Zed! 3.1 Guida IT (PX81104)

Transcript

Guida all’uso
Versione 3.1
Rif.: PX81104 [FR=PX81100]
Riproduzione e diritti
Copyright © Prim'X Technologies 2003 - 2008
Ogni riproduzione, anche parziale, del presente documento è vietata senza la preventiva
autorizzazione scritta della società Prim'X Technologies o di uno dei suoi rappresentanti
legali. Qualsiasi richiesta di pubblicazione dovrà essere corredata di un esemplare della
pubblicazione in oggetto. Prim'X Technologies si riserva il diritto di rifiutare qualsiasi
proposta senza necessità di giustificare la propria decisione.
Tutti i diritti riservati. L’utilizzo del software Zed! è soggetto ai termini e alle condizioni
dell’accordo di licenza concluso con l’utilizzatore o con il suo rappresentante legale.
Zed! è un marchio depositato da Prim'X TECHNOLOGIES.
Sede legale: 10 Place Charles Béraudier 69428 Lyon Cedex 03 France - Tel. : +33(0)426.68.70.02 - www.primx.eu
Direzione commerciale: 14 Avenue d'Eylau 75116 Paris - Tel. : 33(0)1.77.72.64.80 - Fax: 33(0)1.77.72.64.99 - [email protected]
Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008
1
Introduzione
Zed! è un prodotto molto semplice, che permette di creare dei contenitori di file cifrati
(e compressi) destinati sia all’archiviazione che allo scambio con corrispondenti, come file
allegati a messaggi di posta elettronica o su supporti diversi, come chiavi di memoria USB.
L’uso dei contenitori cifrati è molto intuitivo e del tutto simile all'uso delle “cartelle
compresse” di Windows XP.
La versione completa permette di definire le chiavi d’accesso a un contenitore cifrato, sia
sotto forma di password "di scambio", concordata con un corrispondente, sia sotto forma di
certificato RSA, estratto da dei file certificato o da una rubrica LDAP di certificati.
Ci sono diversi modi per usare i contenitori Zed!, ma il più frequente consiste nel preparare
in anticipo un contenitore per ogni destinatario, con le chiavi d'accesso pronte, per poi
riutilizzarlo in seguito, cambiando semplicemente i file in esso contenuti.
I diversi pacchetti
Zed! è disponibile in diversi pacchetti:

L'Edizione Standard, che contiene il prodotto completo;
L'Edizione Limitata, gratuita, di libero utilizzo e distribuzione, che permette di leggere i
contenuti dei contenitori e anche di modificarli, ma che non permette di crearne di
nuovi, né di modificare gli accessi (chiavi, password) stabiliti dal creatore originario del
contenitore. L'Edizione Limitata è disponibile in due formati:
Un formato installabile (fornito con programma di installazione) e integrato con
Esplora Risorse di Windows;
Un semplice eseguibile, facile da trasportare, che consente di non effettuare
l’installazione;
Infine, Zed! è anche incorporato nei vari prodotti della gamma ZoneCentral.
Installazione
È necessario disporre di sufficienti diritti sul computer per poter installare il prodotto
("amministratore" o "powered user").
Per installare il prodotto, eseguire il programma di installazione "Setup Zed!" che vi è
stato fornito. Questa installazione è standard e rapida.
2
Utilizzo
1 - Creare un contenitore:
Fare clic col tasto destro sullo sfondo di una cartella o del desktop, per far comparire il
menu [Nuovo],
[Nuovo] e selezionare [Contenitore cifrato]. Viene così creato un file con un nome
predefinito, che è possibile modificare. Il
contenitore è creato, ma non ancora inizializzato.
Questo avverrà automaticamente al momento della
sua apertura.
L'estensione dei contenitori cifrati è ".zed".
2 – Alla prima creazione di un contenitore
All’apertura del contenitore appena creato, un Assistente comparirà per aiutarvi a scegliere
la vostra chiave di accesso personale. Questa chiave sarà poi automaticamente
integrata in ogni contenitore cifrato che verrà creato in seguito. La chiave sarà necessaria
per aprire i contenitori.
La chiave personale può essere:

Una password a vostra scelta;
Una chiave crittografica RSA, associata a un certificato, che può essere contenuta in
diversi "portachiavi":
Un file di chiavi (solitamente .pfx o .p12), protetto da password;
Una smart card o un dispositivo USB, di tipo RSA (il programma supporta la
maggior parte dei marchi in commercio), che rispetti lo standard PKCS#11;
Un contenitore di chiavi accessibile con l’interfaccia CRYPTOAPI di Windows,
immagazzinabile sia nel vostro profilo utente Windows che nel profilo “Utente”
(nel quale si trovano anche le smart card e i dispositivi USB RSA).
Nota: il software Zed! non genera chiavi RSA né certificati. Se si desidera utilizzare chiavi
di questo tipo, è necessario servirsi di una PKI (infrastruttura di certificati) aziendale,
pubblica o commerciale.
Varianti: l'amministratore potrebbe aver configurato le politiche di sicurezza del prodotto
per modificarne il comportamento in questa fase:

