Zed! 3.1 Guida IT (PX81104)
Transcript
Zed! 3.1 Guida IT (PX81104)
Guida all’uso Versione 3.1 Rif.: PX81104 [FR=PX81100] Riproduzione e diritti Copyright © Prim'X Technologies 2003 - 2008 Ogni riproduzione, anche parziale, del presente documento è vietata senza la preventiva autorizzazione scritta della società Prim'X Technologies o di uno dei suoi rappresentanti legali. Qualsiasi richiesta di pubblicazione dovrà essere corredata di un esemplare della pubblicazione in oggetto. Prim'X Technologies si riserva il diritto di rifiutare qualsiasi proposta senza necessità di giustificare la propria decisione. Tutti i diritti riservati. L’utilizzo del software Zed! è soggetto ai termini e alle condizioni dell’accordo di licenza concluso con l’utilizzatore o con il suo rappresentante legale. Zed! è un marchio depositato da Prim'X TECHNOLOGIES. Sede legale: 10 Place Charles Béraudier 69428 Lyon Cedex 03 France - Tel. : +33(0)426.68.70.02 - www.primx.eu Direzione commerciale: 14 Avenue d'Eylau 75116 Paris - Tel. : 33(0)1.77.72.64.80 - Fax: 33(0)1.77.72.64.99 - [email protected] Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 1 Introduzione Zed! è un prodotto molto semplice, che permette di creare dei contenitori di file cifrati (e compressi) destinati sia all’archiviazione che allo scambio con corrispondenti, come file allegati a messaggi di posta elettronica o su supporti diversi, come chiavi di memoria USB. L’uso dei contenitori cifrati è molto intuitivo e del tutto simile all'uso delle “cartelle compresse” di Windows XP. La versione completa permette di definire le chiavi d’accesso a un contenitore cifrato, sia sotto forma di password "di scambio", concordata con un corrispondente, sia sotto forma di certificato RSA, estratto da dei file certificato o da una rubrica LDAP di certificati. Ci sono diversi modi per usare i contenitori Zed!, ma il più frequente consiste nel preparare in anticipo un contenitore per ogni destinatario, con le chiavi d'accesso pronte, per poi riutilizzarlo in seguito, cambiando semplicemente i file in esso contenuti. I diversi pacchetti Zed! è disponibile in diversi pacchetti: L'Edizione Standard, che contiene il prodotto completo; L'Edizione Limitata, gratuita, di libero utilizzo e distribuzione, che permette di leggere i contenuti dei contenitori e anche di modificarli, ma che non permette di crearne di nuovi, né di modificare gli accessi (chiavi, password) stabiliti dal creatore originario del contenitore. L'Edizione Limitata è disponibile in due formati: Un formato installabile (fornito con programma di installazione) e integrato con Esplora Risorse di Windows; Un semplice eseguibile, facile da trasportare, che consente di non effettuare l’installazione; Infine, Zed! è anche incorporato nei vari prodotti della gamma ZoneCentral. Installazione È necessario disporre di sufficienti diritti sul computer per poter installare il prodotto ("amministratore" o "powered user"). Per installare il prodotto, eseguire il programma di installazione "Setup Zed!" che vi è stato fornito. Questa installazione è standard e rapida. Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 2 Utilizzo 1 - Creare un contenitore: Fare clic col tasto destro sullo sfondo di una cartella o del desktop, per far comparire il menu [Nuovo], [Nuovo] e selezionare [Contenitore cifrato]. Viene così creato un file con un nome predefinito, che è possibile modificare. Il contenitore è creato, ma non ancora inizializzato. Questo avverrà automaticamente al momento della sua apertura. L'estensione dei contenitori cifrati è ".zed". 2 – Alla prima creazione di un contenitore All’apertura del contenitore appena creato, un Assistente comparirà per aiutarvi a scegliere la vostra chiave di accesso personale. Questa chiave sarà poi automaticamente integrata in ogni contenitore cifrato che verrà creato in seguito. La chiave sarà necessaria per aprire i contenitori. La chiave personale può essere: Una password a vostra scelta; Una chiave crittografica RSA, associata a un certificato, che può essere contenuta in diversi "portachiavi": Un file di chiavi (solitamente .pfx o .p12), protetto da password; Una smart card o un dispositivo USB, di tipo RSA (il programma supporta la maggior parte dei marchi in commercio), che rispetti lo standard PKCS#11; Un contenitore di chiavi accessibile con l’interfaccia CRYPTOAPI di Windows, immagazzinabile sia nel vostro profilo utente Windows che nel profilo “Utente” (nel quale si trovano anche le smart card e i dispositivi USB RSA). Nota: il software Zed! non genera chiavi RSA né certificati. Se si desidera utilizzare chiavi di questo tipo, è necessario servirsi di una PKI (infrastruttura di certificati) aziendale, pubblica o commerciale. Varianti: l'amministratore potrebbe aver configurato le politiche di sicurezza del prodotto per modificarne il comportamento in questa fase: Potrebbe aver impedito alcune funzioni (ad esempio vietando le password); Potrebbe avere imposto un livello di sicurezza minimo alle password; Nel caso di chiavi RSA, potrebbe aver stabilito alcune regole sui certificati e le chiavi utilizzabili; Potrebbe inoltre aver imposto una serie di chiavi RSA predefinite all’interno del dominio Windows e averle pubblicate sul vostro controller di dominio: in tal caso non potrete scegliere voi la chiave, sarà necessario fornire quella che vi è stata assegnata (e conservata altrove, o che utilizzate già da tempo per altri scopi). Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 3 Nella prima fase, dopo la schermata di benvenuto, si deve quindi scegliere un tipo di chiave d’accesso (in questo caso, una password). Nella schermata seguente si deve scegliere un nome utente. Come opzione predefinita, il prodotto vi proporrà il vostro nome utente Windows, ma è possibile modificarlo. Questo nome servirà in seguito alla vostra "identificazione" nei vari accessi previsti in un contenitore. Quando lo vedrete comparire, saprete che è necessario inserire la propria password. Î è una buona pratica utilizzare il proprio indirizzo email. Dopodiché è necessario scegliere una password personale, che dovrete inserire due volte, per assicurarvi di digitarla correttamente. Durante il primo inserimento, il contrassegno resta rosso finché la vostra password non è sufficientemente "sicura". Durante il secondo inserimento, il contrassegno resta arancio finché non commettete errori, diviene verde se l’inserimento è identico al precedente e rosso se commettete un errore. Per aumentare la "sicurezza" della vostra password è buona norma variare i caratteri: minuscole, maiuscole, cifre, segni di punteggiatura. Rendendo più "ampia" la gamma dei valori possibili per uno stesso carattere, aumentate la sicurezza. Altrimenti, dovrete compensare con la lunghezza della password. È una questione di equilibrio fra "password corta ma complessa" e "password lunga ma semplice". Nota: l'amministratore potrebbe aver imposto un determinato livello di sicurezza. Per default, la configurazione vi obbliga a inserire una password di sicurezza ragionevole, leggermente al di sopra della media. Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 4 Confermate e l’operazione è terminata. Non dovrà più essere ripetuta in seguito. L'operazione per le chiavi RSA è molto simile: sarete invitati, a seconda dei casi, a scegliere un file di chiavi o a introdurre la vostra smart card o dispositivo USB oppure a scegliere il vostro certificato; dovrete poi fornire il codice d’accesso (del file, della carta, ...) e confermare. Se vi sono più chiavi disponibili, il prodotto le esamina, elimina quelle non utilizzabili nel suo contesto e vi propone la scelta. Al termine di questa operazione, il contenitore di cui avete richiesto l’apertura si aprirà. 3 - Aprire un contenitore: È sufficiente fare doppio clic sopra l’icona o servirsi del menu contestuale [apri]. [apri] Il contenitore si apre, mostrando i file che contiene. Lo stile e l’ergonomia di questa "pseudo-cartella" sono molti simili a quelli delle cartelle compresse (.zip) di Windows XP. Sono autorizzate tutte le normali operazioni eseguibili sui file (trascinare-spostare, copiare-incollare, rinominare, eliminare, ecc.). Tuttavia, qualora una di queste operazioni comporti la codifica o decodifica di un file, vi sarà richiesta la chiave d’accesso (vedere più avanti). Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 5 4- Alla prima operazione su un file del contenitore, ...vi sarà richiesta una chiave d’accesso. Potrà trattarsi di una password convenuta con la persona che vi ha inviato il contenitore (qui "Romegio Ballasso"), di una chiave RSA che conservate in un file di chiavi (.pfx), o di una smart card memorizzata nel contenitore crittografico di Windows (CSP). Selezionate l’icona corrispondente al vostro tipo di chiave d’accesso. La prima raffigura le password, la seconda i file di chiavi (.pfx) e la terza le smart card. Negli ultimi due casi dovrete inserire il codice segreto associato. La chiave d’accesso inserita viene in seguito conservata in memoria per un certo periodo di tempo. In caso di necessità, vi sarà nuovamente richiesta per una nuova operazione. Note: Nel caso in cui la vostra chiave d’accesso sia contenuta in un contenitore Windows CSP e possa effettivamente aprire il contenitore, questa finestra d’accesso non comparirà. L’apertura può avvenire in maniera automatica, senza richiesta, oppure con la comparsa della finestra del CSP (ciò dipende dagli eventuali dispositivi CSP aggiuntivi installati sul vostro pc); Il software Zed! è programmato per riconoscere a livello standard un certo numero di carte di memoria RSA (o dispositivi USB), in particolare quelle delle società ActivCard, Aladdin, Rainbow, Axalto e GemPlus. Se la vostra carta non rientra nella lista, si tratta di un tipo non preconfigurato. In tal caso, è possibile contattare il servizio tecnico che vi indicherà la procedura necessaria a configurare la vostra carta (se è compatibile). Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 6 5 – Aprire un file del contenitore Questa operazione richiede una chiave d’accesso, se non è già stata fornita in precedenza. È sufficiente selezionare il file e farvi doppio clic sopra, oppure far comparire il menu contestuale (clic con tasto destro) e selezionare [apri]. [apri] Il file viene quindi estratto, decifrato e decompresso, poi copiato in un file temporaneo. Dopodiché l’applicazione che solitamente gestisce questo tipo di file nel vostro computer viene attivata e lo apre. Se all’interno dei file temporanei esiste già un file con lo stesso nome, vi verrà richiesto se desiderate sovrascriverlo oppure no. 6 - Estrarre dei file dal contenitore Questa operazione richiede una chiave d’accesso, se non è già stata fornita in precedenza. L’estrazione consiste nel decifrare, decomprimere e riporre in un luogo prescelto il o i file selezionati. Esistono diversi modi per eseguire tale operazione: Fare una [copia] dei file del contenitore, seguita da un [incolla] nella posizione in cui volete che i file siano depositati (sul desktop, in un’altra cartella, ecc. È inoltre possibile utilizzare le combinazioni di tasti [Ctrl-C/Ctrl-V], [Ctrl-C/Ctrl-V] oppure [taglia/incolla]) [taglia/incolla] ; Fare un [trascina/sposta] dei file selezionati nel contenitore verso il luogo in cui volete che siano depositati; Selezionare [Estrai] dal menu contestuale al file del contenitore: in questo caso, una finestra comparirà per permettervi di selezionare la destinazione; Selezionare [Estrai tutto] dal menu contestuale facendo clic sullo sfondo del contenitore: in questo caso, una finestra comparirà per permettervi di selezionare la destinazione e TUTTI i file verranno quindi estratti. Se esistono già uno o più file con lo stesso nome nel luogo di destinazione, comparirà una finestra che vi chiederà conferma della sovrascrittura. 7 – Rinominare i file nel contenitore Questa operazione è possibile e non richiede chiave d’accesso. Fare [clic lento] sul file o utilizzare il tasto standard [F2], [F2] oppure ancora il menu contestuale [Rinomina] e indicare il nuovo nome (che deve rispettare i soliti vincoli sui nomi dei file). 8 - Eliminare dei file dal contenitore Questa operazione è possibile e non richiede chiave d’accesso. Premere il tasto [Canc] o il selezionare [Elimina] dal menu contestuale ai file selezionati. Attenzione, i file eliminati da un contenitore non finiscono nel cestino. 9 – Aggiungere dei file a un contenitore Questa operazione richiede una chiave d’accesso, se non è già stata fornita in precedenza. L’aggiunta consiste nel copiare il file di input, comprimerne il contenuto e cifrarlo nel contenitore. Esistono diversi modi per eseguire tale operazione: Fare una [copia] dei file di input, seguita da un [incolla] nel contenitore (è anche possibile utilizzare le combinazioni di tasti [Ctrl-C/Ctrl-V], [Ctrl-C/Ctrl-V] così come il [taglia/incolla]) [taglia/incolla] ; Fare un [trascina/sposta] dei file di input verso il contenitore; Selezionare [Aggiungi…]dal menu contestuale facendo clic sullo sfondo del contenitore: [Aggiungi…] in questo caso comparirà una finestra che vi permetterà di selezionare i file di input. Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 7 Non è possibile effettuare questa operazione su una cartella o su una selezione comprendente una cartella. 10 - Modificare le chiavi d'accesso al contenitore Una volta creato, un contenitore contiene sempre il vostro accesso personale, con la vostra chiave personale. Nota: se il contenitore è stato creato da altri e vi è stato poi inviato, potrebbe non contenere la vostra chiave personale. Ad esempio se utilizzate una chiave RSA, il vostro corrispondente avrà usato il vostro certificato, e non la vostra chiave. Se invece utilizzate una password, sarà più probabile che ne abbiate concordata una fra di voi, possibilmente diversa dalla vostra password abituale (a meno di non aver voluto convenire esattamente quella). Il contenitore può anche contenere altre chiavi d'accesso, di tipo RSA, che vengono imposte dall'amministratore nella configurazione del prodotto. Se desiderate che un contenitore funga da "valigia diplomatica" di scambio con una o più persone, dovrete prima concordare una modalità d'accesso "segreta" con esse. Se il vostro corrispondente dispone di una chiave RSA e del relativo certificato, potete utilizzare direttamente tale certificato. Altrimenti, potete concordare una password con il corrispondente. Per accedere alla gestione degli accessi, potete: Utilizzare il menu contestuale sul file contenitore stesso (clic destro sul file, opzione [Accessi]; [Accessi] Aprire il contenitore e fare clic destro sullo sfondo della finestra, opzione [Accessi]. [Accessi] La finestra che appare mostra gli accessi esistenti e permette di aggiungerne o rimuoverne. Quando si tratta di accessi effettuati con chiavi RSA/Certificato, potete consultare il certificato. Notare che l'icona differisce a seconda del tipo di accesso e che il contrassegno suggerisce informazioni aggiuntive. 11 – Rimuovere un accesso A partire dalla finestra precedente, basta selezionare l'acceso e fare clic sul tasto [Rimuovi] oppure selezionare [Elimina] dal menu contestuale. Dopo aver confermato l'operazione, l'accesso viene rimosso dalla finestra. Dopo aver concluso tutte le modifiche sugli accessi, potete utilizzare il tasto [Applica] per renderle operative, oppure il tasto [OK] (che chiuderà inoltre la finestra). Si noti che quando gli accessi sono stati modificati, ma non ancora registrati, il titolo della lista ("Accessi") viene fatto seguire da un asterisco ("Accessi*"). Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 8 12 – Modificare una password Sempre a partire dalla finestra degli accessi, selezionare un accesso di tipo password utilizzando il menu contestuale [Cambia password]. Come per qualsiasi creazione di password, sarà necessario inserirla due volte per verifica e rispettare i limiti di sicurezza. Nota: se non ricordate la vecchia password, potete eliminare questo accesso e crearne uno nuovo, con lo stesso nome ma con una nuova password. Perderete così qualche informazione relativa alla gestione (la data originale di creazione dell'accesso). 13 – Aggiungere un accesso di tipo password A partire dalla finestra degli accessi, fare clic sul tasto [Aggiungi]. Compare una finestra con più schede, di cui la prima si chiama [Password destinatario]. Selezionatela, poi: Scegliete un nome per questo accesso. Il nome può dipendere dal modo in cui sarà utilizzato l'accesso. Se si tratta di una convenzione privata con un'altra persona, potete semplicemente inserire il suo indirizzo email. Se si tratta di un accesso che sarà utilizzato da più persone, potete inserire il nome di un gruppo di lavoro. Questa informazione è libera, ma deve essere chiara, perché apparirà in seguito nella domanda di chiave quando si accede al contenuto del contenitore; Digitate la password concordata o sceglietene una nuova, che trasmetterete in seguito al/ai destinatario/i, tramite canale secondario. Come per qualsiasi creazione di password, sarà necessario inserirla due volte per verifica e rispettare i limiti di sicurezza. 14 – Aggiungere un accesso di tipo certificato RSA A partire dalla stessa finestra, selezionare la scheda [Certificati destinatario] o la scheda [Rubrica]. L'utilizzo della rubrica viene descritto nel paragrafo seguente. A livello locale, sul vostro computer, potrete trovare i certificati nei: File di certificati. Esistono vari formati standard, la maggior parte dei quali è supportata dal programma (file con estensioni .cer, p.7b, ecc.). Se i vostri corrispondenti vi inviano il loro certificato sotto forma di file, li salverete normalmente Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 9 in una cartella dove potrete poi ritrovarli, selezionarne più d'uno, visionare i certificati che contengono e scegliere quello che vi interessa; Contenitori di certificati gestiti dal vostro sistema Windows, che è semplicemente un altro modo per salvarli in una destinazione dove poterli poi recuperare. Potete gestirli inoltre con Internet Explorer, dal menu [Strumenti], [Strumenti] [Opzioni Internet], Internet] scheda [Contenuto], [Contenuto] tasto [Certificati]. Ecco perché, facendo clic sul tasto con l'icona di Internet Explorer, nella finestra compaiono i certificati disponibili in questo contenitore. I certificati sono verificati in tempo reale in questa finestra. A seconda del risultato, presenteranno un'icona diversa. L'icona "clessidra" indica che la verifica è in corso. Questo procedimento a volte può richiedere tempo, ad esempio se è necessario scaricare delle liste di revoca (CRL). ÎSe volete conoscere il motivo di uno status di verifica potete visualizzare le informazioni. ÎNotate inoltre la presenza di menu contestuali ai certificati e allo sfondo della lista, che permettono: - di visualizzare un certificato; di ripetere una verifica su un certificato; di selezionare o deselezionare tutto e richiedere che i certificati vengano selezionati o deselezionati di default quando vengono visualizzati (se sono utilizzabili). 15 – Utilizzo di una rubrica di certificati Alcune aziende mettono a disposizione delle rubriche (chiamate "rubriche LDAP") che permettono di trovare certificati di persone a partire dal loro nome o da un indirizzo email. Questo servizio viene spesso offerto anche da organismi di certificazione pubblica o commerciale. La ricerca si effettua fornendo l'indirizzo della rubrica e il nome, parziale o completo, che si desidera trovare. Naturalmente è necessaria la disponibilità di connessione con la rubrica prescelta. Se il vostro computer fa parte di un dominio Windows, che spesso contiene una rubrica LDAP, il suo indirizzo verrà individuato e proposto. Questo procedimento è possibile solo se si possiede una PKI (infrastruttura di certificati) e se i certificati sono pubblicati al suo interno. Un esempio di server liberamente accessibile è "directory.verisign.com", potete provare con dei nominativi americani come "parker" o "johnson". In questa finestra, i menu contestuali presentano le stesse opzioni che nella precedente. Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 10 Amministrazione Il software è progettato per un uso aziendale. È compatibile con le logistiche più diffuse, che permettono ad esempio: L'installazione a distanza (tramite i GPO dei server Windows o grazie a prodotti specializzati, come SMS, Tivoli, ecc.); La configurazione delle opzioni con le "policy" (GPO) locali o con dei domini, con dei controller di dominio Windows o Novell; L'uso di PKI di qualsiasi marca, dei servizi collegati come LDAP e della politica interna in materia di gestione delle chiavi (password, chiavi RSA, tipi di portachiavi, marche di smart card, ecc.). È sfruttabile sia in ambienti semplici e autonomi (portatili isolati, piccoli uffici) che in ambienti con una logistica più ampia. All'interno di un ambiente amministrato, le tappe consistono nel: Capire i diversi parametri delle politiche di sicurezza (GPO) e, se necessario, definire su carta i loro valori; Stabilire il modo in cui tali politiche saranno gestite: tramite il o i controller di dominio / foresta, opzione consigliata in un ambiente che disponga di una simile logistica, oppure localmente dalle postazioni (policy locali). In quest'ultimo caso, potete optare per la creazione di una copia dal master del software, affinché le policy vengano trasmesse col pacchetto di installazione, indipendentemente dal tipo di installazione scelto; Stabilire la modalità di diffusione del software: come verrà installato e da chi? Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 11 Configurazione (policy/GPO) Si presuppone la conoscenza del sistema di GPO di Windows e non verrà pertanto illustrato in questa sede. Ricordiamo soltanto che, in locale, è accessibile da [gpedit.msc] per le policy locali, su un server Windows è accessibile da [ActiveDirectory Utenti e Computer] (proprietà di un dominio o di una unità organizzativa) o ancora da [gpmc.msc] (solo su alcuni server). Il modello amministrativo delle policy si chiama [zed_policies_fra.adm] in francese e [zed_policies_enu.adm] in l'inglese e si trova nella cartella [Windows/Inf]. [Windows/Inf] Per utilizzarlo sul controller di dominio è sufficiente copiarlo nella stessa cartella sul server. Sarà necessario caricarlo con lo strumento usato ([GPEDIT] [GPEDIT], [GPMSC], [GPMSC] …) nei "modelli amministrativi" (menu contestuale [aggiungi/elimina modelli]). modelli] Tutte le policy del prodotto si trovano nella rubrica [Configurazione Computer]. Computer] Ogni policy è associata a un numero e a un testo di aiuto. Per configurare una policy, fare doppio clic su di essa. Policy attiva: l'azione della policy è attiva. Questa azione può essere un divieto o un'autorizzazione. A volte, può essere associato un valore. Quando una policy è attiva a un certo livello nella gerarchia foresta/dominio/unità organizzativa di una rete Windows, non può essere modificata a un livello inferiore e dunque nemmeno dalle postazioni (policy locali); Policy disattivata: l'azione della policy non è attiva, è come se non fosse configurata. Questa modalità ha senso solo su un controller di dominio (o dominio, foresta, unità organizzativa), poiché serve a impedire che un livello gerarchico inferiore riesca ad attivarla; Policy non configurata: l'azione della policy non è attiva. Dentro una gerarchia foresta/dominio/unità organizzativa di una rete Windows essa può tuttavia venire modificata (attivata o disattivata) a un livello inferiore. Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 12 P050 – Identificazione delle policy Î Valore di tipo testo – Contenuto libero Questa policy non influisce in alcun modo sul software, il suo contenuto è libero. Potrebbe trattarsi di un commento, di un numero di versione, ... Vi permette di identificare l'"insieme delle policy" e successivamente, dalle postazioni, di consultare tale informazione per identificare facilmente al primo colpo una versione di configurazione. P102 – Vietare gli accessi con password Î Valore di tipo Sì/No. Valore di default: No (non vietati, quindi autorizzati). Permette di vietare gli accessi di tipo "password" ai contenitori cifrati. Attivando tale policy si impedirà all'utente di: Scegliere una password come chiave personale (durante l'inizializzazione); Aggiungere degli accessi di tipo password ai contenitori; Aprire un contenitore con un accesso di tipo password, anche se il contenitore ne contiene. Il tasto-icona [password] (il primo verticalmente) non sarà visualizzato nelle schermate in cui viene richiesta la chiave d'accesso . Allo stesso modo, la scheda [password destinatario] non apparirà più nella finestra per l'aggiunta di nuovi accessi. Casi di utilizzo: la politica interna è di non usare accessi di tipo password, neanche per i contenitori cifrati. Una simile politica non viene attuata spesso, poiché le password sono molto pratiche per gli scambi con utenti esterni, anche quando esistono delle PKI. Vedere anche: P107/P108 P107 P108 per la sicurezza imposta alle password. Vedere anche: P103/104 105 per autorizzare e vietare gli altri tipi di accesso. P103 104/105 P103 - Vietare l'uso di file di chiavi PKCS#12 Î Valore di tipo Sì/No. Valore di default: No (non vietati, quindi autorizzati). Permette di vietare l'apertura dei contenitori tramite chiavi d'accesso di tipo 'chiave RSA' contenute nei portachiavi "file" di formato PKCS#12 (che hanno solitamente l'estensione .p12 o .pfx). .pfx La conseguenza diretta di tale politica è che il tasto-icona [file di chiavi] (il secondo verticalmente) non sarà visualizzato nelle schermate in cui viene richiesta la chiave d'accesso . Casi di utilizzo: la politica interna è di non usare file di chiavi o di non usare chiavi RSA (mancanza di PKI). In quest'ultimo caso, configurare anche P104 e P105. P105 105 per autorizzare e vietare gli altri tipi di accesso. Vedere anche: P102/104 P102 104/105 P104 - Vietare l'uso di smart card/dispositivi PKCS#11 Î Valore di tipo Sì/No. Valore di default: No (non vietati, quindi autorizzati). Permette di vietare l'apertura dei contenitori tramite chiavi d'accesso di tipo 'chiave RSA' contenute in portachiavi PKCS#11 (smart card, dispositivi USB). Attenzione, questa politica vieta di fatto l'uso dell'interfaccia PKCS#11 per attivare tali chiavi e portachiavi. Essi potrebbero essere comunque accessibili attraverso un'altra interfaccia (CSP). Per vietarli completamente, sarà necessario attivare anche la policyP105 P105. Casi di utilizzo: la politica interna è di non servirsi di carte o dispositivi, oppure interfacce PKCS#11 per utilizzare portachiavi di smart card o dispositivi USB. Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 13 Zed! riconosce la maggior parte delle librerie PKCS#11 in commercio. Tuttavia, i nomi di tali librerie potrebbero cambiare con la messa in vendita di nuove versioni. La policy P296 permette di estendere (o di personalizzare) questa lista. Le regole di gestione dei 'middleware' PKCS#11 variano a seconda dei produttori. Quando si utilizzano carte o dispositivi RSA, la scelta fra l'interfaccia PKCS#11 e l'interfaccia CSP è innanzitutto ergonomica. Non si tratta di una scelta di sicurezza, poiché in ogni caso la chiave RSA resta memorizzata nella carta e i calcoli annessi vengono effettuati dalla carta stessa. La maggior parte dei fabbricanti di carte/dispositivi fornisce entrambe le implementazioni. In modalità PKCS#11, la finestra di apertura di Zed! compare sempre. In modalità CSP, compare invece la finestra del produttore. Il 'single-login' completo con lo SmartCardLogin di Windows è solitamente possibile unicamente in modalità CSP. Alcuni produttori, tuttavia, sono in grado di riutilizzare il contesto d'apertura CSP/SmartCardLogin per estenderlo alle applicazioni PKCS#11. Limitazione nota: alcuni produttori supportano solo la chiave RSA contenuta nella carta/dispositivo cifrato di chiavi simmetriche (DES, AES, ...) di lunghezza superiore ai 128 bit. In questo caso, è necessario configurare la policy P290 per limitare la dimensione delle chiavi simmetriche utilizzate da Zed!. Vedere anche: P296 per modificare la lista dei PKCS#11 utilizzati. Vedere anche: P102/103 105 per autorizzare e vietare gli altri tipi di accesso. P102 103/105 P105 - Vietare l'uso di contenitori CSP Î Valore di tipo Sì/No. Valore di default: No (non vietati, quindi autorizzati). Permette di vietare l'apertura dei contenitori tramite dispositivi di chiavi CSP (Microsoft CryptoAPI). Questi contenitori CSP possono essere di tipo standard Windows oppure prodotti da terzi (la maggior parte dei fabbricanti di carte e dispositivi RSA propone un runtime CSP). Casi di utilizzo: la politica è di non usare interfacce CSP (nemmeno di terzi). Note: L’uso di contenitori CSP, se autorizzato, è prioritario su tutti gli altri tipi di accesso: infatti questo standard richiede che sia il CSP stesso ad eseguire le interfacce grafiche di convalida d'uso delle chiavi (conferma, richiesta di codice, ecc.). Per evitare di dover convalidare prima la finestra di apertura di Zed!, poi quella del CSP, viene visualizzata prima la finestra del CSP; Un CSP viene richiamato solo se possiede una soluzione di chiave (certificato e chiave privata RSA) accettabile per la destinazione da aprire (contenitore). A seconda dell'implementazione, il loro comportamento può variare. Ad esempio, alcuni possono visualizzare la richiesta di introdurre la carta limitatamente alla chiave richiesta, altri possono accettare qualsiasi carta introdotta; Utilizzo con lo SmartCardLogin di Windows: per alcuni middleware 'CSP', l'apertura della carta/dispositivo all'avvio della sessione Windows 'vale' per tutte le applicazioni della sessione Windows aperta. In tal caso, l'apertura di un contenitore sarà automatica e trasparente, poiché è disponibile una soluzione di chiave già aperta. Vedere anche: P102/103 105 per autorizzare e vietare gli altri tipi di accesso. P102 103/105 Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 14 P107/P108 - Livello di sicurezza richiesto per le password ÎValore numerico per la "sicurezza" (valore di default: 40) e scelta possibile fra '1', '2' o '3' per la complessità (valore di default: 2). La sicurezza (P107 P107) di una password è valutata in base a vari criteri, fra cui la lunghezza, il numero di famiglie di caratteri usate e la ripetizione di uno stesso carattere (lista non esaustiva). Inoltre, la complessità (P108 P108) rappresenta la frequenza di passaggio da una famiglia di caratteri a un'altra. Una password corta ma complessa può avere un livello di sicurezza equivalente a quello di una password più lunga ma meno complessa. Il valore di default 40 rappresenta un compromesso fra la difficoltà dell'inserimento e la sicurezza della password. Aumentare la complessità richiesta permette di diminuire la lunghezza obbligatoria per la password, ma l'utente dovrà allora inserire