail et choisir de l'activer. C'est cet
endroit qu'il est possible de dfinir la liste. Seul le premier champ (nom de valeur) est
utilis, le second champ n'est pas utilis (il peut vous servir mettre un commentaire).
Il faut entrer un nom de fichier, qui peut tre soit un certificat, soit une liste d'accs (fichier
.ZAF). Il est possible de le rentrer avec son chemin complet, ou sans. Dans ce dernier
cas, le fichier sera recherch l'emplacement standard des listes d'accs (cf. paragraphe
prcdent).
Il est recommand d'utiliser un fichier .ZAF, fabriqu avec l'outil d'administration ZCEDIT.
Avec ce dernier, demandez la cration d'une nouvelle liste d'accs. Donnez lui un nom
significatif, comme "MANDATORY". Ajoutez le ou les certificats des accs de
secours/recouvrement que vous souhaitez, en fonction de votre organisation. Il est
galement possible de dfinir un accs de secours par mot de passe. Pour chacun de
ces accs, veillez positionner l'option "accs de recouvrement". Si, comme c'est
probable, l'un des accs sert galement l'administrateur de la scurit, choisir plutt
l'option "accs administratif".

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

32

Notes

ZoneCentral 3.1 Guide FR - PX81092 - Prim'X Technologies 2003 - 2008

33