Potrebbe aver impedito alcune funzioni (ad esempio vietando le password);
Potrebbe avere imposto un livello di sicurezza minimo alle password;
Nel caso di chiavi RSA, potrebbe aver stabilito alcune regole sui certificati e le chiavi
utilizzabili;
Potrebbe inoltre aver imposto una serie di chiavi RSA predefinite all’interno del dominio
Windows e averle pubblicate sul vostro controller di dominio: in tal caso non potrete
scegliere voi la chiave, sarà necessario fornire quella che vi è stata assegnata (e
conservata altrove, o che utilizzate già da tempo per altri scopi).
3
Nella prima fase, dopo la schermata di benvenuto, si deve quindi scegliere un tipo di chiave
d’accesso (in questo caso, una password).
Nella schermata seguente si deve scegliere un nome utente. Come opzione predefinita, il
prodotto vi proporrà il vostro nome utente Windows, ma è possibile modificarlo. Questo
nome servirà in seguito alla vostra "identificazione" nei vari accessi previsti in un
contenitore. Quando lo vedrete comparire, saprete che è necessario inserire la propria
password.
Î è una buona pratica utilizzare il proprio indirizzo email.
Dopodiché è necessario scegliere una password personale, che dovrete inserire due
volte, per assicurarvi di digitarla correttamente. Durante il primo inserimento, il
contrassegno resta rosso finché la vostra password non è sufficientemente "sicura".
Durante il secondo inserimento, il contrassegno resta arancio finché non commettete
errori, diviene verde se l’inserimento è identico al precedente e rosso se commettete un
errore.
Per aumentare la "sicurezza" della vostra password è buona norma variare i caratteri:
minuscole, maiuscole, cifre, segni di punteggiatura. Rendendo più "ampia" la gamma dei
valori possibili per uno stesso carattere, aumentate la sicurezza. Altrimenti, dovrete
compensare con la lunghezza della password. È una questione di equilibrio fra "password
corta ma complessa" e "password lunga ma semplice".
Nota: l'amministratore potrebbe aver
imposto un determinato livello di
sicurezza. Per default, la configurazione
vi obbliga a inserire una password di
sicurezza ragionevole, leggermente al di
sopra della media.
4
Confermate e l’operazione è terminata.
Non dovrà più essere ripetuta in seguito.
L'operazione per le chiavi RSA è molto simile: sarete invitati, a seconda dei casi, a
scegliere un file di chiavi o a introdurre la vostra smart card o dispositivo USB oppure a
scegliere il vostro certificato; dovrete poi fornire il codice d’accesso (del file, della carta, ...)
e confermare. Se vi sono più chiavi disponibili, il prodotto le esamina, elimina quelle non
utilizzabili nel suo contesto e vi propone la scelta.
Al termine di questa operazione, il contenitore di cui avete richiesto l’apertura si aprirà.
3 - Aprire un contenitore:
È sufficiente fare doppio clic sopra l’icona o servirsi del menu contestuale [apri].
[apri] Il
contenitore si apre, mostrando i file che contiene.
Lo stile e l’ergonomia di questa "pseudo-cartella" sono molti simili a quelli delle cartelle
compresse (.zip) di Windows XP. Sono autorizzate tutte le normali operazioni eseguibili sui
file (trascinare-spostare, copiare-incollare, rinominare, eliminare, ecc.). Tuttavia, qualora
una di queste operazioni comporti la codifica o decodifica di un file, vi sarà richiesta la
chiave d’accesso (vedere più avanti).
5
4- Alla prima operazione su un file del contenitore,
...vi sarà richiesta una chiave d’accesso. Potrà trattarsi di una password convenuta con la
persona che vi ha inviato il contenitore (qui "Romegio Ballasso"), di una chiave RSA che
conservate in un file di chiavi (.pfx), o di una smart card memorizzata nel contenitore
crittografico di Windows (CSP).
Selezionate l’icona corrispondente al vostro tipo di chiave d’accesso. La prima raffigura le
password, la seconda i file di
chiavi (.pfx) e la terza le smart
card. Negli ultimi due casi dovrete
inserire il codice segreto
associato.
La chiave d’accesso inserita viene
in seguito conservata in memoria
per un certo periodo di tempo.
In caso di necessità, vi sarà
nuovamente richiesta per una
nuova operazione.
Note:
Nel caso in cui la vostra chiave d’accesso sia contenuta in un contenitore Windows CSP e
possa effettivamente aprire il contenitore, questa finestra d’accesso non comparirà.
L’apertura può avvenire in maniera automatica, senza richiesta, oppure con la comparsa
della finestra del CSP (ciò dipende dagli eventuali dispositivi CSP aggiuntivi installati sul
vostro pc);
Il software Zed! è programmato per riconoscere a livello standard un certo numero di carte
di memoria RSA (o dispositivi USB), in particolare quelle delle società ActivCard, Aladdin,
Rainbow, Axalto e GemPlus. Se la vostra carta non rientra nella lista, si tratta di un tipo
non preconfigurato. In tal caso, è possibile contattare il servizio tecnico che vi indicherà la
procedura necessaria a configurare la vostra carta (se è compatibile).
6
5 – Aprire un file del contenitore
Questa operazione richiede una chiave d’accesso, se non è già stata fornita in precedenza.
È sufficiente selezionare il file e farvi doppio clic sopra, oppure far comparire il menu
contestuale (clic con tasto destro) e selezionare [apri].
[apri] Il file viene quindi estratto,
decifrato e decompresso, poi copiato in un file temporaneo. Dopodiché l’applicazione che
solitamente gestisce questo tipo di file nel vostro computer viene attivata e lo apre.
Se all’interno dei file temporanei esiste già un file con lo stesso nome, vi verrà richiesto se
desiderate sovrascriverlo oppure no.
6 - Estrarre dei file dal contenitore
L’estrazione consiste nel decifrare, decomprimere e riporre in un luogo prescelto il o i file
selezionati.
Esistono diversi modi per eseguire tale operazione:

Fare una [copia] dei file del contenitore, seguita da un [incolla] nella posizione in cui
volete che i file siano depositati (sul desktop, in un’altra cartella, ecc. È inoltre
possibile utilizzare le combinazioni di tasti [Ctrl-C/Ctrl-V],
[Ctrl-C/Ctrl-V] oppure [taglia/incolla])
[taglia/incolla] ;
Fare un [trascina/sposta] dei file selezionati nel contenitore verso il luogo in cui volete
che siano depositati;
Selezionare [Estrai] dal menu contestuale al file del contenitore: in questo caso, una
finestra comparirà per permettervi di selezionare la destinazione;
Selezionare [Estrai tutto] dal menu contestuale facendo clic sullo sfondo del
contenitore: in questo caso, una finestra comparirà per permettervi di selezionare la
destinazione e TUTTI i file verranno quindi estratti.
Se esistono già uno o più file con lo stesso nome nel luogo di destinazione, comparirà una
finestra che vi chiederà conferma della sovrascrittura.
7 – Rinominare i file nel contenitore
Questa operazione è possibile e non richiede chiave d’accesso. Fare [clic lento] sul file o
utilizzare il tasto standard [F2],
[F2] oppure ancora il menu contestuale [Rinomina] e indicare il
nuovo nome (che deve rispettare i soliti vincoli sui nomi dei file).
8 - Eliminare dei file dal contenitore
Questa operazione è possibile e non richiede chiave d’accesso. Premere il tasto [Canc] o il
selezionare [Elimina] dal menu contestuale ai file selezionati.
Attenzione, i file eliminati da un contenitore non finiscono nel cestino.
9 – Aggiungere dei file a un contenitore
L’aggiunta consiste nel copiare il file di input, comprimerne il contenuto e cifrarlo nel
contenitore.
Esistono diversi modi per eseguire tale operazione:

Fare una [copia] dei file di input, seguita da un [incolla] nel contenitore
(è anche possibile utilizzare le combinazioni di tasti [Ctrl-C/Ctrl-V],
[Ctrl-C/Ctrl-V] così come il
[taglia/incolla])
[taglia/incolla] ;
Fare un [trascina/sposta] dei file di input verso il contenitore;
Selezionare [Aggiungi…]dal
menu contestuale facendo clic sullo sfondo del contenitore:
[Aggiungi…]
in questo caso comparirà una finestra che vi permetterà di selezionare i file di input.
7
Non è possibile effettuare questa operazione su una cartella o su una selezione
comprendente una cartella.
10 - Modificare le chiavi d'accesso al contenitore
Una volta creato, un contenitore contiene sempre il vostro accesso personale, con la vostra
chiave personale.
Nota: se il contenitore è stato creato da altri e vi è stato poi inviato, potrebbe non
contenere la vostra chiave personale. Ad esempio se utilizzate una chiave RSA, il
vostro corrispondente avrà usato il vostro certificato, e non la vostra chiave. Se
invece utilizzate una password, sarà più probabile che ne abbiate concordata una fra
di voi, possibilmente diversa dalla vostra password abituale (a meno di non aver
voluto convenire esattamente quella).
Il contenitore può anche contenere altre chiavi d'accesso, di tipo RSA, che vengono
imposte dall'amministratore nella configurazione del prodotto.
Se desiderate che un contenitore funga da "valigia diplomatica" di scambio con una o più
persone, dovrete prima concordare una modalità d'accesso "segreta" con esse. Se il vostro
corrispondente dispone di una chiave RSA e del relativo certificato, potete utilizzare
direttamente tale certificato. Altrimenti, potete concordare una password con il
corrispondente.
Per accedere alla gestione degli accessi, potete:

Utilizzare il menu contestuale sul file contenitore stesso (clic destro sul file, opzione
[Accessi];
[Accessi]
Aprire il contenitore e fare clic destro sullo sfondo della finestra, opzione [Accessi].
[Accessi]
La finestra che appare mostra gli accessi esistenti e
permette di aggiungerne o rimuoverne. Quando si
tratta di accessi effettuati con chiavi RSA/Certificato,
potete consultare il certificato.
Notare che l'icona differisce a seconda del tipo di
accesso e che il contrassegno suggerisce
informazioni aggiuntive.
11 – Rimuovere un accesso
A partire dalla finestra precedente, basta selezionare l'acceso e fare clic sul tasto [Rimuovi]
oppure selezionare [Elimina] dal menu contestuale. Dopo aver confermato l'operazione,
l'accesso viene rimosso dalla finestra.
Dopo aver concluso tutte le modifiche sugli accessi, potete utilizzare il tasto [Applica] per
renderle operative, oppure il tasto [OK] (che chiuderà inoltre la finestra).
Si noti che quando gli accessi sono stati modificati, ma non ancora registrati, il titolo della
lista ("Accessi") viene fatto seguire da un asterisco ("Accessi*").
8
12 – Modificare una password
Sempre a partire dalla finestra degli accessi,
selezionare un accesso di tipo password utilizzando il
menu contestuale [Cambia password].
Come per qualsiasi creazione
di password, sarà necessario
inserirla due volte per verifica
e rispettare i limiti di
sicurezza.
Nota: se non ricordate la vecchia password, potete eliminare questo accesso e crearne uno
nuovo, con lo stesso nome ma con una nuova password. Perderete così qualche
informazione relativa alla gestione (la data originale di creazione dell'accesso).
13 – Aggiungere un accesso di tipo password
A partire dalla finestra degli
accessi, fare clic sul tasto
[Aggiungi]. Compare una finestra
con più schede, di cui la prima si
chiama [Password destinatario].
Selezionatela, poi:

Scegliete un nome per questo
accesso. Il nome può
dipendere dal modo in cui sarà
utilizzato l'accesso. Se si tratta
di una convenzione privata con
un'altra persona, potete
semplicemente inserire il suo
indirizzo email. Se si tratta di
un accesso che sarà utilizzato da più persone, potete inserire il nome di un gruppo di
lavoro.
Questa informazione è libera, ma deve essere chiara, perché apparirà in seguito nella
domanda di chiave quando si accede al contenuto del contenitore;
Digitate la password concordata o sceglietene una nuova, che trasmetterete in seguito
al/ai destinatario/i, tramite canale secondario.
Come per qualsiasi creazione di password, sarà necessario inserirla due volte per verifica e
rispettare i limiti di sicurezza.
14 – Aggiungere un accesso di tipo certificato RSA
A partire dalla stessa finestra, selezionare la scheda [Certificati destinatario] o la scheda
[Rubrica]. L'utilizzo della rubrica viene descritto nel paragrafo seguente.
A livello locale, sul vostro computer, potrete trovare i certificati nei:

File di certificati. Esistono vari formati standard, la maggior parte dei quali è
supportata dal programma (file con estensioni .cer, p.7b, ecc.). Se i vostri
corrispondenti vi inviano il loro certificato sotto forma di file, li salverete normalmente
9

in una cartella dove potrete poi ritrovarli, selezionarne più d'uno, visionare i certificati
che contengono e scegliere quello che vi interessa;
Contenitori di certificati gestiti dal vostro sistema Windows, che è semplicemente un
altro modo per salvarli in una destinazione dove poterli poi recuperare. Potete gestirli
inoltre con Internet Explorer, dal menu [Strumenti],
[Strumenti] [Opzioni Internet],
Internet] scheda
[Contenuto],
[Contenuto] tasto [Certificati]. Ecco perché, facendo clic sul tasto con l'icona di
Internet Explorer, nella finestra compaiono i certificati disponibili in questo contenitore.
I certificati sono verificati in tempo
reale in questa finestra. A seconda
del risultato, presenteranno
un'icona diversa.
L'icona "clessidra" indica che la
verifica è in corso. Questo
procedimento a volte può
richiedere tempo, ad esempio se è
necessario scaricare delle liste di
revoca (CRL).
ÎSe volete conoscere il motivo di uno status di verifica potete visualizzare le informazioni.
ÎNotate inoltre la presenza di menu contestuali ai certificati e allo sfondo della lista, che
permettono:
-
di visualizzare un certificato;
di ripetere una verifica su un certificato;
di selezionare o deselezionare tutto e richiedere che i certificati vengano selezionati
o deselezionati di default quando vengono visualizzati (se sono utilizzabili).
15 – Utilizzo di una rubrica di certificati
Alcune aziende mettono a disposizione delle rubriche (chiamate "rubriche LDAP") che
permettono di trovare certificati di persone a partire dal loro nome o da un indirizzo email.
Questo servizio viene spesso offerto anche da organismi di certificazione pubblica o
commerciale.
La ricerca si effettua fornendo l'indirizzo della rubrica e il nome, parziale o completo, che si
desidera trovare. Naturalmente è necessaria la disponibilità di connessione con la rubrica
prescelta.
Se il vostro computer fa parte di un dominio Windows, che spesso contiene una rubrica
LDAP, il suo indirizzo verrà individuato e proposto. Questo procedimento è possibile solo se
si possiede una PKI (infrastruttura di certificati) e se i certificati sono pubblicati al suo
interno.
Un esempio di server liberamente
accessibile è
"directory.verisign.com", potete
provare con dei nominativi
americani come "parker" o
"johnson".
In questa finestra, i menu
contestuali presentano le stesse
opzioni che nella precedente.
10
Amministrazione
Il software è progettato per un uso aziendale. È compatibile con le logistiche più diffuse,
che permettono ad esempio:

L'installazione a distanza (tramite i GPO dei server Windows o grazie a prodotti
specializzati, come SMS, Tivoli, ecc.);
La configurazione delle opzioni con le "policy" (GPO) locali o con dei domini, con dei
controller di dominio Windows o Novell;
L'uso di PKI di qualsiasi marca, dei servizi collegati come LDAP e della politica interna
in materia di gestione delle chiavi (password, chiavi RSA, tipi di portachiavi, marche di
smart card, ecc.).
È sfruttabile sia in ambienti semplici e autonomi (portatili isolati, piccoli uffici) che in
ambienti con una logistica più ampia.
All'interno di un ambiente amministrato, le tappe consistono nel:

Capire i diversi parametri delle politiche di sicurezza (GPO) e, se necessario, definire
su carta i loro valori;
Stabilire il modo in cui tali politiche saranno gestite: tramite il o i controller di dominio
/ foresta, opzione consigliata in un ambiente che disponga di una simile logistica,
oppure localmente dalle postazioni (policy locali). In quest'ultimo caso, potete optare
per la creazione di una copia dal master del software, affinché le policy vengano
trasmesse col pacchetto di installazione, indipendentemente dal tipo di installazione
scelto;
Stabilire la modalità di diffusione del software: come verrà installato e da chi?
11
Configurazione (policy/GPO)
Si presuppone la conoscenza del sistema di GPO di Windows e non verrà pertanto illustrato
in questa sede. Ricordiamo soltanto che, in locale, è accessibile da [gpedit.msc] per le
policy locali, su un server Windows è accessibile da [ActiveDirectory Utenti e Computer]
(proprietà di un dominio o di una unità organizzativa) o ancora da [gpmc.msc] (solo su
alcuni server).
Il modello amministrativo delle policy si chiama [zed_policies_fra.adm] in francese e
[zed_policies_enu.adm] in l'inglese e si trova nella cartella [Windows/Inf].
[Windows/Inf] Per utilizzarlo
sul controller di dominio è sufficiente copiarlo nella stessa cartella sul server. Sarà
necessario caricarlo con lo strumento usato ([GPEDIT]
[GPEDIT], [GPMSC],
[GPMSC] …) nei "modelli
amministrativi" (menu contestuale [aggiungi/elimina modelli]).
modelli]
Tutte le policy del prodotto si trovano nella rubrica [Configurazione Computer].
Computer]
Ogni policy è associata a un numero e a un testo di aiuto. Per configurare una policy, fare
doppio clic su di essa.