caratteri non "comuni". Diminuire la complessità non comporta tale obbligo, ma costringe a scegliere password più lunghe. Tale policy si applica per: la scelta iniziale della propria password; qualsiasi aggiunta di accesso di tipo "password" in un contenitore; qualsiasi modifica di password per un accesso di tipo "password" esistente in un contenitore. Casi di utilizzo: in funzione della politica interna. Le modifiche a tali valori non hanno effetto retroattivo sulle password già configurate. Vedere anche: P102 per autorizzare o vietare gli accessi con password. P129 – Uso del certificato personale in Active Directory Î Valore di tipo numerico (0=disattivato, 1=se possibile, 2=obbligatorio). Valore di default: 0 (disattivato). Tale opzione è possibile solo con chiavi d'accesso RSA (necessaria la presenza di una PKI). Quando la sua attivazione è possibile, tale modalità si rivela molto pratica e semplifica notevolmente il compito dell'amministratore e dell'utente. Permette infatti di determinare semplicemente, senza ambiguità e senza porre domande, quale chiave l'utente dovrà presentare per creare i suoi contenitori cifrati. Per questo è necessario che la PKI pubblichi i certificati degli utenti nei loro profili Active Directory, nel campo riservato e previsto per tale scopo ([UserCert] [UserCert]). Qualunque tipo di PKI è valida per tale scopo, purché effettui tale pubblicazione. Si noti che ciò non comporta che il server LDAP di certificati (se ne esiste uno) sia Active Directory, potrebbe anche trattarsi di un altro tipo di server LDAP. Semplicemente, tramite Active Directory è più semplice creare una correlazione (mappatura) fra l'utente (del dominio) corrente, il suo profilo Active Directory e il certificato della sua chiave di cifratura. Sul server Active Directory, lanciando [Utenti e Computer Active Directory], Directory] è possibile richiedere i dettagli delle proprietà di un utente. È necessario aver prima richiesto la visualizzazione "avanzata" (Menu [Visualizza] della MMC). MMC Comparirà quindi una scheda [Certificati pubblicati], pubblicati] che corrisponde al campo che Zed! interrogherà quando viene configurata tale policy. Quando la PKI effettua tale pubblicazione, solitamente si constata che il campo contiene un certo numero di certificati. Sono rare le PKI che rimuovono i certificati scaduti, revocati, ecc. Inoltre, tutte le PKI utilizzano lo stesso campo (multi-valore) per pubblicare tutti i certificati di uno stesso utente (autentificazione, firma, cifratura...). Questo non è un problema per Zed!, che effettua una selezione: elimina i certificati che non sono relativi alla cifratura, quelli scaduti e quelli revocati. Se dopo la scrematura vi sono più certificati validi, sceglierà il più recente (secondo la data di inizio validità). Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 15 Quando si tratterà di determinare la chiave dell'utente, durante la procedura iniziale, quest'ultimo non potrà effettuare una scelta ma dovrà presentare IL portachiavi corrispondente (file, carta). Se il valore di questa policy indica 'obbligatorio', allora l'utente dovrà obbligatoriamente presentare la chiave corrispondente al certificato pubblicato (o annullare). Se non vi sono certificati pubblicati, l'operazione richiesta sarà rifiutata. Si noti che questo comporta che durante la procedura di inizializzazione l'utente sia associato al proprio dominio (solo in questo preciso momento). Altrimenti sarà necessario aspettare di esserlo per poter effettuare l'operazione (che è stata rifiutata). Ciò implica inoltre che l'utente disponga effettivamente di una chiave e di un certificato, e che quest'ultimo sia obbligatoriamente pubblicato in Active Directory. Se il valore indica "se possibile", il certificato verrà utilizzato (e imposto) nel caso in cui venga trovato in Active Directory; l'utente dovrà inoltre fornire la chiave corrispondente. Altrimenti, se non è possibile raggiungere Active Directory o se non vi sono certificati pubblicati, comparirà l'Assistente iniziale e l'utente potrà scegliere autonomamente la chiave che utilizza. Casi d'utilizzo: attivare tale policy se la PKI pubblica i certificati in Active Directory (consigliato). P131 – Accessi obbligatori Î Valore di tipo LISTA. L'"identificativo" deve contenere un nome di file (con il percorso d'accesso) e il "valore" deve contenere l'espressione "hash=XX YY ZZ…", dove XX YY ZZ… contiene l'impronta numerica SHA1 del file prescelto. È possibile definire tanti file nella lista quanti si desidera. Questi file devono essere file certificati (.cer, codifica Base64 o binaria) Non è possibile definire accessi obbligatori tramite password. Attenzione, spesso capita di commettere errori nell'inserimento del percorso d'accesso al file. Gli accessi di rete sono possibili (e spesso utilizzati); è necessario metterli sotto la forma UNC (\\Server\Condivisione). (\\Server\Condivisione Se è stata definita una destinazione locale, sarà necessario assicurarsi che i file si trovino in tale luogo, altrimenti la creazione dei contenitori sarà rifiutata. Tale policy è molto importante. Essa permette di stabilire un metodo di recupero e di