Policy attiva: l'azione della policy è attiva. Questa azione può essere un divieto o
un'autorizzazione. A volte, può essere associato un valore. Quando una policy è attiva
a un certo livello nella gerarchia foresta/dominio/unità organizzativa di una rete
Windows, non può essere modificata a un livello inferiore e dunque nemmeno dalle
postazioni (policy locali);
Policy disattivata: l'azione della policy non è attiva, è come se non fosse configurata.
Questa modalità ha senso solo su un controller di dominio (o dominio, foresta, unità
organizzativa), poiché serve a impedire che un livello gerarchico inferiore riesca ad
attivarla;
Policy non configurata: l'azione della policy non è attiva. Dentro una gerarchia
foresta/dominio/unità organizzativa di una rete Windows essa può tuttavia venire
modificata (attivata o disattivata) a un livello inferiore.
12
P050 – Identificazione delle policy
Î Valore di tipo testo – Contenuto libero
Questa policy non influisce in alcun modo sul software, il suo contenuto è libero. Potrebbe
trattarsi di un commento, di un numero di versione, ... Vi permette di identificare l'"insieme
delle policy" e successivamente, dalle postazioni, di consultare tale informazione per
identificare facilmente al primo colpo una versione di configurazione.
P102 – Vietare gli accessi con password
Î Valore di tipo Sì/No. Valore di default: No (non vietati, quindi autorizzati).
Permette di vietare gli accessi di tipo "password" ai contenitori cifrati. Attivando tale policy
si impedirà all'utente di:

Scegliere una password come chiave personale (durante l'inizializzazione);
Aggiungere degli accessi di tipo password ai contenitori;
Aprire un contenitore con un accesso di tipo password, anche se il contenitore ne
contiene.
Il tasto-icona [password] (il primo verticalmente) non sarà visualizzato nelle schermate in
cui viene richiesta la chiave d'accesso . Allo stesso modo, la scheda [password destinatario]
non apparirà più nella finestra per l'aggiunta di nuovi accessi.
Casi di utilizzo: la politica interna è di non usare accessi di tipo password, neanche per i
contenitori cifrati. Una simile politica non viene attuata spesso, poiché le password sono
molto pratiche per gli scambi con utenti esterni, anche quando esistono delle PKI.
Vedere anche: P107/P108
P107 P108 per la sicurezza imposta alle password.
Vedere anche: P103/104
105 per autorizzare e vietare gli altri tipi di accesso.
P103 104/105
P103 - Vietare l'uso di file di chiavi PKCS#12
Permette di vietare l'apertura dei contenitori tramite chiavi d'accesso di tipo 'chiave RSA'
contenute nei portachiavi "file" di formato PKCS#12 (che hanno solitamente l'estensione
.p12 o .pfx).
.pfx
La conseguenza diretta di tale politica è che il tasto-icona [file di chiavi] (il secondo
verticalmente) non sarà visualizzato nelle schermate in cui viene richiesta la chiave
d'accesso .
Casi di utilizzo: la politica interna è di non usare file di chiavi o di non usare chiavi RSA
(mancanza di PKI). In quest'ultimo caso, configurare anche P104 e P105.
P105
P102 104/105
P104 - Vietare l'uso di smart card/dispositivi PKCS#11
Permette di vietare l'apertura dei contenitori tramite chiavi d'accesso di tipo 'chiave RSA'
contenute in portachiavi PKCS#11 (smart card, dispositivi USB).
Attenzione, questa politica vieta di fatto l'uso dell'interfaccia PKCS#11 per attivare tali
chiavi e portachiavi. Essi potrebbero essere comunque accessibili attraverso un'altra
interfaccia (CSP). Per vietarli completamente, sarà necessario attivare anche la policyP105
P105.
Casi di utilizzo: la politica interna è di non servirsi di carte o dispositivi, oppure interfacce
PKCS#11 per utilizzare portachiavi di smart card o dispositivi USB.
13
Zed! riconosce la maggior parte delle librerie PKCS#11 in commercio. Tuttavia, i nomi di
tali librerie potrebbero cambiare con la messa in vendita di nuove versioni. La policy P296
permette di estendere (o di personalizzare) questa lista.
Le regole di gestione dei 'middleware' PKCS#11 variano a seconda dei produttori.
Quando si utilizzano carte o dispositivi RSA, la scelta fra l'interfaccia PKCS#11 e l'interfaccia
CSP è innanzitutto ergonomica. Non si tratta di una scelta di sicurezza, poiché in ogni caso la
chiave RSA resta memorizzata nella carta e i calcoli annessi vengono effettuati dalla carta
stessa. La maggior parte dei fabbricanti di carte/dispositivi fornisce entrambe le
implementazioni.
In modalità PKCS#11, la finestra di apertura di Zed! compare sempre.
In modalità CSP, compare invece la finestra del produttore.
Il 'single-login' completo con lo SmartCardLogin di Windows è solitamente possibile unicamente
in modalità CSP. Alcuni produttori, tuttavia, sono in grado di riutilizzare il contesto d'apertura
CSP/SmartCardLogin per estenderlo alle applicazioni PKCS#11.
Limitazione nota: alcuni produttori supportano solo la chiave RSA contenuta nella
carta/dispositivo cifrato di chiavi simmetriche (DES, AES, ...) di lunghezza superiore ai 128
bit. In questo caso, è necessario configurare la policy P290 per limitare la dimensione delle
chiavi simmetriche utilizzate da Zed!.
Vedere anche: P296 per modificare la lista dei PKCS#11 utilizzati.
P102 103/105
P105 - Vietare l'uso di contenitori CSP
Permette di vietare l'apertura dei contenitori tramite dispositivi di chiavi CSP (Microsoft
CryptoAPI). Questi contenitori CSP possono essere di tipo standard Windows oppure
prodotti da terzi (la maggior parte dei fabbricanti di carte e dispositivi RSA propone un runtime CSP).
Casi di utilizzo: la politica è di non usare interfacce CSP (nemmeno di terzi).
Note:

L’uso di contenitori CSP, se autorizzato, è prioritario su tutti gli altri tipi di accesso:
infatti questo standard richiede che sia il CSP stesso ad eseguire le interfacce grafiche
di convalida d'uso delle chiavi (conferma, richiesta di codice, ecc.). Per evitare di dover
convalidare prima la finestra di apertura di Zed!, poi quella del CSP, viene visualizzata
prima la finestra del CSP;
Un CSP viene richiamato solo se possiede una soluzione di chiave (certificato e chiave
privata RSA) accettabile per la destinazione da aprire (contenitore). A seconda
dell'implementazione, il loro comportamento può variare. Ad esempio, alcuni possono
visualizzare la richiesta di introdurre la carta limitatamente alla chiave richiesta, altri
possono accettare qualsiasi carta introdotta;
Utilizzo con lo SmartCardLogin di Windows: per alcuni middleware 'CSP', l'apertura
della carta/dispositivo all'avvio della sessione Windows 'vale' per tutte le applicazioni
della sessione Windows aperta. In tal caso, l'apertura di un contenitore sarà
automatica e trasparente, poiché è disponibile una soluzione di chiave già aperta.
P102 103/105
14
P107/P108 - Livello di sicurezza richiesto per le password
ÎValore numerico per la "sicurezza" (valore di default: 40) e scelta possibile fra '1', '2' o
'3' per la complessità (valore di default: 2).
La sicurezza (P107
P107) di una password è valutata in base a vari criteri, fra cui la lunghezza, il
numero di famiglie di caratteri usate e la ripetizione di uno stesso carattere (lista non
esaustiva). Inoltre, la complessità (P108
P108) rappresenta la frequenza di passaggio da una
famiglia di caratteri a un'altra. Una password corta ma complessa può avere un livello di
sicurezza equivalente a quello di una password più lunga ma meno complessa.
Il valore di default 40 rappresenta un compromesso fra la difficoltà dell'inserimento e la
sicurezza della password. Aumentare la complessità richiesta permette di diminuire la
lunghezza obbligatoria per la password, ma l'utente dovrà allora inserire caratteri non
"comuni". Diminuire la complessità non comporta tale obbligo, ma costringe a scegliere
password più lunghe.
Tale policy si applica per:

la scelta iniziale della propria password;
qualsiasi aggiunta di accesso di tipo "password" in un contenitore;
qualsiasi modifica di password per un accesso di tipo "password" esistente in un
contenitore.
Casi di utilizzo: in funzione della politica interna.
Le modifiche a tali valori non hanno effetto retroattivo sulle password già configurate.
Vedere anche: P102 per autorizzare o vietare gli accessi con password.
P129 – Uso del certificato personale in Active Directory
Î Valore di tipo numerico (0=disattivato, 1=se possibile, 2=obbligatorio).
Valore di default: 0 (disattivato).
Tale opzione è possibile solo con chiavi d'accesso RSA (necessaria la presenza di una PKI).
Quando la sua attivazione è possibile, tale modalità si rivela molto pratica e semplifica
notevolmente il compito dell'amministratore e dell'utente. Permette infatti di determinare
semplicemente, senza ambiguità e senza porre domande, quale chiave l'utente dovrà
presentare per creare i suoi contenitori cifrati.
Per questo è necessario che la PKI pubblichi i certificati degli utenti nei loro profili Active
Directory, nel campo riservato e previsto per tale scopo ([UserCert]
[UserCert]). Qualunque tipo di
PKI è valida per tale scopo, purché effettui tale pubblicazione.
Si noti che ciò non comporta che il server LDAP di certificati (se ne esiste uno) sia Active
Directory, potrebbe anche trattarsi di un altro tipo di server LDAP.
Semplicemente, tramite Active Directory è più semplice creare una correlazione
(mappatura) fra l'utente (del dominio) corrente, il suo profilo Active Directory e il
certificato della sua chiave di cifratura.
Sul server Active Directory, lanciando [Utenti e Computer Active Directory],
Directory] è possibile
richiedere i dettagli delle proprietà di un utente. È necessario aver prima richiesto la
visualizzazione "avanzata" (Menu [Visualizza] della MMC).
MMC Comparirà quindi una scheda
[Certificati pubblicati],
pubblicati] che corrisponde al campo che Zed! interrogherà quando viene
configurata tale policy.
Quando la PKI effettua tale pubblicazione, solitamente si constata che il campo contiene un
certo numero di certificati. Sono rare le PKI che rimuovono i certificati scaduti, revocati,
ecc. Inoltre, tutte le PKI utilizzano lo stesso campo (multi-valore) per pubblicare tutti i
certificati di uno stesso utente (autentificazione, firma, cifratura...). Questo non è un
problema per Zed!, che effettua una selezione: elimina i certificati che non sono relativi
alla cifratura, quelli scaduti e quelli revocati. Se dopo la scrematura vi sono più certificati
validi, sceglierà il più recente (secondo la data di inizio validità).
15
Quando si tratterà di determinare la chiave dell'utente, durante la procedura iniziale,
quest'ultimo non potrà effettuare una scelta ma dovrà presentare IL portachiavi
corrispondente (file, carta).
Se il valore di questa policy indica 'obbligatorio', allora l'utente dovrà obbligatoriamente
presentare la chiave corrispondente al certificato pubblicato (o annullare). Se non vi sono
certificati pubblicati, l'operazione richiesta sarà rifiutata.
Si noti che questo comporta che durante la procedura di inizializzazione l'utente sia
associato al proprio dominio (solo in questo preciso momento). Altrimenti sarà necessario
aspettare di esserlo per poter effettuare l'operazione (che è stata rifiutata). Ciò implica
inoltre che l'utente disponga effettivamente di una chiave e di un certificato, e che
quest'ultimo sia obbligatoriamente pubblicato in Active Directory.
Se il valore indica "se possibile", il certificato verrà utilizzato (e imposto) nel caso in cui
venga trovato in Active Directory; l'utente dovrà inoltre fornire la chiave corrispondente.
Altrimenti, se non è possibile raggiungere Active Directory o se non vi sono certificati
pubblicati, comparirà l'Assistente iniziale e l'utente potrà scegliere autonomamente la
chiave che utilizza.
Casi d'utilizzo: attivare tale policy se la PKI pubblica i certificati in Active Directory
(consigliato).
P131 – Accessi obbligatori
Î Valore di tipo LISTA. L'"identificativo" deve contenere un nome di file (con il percorso
d'accesso) e il "valore" deve contenere l'espressione "hash=XX YY ZZ…", dove XX YY ZZ…
contiene l'impronta numerica SHA1 del file prescelto.
È possibile definire tanti file nella lista quanti si desidera. Questi file devono essere file
certificati (.cer, codifica Base64 o binaria) Non è possibile definire accessi obbligatori
tramite password.
Attenzione, spesso capita di commettere errori nell'inserimento del percorso d'accesso al
file. Gli accessi di rete sono possibili (e spesso utilizzati); è necessario metterli sotto la
forma UNC (\\Server\Condivisione).
(\\Server\Condivisione Se è stata definita una destinazione locale, sarà
necessario assicurarsi che i file si trovino in tale luogo, altrimenti la creazione dei
contenitori sarà rifiutata.
Tale policy è molto importante. Essa permette di stabilire un metodo di recupero e di
fare in modo che esso venga attivato automaticamente nei contenitori cifrati.
Se questa policy rileva un file che non è possibile trovare o che non corrisponde
all'impronta fornita, l'azione dell'utente sarà rifiutata.
Per ottenere l'impronta del file, il metodo più sicuro è servirsi del comando "zedcmd
zedcmd
showhash".
showhash Si sconsiglia di visualizzare il contenuto del certificato e di servirsi dell'impronta
calcolata dal visualizzatore di certificati Windows, non perché questa sia sbagliata, ma
perché il metodo di calcolo non dipende dal file certificato o dal suo formato, ma dal valore
del certificato stesso. Però Zed! richiede l'impronta del file. Ci saranno differenze a seconda
della codifica del file (Base64, ecc.).
Casi di utilizzo: quasi sistematico e fra le prime azioni da compiere. Il solo caso in cui tale
policy può essere ignorata è quando la PKI sequestra i valori delle chiavi degli utenti.
Vedere anche lo strumento [zedcmd],
[zedcmd] che permette di calcolare un'impronta su un file
(comando [showhash])
[showhash] e di creare una copia da master del software per "iniettare" il o i
file certificato nel programma d'installazione affinché vengano diffusi a livello locale
(comando [master]).
[master]
16
P141 – Certificati radice autorizzati
ÎValore di tipo LISTA. L'"identificativo" contiene una descrizione libera ('My root' ad
esempio) e il 'valore' deve contenere l'espressione "sha1=XX YY ZZ…", dove XX YY ZZ…
contiene l'impronta numerica SHA1 del certificato prescelto.
Questa policy permette di limitare le chiavi RSA utilizzabili dagli utenti. Si applica
unicamente alla selezione iniziale della chiave e non alle aggiunte di accesso tramite
certificato.
Lo scopo di tale policy è evitare che degli utenti sfruttino chiavi RSA create da loro stessi
con mezzi diversi (Internet, strumento scaricabile, chiave personale, ecc.) e garantire che
usino esclusivamente chiavi provenienti dalla PKI ufficiale. Il rischio sarebbe che gli utenti
cifrino con "qualsiasi cosa".
Questa policy è estremamente importante in un caso specifico: quando la politica è di non
applicare chiavi di recupero (aggiunta sistematica di una chiave 'della casa' a qualsiasi
destinazione cifrata) (cf.
f. P131)
P131 perché la PKI sequestra le chiavi RSA di cifratura degli
utenti. In questo caso, molto evidentemente, è importante che le chiavi utilizzabili siano
limitate alle sole chiavi sequestrate, altrimenti la funzione di recupero non sarebbe
assicurata.
È qui possibile definire diversi certificati, che potrebbero anche non essere radici ma
autorità intermedie (se non addirittura certificati finali!). Occorre tuttavia fare attenzione:
questa policy non fornisce i certificati stessi, che devono quindi essere disponibili
nell'ambiente PKI (contenitori locali, LDAP, supporti dei portachiavi).
Nominare qui un certificato [di autorità] autorizzato non significa che i controlli dei
certificati si fermino a quel livello. Ad esempio, se un certificato di autorità intermedia viene
nominato, ciò significa che si ha il diritto di utilizzare i certificati da essa emessi, a
condizione che siano validi e che anche quello dell'autorità stessa lo sia.
Casi di utilizzo: indispensabile se la PKI sequestra le chiavi degli utenti; per gli altri casi, è
comunque sempre utile specificare questa policy.
P142/P143 – Autorizzare l'uso al di fuori delle date di validità (e
proroghe)
Î Valore di tipo Sì/No. Valore di default: No (controllo completo).
Î Per la proroga, valore numerico (in giorni). Minimo: 0, Massimo: 365
Valore di default: 90 giorni
Questa policy P142 permette di continuare a usare un certificato (in realtà, la chiave
dell'utente) per un certo periodo di tempo oltre la sua scadenza. La policy P143 permette di
definire tale proroga.
Effettivamente capita spesso che, nonostante vari richiami all'ordine, alcuni utenti non
effettuino la procedura richiesta dalla PKI per rinnovare i propri certificati o le proprie
chiavi. In questo caso, si ritrovano bloccati e nell'impossibilità di aprire i propri contenitori.
Questa policy permette loro di ottenere una proroga supplementare: durante questo lasso
di tempo, Zed! accetterà l'apertura dei contenitori con la chiave e il certificato scaduti.
Questa policy si applica alla selezione della chiave iniziale, all'apertura dei contenitori con
chiave e ai certificati di terzi aggiunti a un contenitore.
Quando la proroga scade o quando questa policy non è configurata, l'apertura viene
rifiutata con un apposito messaggio.
Casi d'utilizzo: libero.
17
P146 – Allentare il controllo d'uso della chiave
Î Valore di tipo Sì/No. Valore di default: No (controllo completo).
Normalmente, il software Zed!, in quanto applicazione di cifratura, rifiuta l'uso di chiavi
associate a un certificato che non autorizzi esplicitamente la cifratura ('KeyUsage' intesa
come X509).
Questa policy permette di allentare tale controllo e di utilizzare una chiave e un certificato
per cifratura, indipendentemente dalla limitazione imposta dal certificato.
Questa policy si applica alla selezione della chiave iniziale, all'apertura dei contenitori con
chiave e ai certificati di terzi aggiunti a un contenitore.
Casi d'utilizzo: rari. Questa policy deve venire applicata solo temporaneamente quando non
vi sono alternative (parco certificati esistenti che non abbia previsto l'uso di cifrature).
P147 – 'Extended key usages' autorizzati
Î Valore di tipo LISTA. L'"identificativo" deve contenere l'OID (Object Identifier
normalizzato) dell'uso (esempio: 1.3.6.1.5.5.7.3.4 per la posta elettronica sicura), essendo
il 'valore' stesso libero (è possibile inserire un commento o una descrizione più esplicita).
Questa policy si applica in un ambiente in cui gli utenti dispongono di molteplici chiavi
(certificati) di cifratura e si desidera suddividerne gli usi (cifratura di email, di file, di
rete…). Essa permette inoltre di specificare per Zed! il o i tipi di certificato che l'utente può
selezionare evitando così degli errori.
Questa policy si applica esclusivamente alla selezione della chiave iniziale, non si applica ai
certificati terzi aggiunti a un contenitore.
Casi d'utilizzo: esistono più chiavi di cifratura per utente.
P195 – Server LDAP predefiniti
ÎValore di tipo LISTA. L'"identificativo" corrisponde a un commento (libero), il 'valore'
contiene la definizione tecnica del server LDAP.
Questa policy permette di preconfigurare il o i server LDAP disponibili per gli utenti quando
questi ultimi aggiungono accessi a contenitori cifrati, interrogando le rubriche LDAP per
reperire i certificati.
Nota: la configurazione LDAP di default permette generalmente di rivolgersi a server
comuni come ADSI o a rubriche pubbliche. Con tale configurazione l'utente potrà sempre
fornire un "host-name" per utilizzare tali server.
La configurazione tecnica si presenta come segue:
Label=label;Name=dnsaddress;Port=portno;SSL=y/n;BaseDN=baseDN;CertAttr=
attributeAddAttr=additional attributes;Filter=filter
Ogni coppia Item=Valore è separata dalle altre da un punto e virgola. Se un valore deve
contenere un punto e virgola, allora è necessario anteporre un backslash
(ad esempio: userCertificate\;binary).
userCertificate\;binary
Se un campo è vuoto, mettere campo=;campo seguente.
seguente

Label designa un nome libero, che appare all'utente.
Nam
e designa l'indirizzo DNS del server LDAP (ad esempio: myldapserver.primx.eu).
Name
Port designa il numero di porta LDAP del server (solitamente 389).
Il campo SSL indica se la comunicazione deve venire effettuata in SSL oppure no. Il
prodotto non supporta SSL con autentificazione del client tramite certificato. Valore y
per sì e n per no.
Il campo BaseDN è il Distinguished Name della base di ricerche. Consultare
l'amministratore del server per conoscere il valore, se richiesto (spesso, i server
accettano che non venga specificato).
18

Il campo CertAttr designa il nome dell'attributo, inteso come LDAP, contenente il
certificato. Solitamente si tratta di userCertificate\;binary.
userCertificate\;binary
Il campo AddAttr designa attributi complementari che verranno richiesti, per
visualizzazione dell'utente. Se ve ne sono molteplici, sarà necessario separarli con
virgole. Esempio: cn,email (nome comune e indirizzo di posta).
Il campo Filter è molto importante e designa il filtro della ricerca richiesta. Questo
campo rispetta le varie norme RFC in materia e può permettere sintassi molto
complesse. Solitamente il valore (cn\=*%USER%*) è sufficiente. Esso indica che la
ricerca va effettuata fra le voci della rubrica il cui nome comune (Common Name)
contiene il criterio inserito dall'utente, rappresentato dalla parola chiave %USER%.
%USER%
Î Ecco la configurazione di default usata dal prodotto, nel momento in cui si sceglie un
indirizzo dalla rubrica "myldapserver.primx.eu":
Label=;Name=myldapserver.primx.eu;Port=389;SSL=n;BaseDN=;CertAttr=userC
ertificate\;binary;AddAttr=cn;Filter=(cn\=*%USER%*)
Casi d'utilizzo: quando la configurazione tecnica di default usata non funziona, oppure per
stabilire in anticipo una lista di rubriche preconfigurate per gli utenti.
P290/P291 – Algoritmo crittografico usato per cifrare i contenitori
Î Scelte possibili: AES, DES o RC2, con lunghezze di chiave di 128, 192 o 256 bit. Valore
di default: AES 256 bit.
Questa policy indica l'algoritmo di cifratura da utilizzare e la lunghezza di chiave associata
per i contenitori.
Non tutte le combinazioni di algoritmi e di lunghezze di chiave sono valide. L'AES
(Advanced Encryption Standard) utilizza solo chiavi da 128, 192 o 256 bit. Il DES (Data
Encryption Standard) utilizza chiavi da 128 o 192 bit (di cui soltanto 112 o 168 bit utili),
l'RC2 utilizza chiavi da 128, 192 o 256 bit.
P296 – Carte e dispositivi supportati/autorizzati (PKCS#11)
Î Valore di tipo LISTA "lista di nomi/valori". L' "identificativo" corrisponde al nome
pubblicato dal driver, il "valore" non viene utilizzato e può servire ad aggiungere un
commento.
Questa politica permette d'indicare un'estensione PKCS#11 (o molteplici) non supportata di
default e quindi di utilizzare un diverso modello di smart card o dispositivo USB.
Di default, Zed! cerca alcune versioni delle estensioni PKCS#11 dei produttori ActivCard,
Aladdin, Axalto, GemPlus, Rainbow.
È necessario indicare il nome del modulo PKCS#11 del fornitore (nome di DLL), senza il
percorso d'accesso se tale modulo è installato in un registro standard di sistema, oppure
con il percorso d'accesso.
Il fatto che un'estensione PKCS#11 sia dichiarata ma non sia presente nella postazione non
viene considerato un errore. Semplicemente, essa non è operativa. Questo permette inoltre
di predefinire vari "fornitori" esterni, siano essi installati o meno.
Casi d'utilizzo: uso di estensioni PKCS#11 specifiche.
19
Lo strumento zedcmd
Questo strumento a linea di comando si trova nella cartella di installazione del software.
Esso offre alcune funzionalità utili all'amministratore:

Mostrare la versione del sistema (about
about)
Visualizzare le policy, così come vengono "viste" e risolte durante l'applicazione (cosa
che a volte può differire dai parametri, quando ad esempio dei nuovi valori non sono
ancora stati scaricati dal server) (showpolicies
showpolicies)
Modificare le policy locali (modifypolicies
modifypolicies)
Esportare le policy locali in un file di testo (exportpolicies
exportpolicies)
Importare una serie di policy da un file di testo (importpolicies
importpolicies)
transform)
Applicare un "transform" di lingua a un pacchetto d'installazione .msi (transform
Copiare da master (preparare) un pacchetto d'installazione (master
master)
Questo strumento si usa come un qualsiasi programma a linea di comando.
Î Per visualizzare la linea dei comandi disponibili, digitare zedcmd /?.
/?
Î Per visualizzare la guida di un comando specifico, digitare zedcmd comando /?.
/?
20
Installazione e copia da master
Lingue
Lingua installata e lingua di funzionamento
Il software è disponibile in inglese e in francese, ed è compatibile "MUI", ovvero tutte le
lingue vi sono installate e le interfacce del prodotto verranno visualizzate nella lingua
dell'utente ('UI language') e non nella lingua della macchina in uso.
Su sistemi 2000 o XP di base, la lingua dell'utente è sempre quella della macchina in uso,
senza differenze, ma su sistemi XP "MUI" (Multiple User Interface), ogni utente può
disporre della propria lingua. Le interfacce grafiche del sistema e dei software (compatibili
MUI) vengono quindi visualizzate nella propria lingua.
Lingua dell'installazione
Bisogna distinguere fra la lingua in cui il software lavora per l'utente e la lingua del
programma di installazione stesso (quella delle eventuali schermate).

Se il programma d'installazione è il pacchetto "setup.exe
setup.exe", allora questo programma
individuerà la lingua locale ed eseguirà l'installazione in tale lingua. Anche su sistemi
MUI, è al momento una limitazione del sistema di installazione. Siccome
Zed! è compatibile MUI, l'unica differenza è che ciò che viene installato è multilingue.
La limitazione riguarda soltanto la lingua delle schermate di installazione.
Se il programma d'installazione è un pacchetto ".msi
.msi", allora si tratta di un
monolingue. È una limitazione anche di Windows Installer, ma il contenuto da
installare resta sempre un MUI. È possibile modificare la lingua del pacchetto
applicando un "transform" di lingua.
Applicare un "transform" di lingua
Questa operazione è necessaria quando si imposta un'installazione a partire da un
pacchetto ".msi
.msi".
La maggior parte degli strumenti di teleinstallazione (GPO, SMS, ecc.) permette di
applicare direttamente un transform nel corso dell'installazione. In questo caso, è
sufficiente configurarlo in questo strumento. Se invece il transform da effettuare è soltanto
un "transform di lingua", è inutile nel caso in cui l'installazione prevista sia completamente
muta: inutile tradurre schermate che non visualizzano nulla!
L'esecuzione di un transform è un'operazione standard che può essere eseguita con un
gran numero di strumenti, gratuiti o a pagamento, disponibili sul mercato. Affinché tale
operazione sia immediatamente disponibile, è stata integrata nel programma
"zedcmd.exe
zedcmd.exe":
zedcmd.exe transform <file msi> -t <file .mst>
Il modo in cui si possono ottenere il pacchetto .msi e il transform .mst è descritto al
paragrafo seguente.
21
Pacchetti
Package Setup Zed! […].exe
Il pacchetto standard viene fornito sotto forma di programma "Setup
Setup Zed!exe"
Zed!exe (il nome
può variare a seconda della versione).
Questo programma è un eseguibile che avvia le seguenti operazioni:

Determinazione della lingua della macchina in uso;
Estrazione del pacchetto .msi e dei transform di lingua .mst in esso contenuti
Questi due file vengono poi salvati in una destinazione prestabilita, indicata in seguito;
Il .msi standard estratto è in inglese: se la lingua locale è diversa, avvierà
automaticamente il transform di lingua per eseguire l'installazione nella lingua della
macchina in uso;
Viene eseguita l'installazione del risultato.
Package Zed! […].msi
Per ottenere questo pacchetto è sufficiente eseguire una volta l'installazione a partire dal
setup […].exe.
[…].exe
Il pacchetto .msi e i transform di lingua .mst,
.mst si troveranno in seguito sotto
Windows\DownloadedInstallations.
Windows\DownloadedInstallations
Questa cartella presenta una sottocartella per ogni prodotto installato (e utilizzante questa
tecnologia). Sfortunatamente, i nomi di queste cartelle non sono molto... semplici. Sono in
realtà i "Package Codes" (GUID) delle versioni dei prodotti.
Come riconoscere quello di Zed!?

Il suo nome è sempre sotto la forma {xxxxxxxx-xxxx-6CA8-8868-36F59DEFD14D},
{xxxxxxxx-xxxx-6CA8-8868-36F59DEFD14D}
le xxx possono variare e contenere il numero di build e di versione.
All'interno della cartella, il file .msi è sempre chiamato Zed! […].msi,
[…].msi […] e può
contenere il numero di build (generazione) della versione.
All'interno della stessa cartella, troverete inoltre il transform della lingua, sotto il nome
1040.mst o più raramente 1033.mst.
1033.mst Il numero 1040 designa con un codice internazionale
la lingua italiano e 1033 la lingua inglese. 1040.mst è quindi il file che permette di
"tradurre" il programma d'installazione .msi in italiano, essendo quest'ultimo sempre in
inglese.
Installazione
Uso di "Setup Zed!. exe"
Il programma Setup.exe si usa come la maggior parte dei programmi di questo tipo in
commercio. Contiene ed esegue un file Microsoft Installer "Zed!.msi
Zed!.msi", ed eventualmente
effettua un "transform" di lingua se la lingua desiderata per l'installazione è il italiano.
Î Per passare dalle direttive di tipo "MSIEXEC
MSIEXEC" al programma "SETUP
SETUP", utilizzare la
sintassi seguente:
Setup xxx.exe /V"instructions msiexec"
Î Per indurre l'esecuzione in una determinata lingua, usare l'argomento /L1040 (italiano),
o /L1033 (inglese)
Setup xxx.exe /L1040
Î La versione "amministrata/installazione in rete" può essere preparata con la direttiva /A
e, opzionalmente, con la cartella di destinazione:
22
Setup xxx.exe /A [TARGETDIR=…]
Fare tuttavia attenzione, questo modello nasconde alcune insidie. Il file .msi che viene
estratto e messo a disposizione, contiene soltanto la procedura d'installazione senza i file
dei programmi poiché, per definizione, sono contenuti nella cartella di destinazione che,
immediatamente, deve essere disponibile per realizzare delle installazioni sulla postazione
di destinazione.
Inoltre, anche se i file contenuti nella cartella sono multilingue, la procedura di installazione
(zed!.msi
zed!.msi) è sempre in inglese, lingua di default del prodotto. Questo ANCHE qualora
venisse specificata un'altra lingua al momento dell'esecuzione del comando setup /a :
questa lingua riguarderà solo il comando stesso e non il suo risultato.
Per ottenere un setup "amministrato" (installazione in rete) in italiano, è dunque
necessario applicare il "transform di lingua", come spiegato sopra, sul file zed!.msi
estratto. Questo è importante, poiché non riguarda solo la lingua di installazione (che può
non avere importanza per un'installazione muta), ma anche alcuni testi installati in seguito
sulle postazioni utente (solitamente gli elementi del menu Start).
Utilizzo di "Zed!.msi"
Come descritto nei paragrafi precedenti, questo file può presentarsi in due forme:

Completo, con i file dei programmi, se è stato recuperato dopo una prima installazione
in
Windows\Downloaded Installations\{xxxxxxxx-xxxx-6CA8-8868-36F59DEFD14D}

Parziale, contenente unicamente la procedura d'installazione, se è ottenuto in seguito
a una preparazione per 'Installazione in rete' (setup.exe
setup.exe /A o msiexec /A su un file
completo).
In entrambi i casi sarà in inglese e per trasformarlo in italiano si dovrà seguire la procedura
indicata precedentemente.
Questo file .msi si utilizza come tutti i file di questo tipo, con MSIEXEC e gli strumenti di
distribuzione.
Opzioni specifiche di installazione

Il numero di serie o qualsiasi altro strumento di controllo della licenza non vengono
richiesti;
La cartella di destinazione dell'installazione di default è <Program Files>\PrimX\Zed!;
Files>\PrimX\Zed!
La proprietà TARGETDIR può venire specificata nella linea di comando
dell'installazione, per cambiare la seguente opzione:
Msiexec /i zed!.msi TARGETDIR=C:\Zed! o
Setup zed!.exe /V"TARGETDIR=C:\Zed!"

È possibile effettuare l'installazione muta /qn[+] /qb[+];
La proprietà ZC_HIDELICENCEPAGE=1 permette di non visualizzare la pagina della
licenza;
La proprietà ZC_POLICIES=<nome del file> permette d'installare delle policy sulla
postazione di destinazione. Il file delle policy deve essere disponibile al momento
dell'installazione e deve essere stato preparato con il comando zedcmd exportpolicies.
exportpolicies
Alcune di queste opzioni possono essere specificate in anticipo attraverso la copia da
master.
23
Copia da master
Non è possibile copiare un programma setup.exe da master, ma solo un file .msi che sarà
stato estratto e localizzato (lingua) come indicato precedentemente.
La copia da master permette di raggruppare alcune opzioni all'interno dell'.msi
.msi (quindi in
anticipo) e non all'esterno (linea di comando) al momento dell'esecuzione dell'installazione:
zedcmd.exe master zed!.msi [opzioni]
Il programma ZEDCMD.EXE è installato con il prodotto. Il "preparatore" può quindi servirsi
di tale strumento con una prima installazione isolata.
Le opzioni possibili sono:

Specificare un file logo, che viene inserito nelle finestre d'apertura del contenitore.
Questo file deve essere in formato BMP WINDOWS e deve avere una dimensione di
398 * 60 per un inserimento totale, e minore o uguale a 314*56 (consigliato: 150*50)
per un inserimento parziale. Il file specificato sarà aggiunto nella procedura zed!.msi e
installato sulle posizioni di destinazione;
Specificare un file delle policy da applicare automaticamente sulle postazioni di
destinazione; questo file viene aggiunto nella procedura zed!.msi e deve essere stato
preparato con il comando zedcmd exportpolicies ;
Specificare un certificato da inserire come "accesso obbligatorio" (supplementare) a
ogni contenitore cifrato. Per essere effettivamente operativo, questo file deve essere
incluso nelle policy (P131
P131). Questa opzione può esservi utile solo se avete scelto di non
indicare in questa policy un percorso per la condivisione di rete ed è dunque necessario
installare localmente tale file;
Non visualizzare la pagina della licenza.
Casi di policy
Il responsabile della sicurezza "prepara" le policy che desidera veder applicate su una
postazione isolata. Per fare questo si serve dello strumento standard Windows
GPEDIT.msc.
GPEDIT.msc
In seguito, utilizza il seguente comando:
zedcmd.exe exportpolicies –f <file policy.ini>
È proprio questo file che dovrà venire applicato alle postazioni di destinazione, tramite
masterizzazione oppure mediante direttive al momento dell'installazione.
Attenzione:

Se le postazioni di destinazione sono membri di un dominio Windows, non è questo il
metodo migliore: è più semplice ed efficace utilizzare la logistica standard di gestione
delle policy che viene offerta. Sarà quindi sufficiente configurarle sul controller di
dominio (o il dominio, o la foresta); in questo modo le postazioni le erediteranno
automaticamente;
Se una postazione di destinazione fa parte di un dominio, ma l'installazione viene
eseguita in un momento in cui essa non è collegata al dominio stesso, le policy copiate
da master o trasferite in direttiva non verranno installate poiché Windows le rifiuterà.
Quindi, riassumendo:

Se le postazioni di destinazione non sono collegate a un dominio, l'unica soluzione per
installare delle policy preconfigurate è copiarle da master;
Se le postazioni di destinazione fanno parte di un dominio, si potrà passare attraverso
il dominio senza copiare da master le policy, oppure assicurarsi che le postazioni siano
connesse al momento dell'installazione (cosa che avviene ad esempio con la
teleinstallazione).
24
Aggiornamenti
L'installazione di Zed! rileva e gestisce le versioni anteriori eventualmente installate.
L'operazione è sempre un "major upgrade", che consiste - una sola volta - nel disinstallare
e reinstallare, senza perdere tuttavia le policy installate e le preferenze dell'utente.
Tuttavia, se l'installazione è stata copiata da master, converrà copiarla nuovamente da
master prima della diffusione di una nuova versione.
In linea di condotta generale, e salvo esplicita indicazione contraria, non vi sono mai
operazioni particolari "di migrazione o di mantenimento di compatibilità" durante
l'installazione di una versione più recente.
Disinstallazione
La disinstallazione completa del prodotto:

Cancella le policy esistenti sulla postazione, se possibile (cioè a meno che la postazione
non appartenga a un dominio);
Non elimina le preferenze utente in Registry (poiché è difficile se non impossibile
enumerare tutti i profili esistiti);
NON DECIFRA (e non cerca di decifrare) i contenitori esistenti.
Per non disinstallare le policy (in vista di un'ulteriore reinstallazione), è possibile specificare
la proprietà ZC_KEEP_POLICIES=1 nella disinstallazione (con msiexec.exe).
msiexec.exe
25
Note
26