fare in modo che esso venga attivato automaticamente nei contenitori cifrati. Se questa policy rileva un file che non è possibile trovare o che non corrisponde all'impronta fornita, l'azione dell'utente sarà rifiutata. Per ottenere l'impronta del file, il metodo più sicuro è servirsi del comando "zedcmd zedcmd showhash". showhash Si sconsiglia di visualizzare il contenuto del certificato e di servirsi dell'impronta calcolata dal visualizzatore di certificati Windows, non perché questa sia sbagliata, ma perché il metodo di calcolo non dipende dal file certificato o dal suo formato, ma dal valore del certificato stesso. Però Zed! richiede l'impronta del file. Ci saranno differenze a seconda della codifica del file (Base64, ecc.). Casi di utilizzo: quasi sistematico e fra le prime azioni da compiere. Il solo caso in cui tale policy può essere ignorata è quando la PKI sequestra i valori delle chiavi degli utenti. Vedere anche lo strumento [zedcmd], [zedcmd] che permette di calcolare un'impronta su un file (comando [showhash]) [showhash] e di creare una copia da master del software per "iniettare" il o i file certificato nel programma d'installazione affinché vengano diffusi a livello locale (comando [master]). [master] Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 16 P141 – Certificati radice autorizzati ÎValore di tipo LISTA. L'"identificativo" contiene una descrizione libera ('My root' ad esempio) e il 'valore' deve contenere l'espressione "sha1=XX YY ZZ…", dove XX YY ZZ… contiene l'impronta numerica SHA1 del certificato prescelto. Questa policy permette di limitare le chiavi RSA utilizzabili dagli utenti. Si applica unicamente alla selezione iniziale della chiave e non alle aggiunte di accesso tramite certificato. Lo scopo di tale policy è evitare che degli utenti sfruttino chiavi RSA create da loro stessi con mezzi diversi (Internet, strumento scaricabile, chiave personale, ecc.) e garantire che usino esclusivamente chiavi provenienti dalla PKI ufficiale. Il rischio sarebbe che gli utenti cifrino con "qualsiasi cosa". Questa policy è estremamente importante in un caso specifico: quando la politica è di non applicare chiavi di recupero (aggiunta sistematica di una chiave 'della casa' a qualsiasi destinazione cifrata) (cf. f. P131) P131 perché la PKI sequestra le chiavi RSA di cifratura degli utenti. In questo caso, molto evidentemente, è importante che le chiavi utilizzabili siano limitate alle sole chiavi sequestrate, altrimenti la funzione di recupero non sarebbe assicurata. È qui possibile definire diversi certificati, che potrebbero anche non essere radici ma autorità intermedie (se non addirittura certificati finali!). Occorre tuttavia fare attenzione: questa policy non fornisce i certificati stessi, che devono quindi essere disponibili nell'ambiente PKI (contenitori locali, LDAP, supporti dei portachiavi). Nominare qui un certificato [di autorità] autorizzato non significa che i controlli dei certificati si fermino a quel livello. Ad esempio, se un certificato di autorità intermedia viene nominato, ciò significa che si ha il diritto di utilizzare i certificati da essa emessi, a condizione che siano validi e che anche quello dell'autorità stessa lo sia. Casi di utilizzo: indispensabile se la PKI sequestra le chiavi degli utenti; per gli altri casi, è comunque sempre utile specificare questa policy. P142/P143 – Autorizzare l'uso al di fuori delle date di validità (e proroghe) Î Valore di tipo Sì/No. Valore di default: No (controllo completo). Î Per la proroga, valore numerico (in giorni). Minimo: 0, Massimo: 365 Valore di default: 90 giorni Questa policy P142 permette di continuare a usare un certificato (in realtà, la chiave dell'utente) per un certo periodo di tempo oltre la sua scadenza. La policy P143 permette di definire tale proroga. Effettivamente capita spesso che, nonostante vari richiami all'ordine, alcuni utenti non effettuino la procedura richiesta dalla PKI per rinnovare i propri certificati o le proprie chiavi. In questo caso, si ritrovano bloccati e nell'impossibilità di aprire i propri contenitori. Questa policy permette loro di ottenere una proroga supplementare: durante questo lasso di tempo, Zed! accetterà l'apertura dei contenitori con la chiave e il certificato scaduti. Questa policy si applica alla selezione della chiave iniziale, all'apertura dei contenitori con chiave e ai certificati di terzi aggiunti a un contenitore. Quando la proroga scade o quando questa policy non è configurata, l'apertura viene rifiutata con un apposito messaggio. Casi d'utilizzo: libero. Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 17 P146 – Allentare il controllo d'uso della chiave Î Valore di tipo Sì/No. Valore di default: No (controllo completo). Normalmente, il software Zed!, in quanto applicazione di cifratura, rifiuta l'uso di chiavi associate a un certificato che non autorizzi esplicitamente la cifratura ('KeyUsage' intesa come X509). Questa policy permette di allentare tale controllo e di utilizzare una chiave e un certificato per cifratura, indipendentemente dalla limitazione imposta dal certificato. Questa policy si applica alla selezione della chiave iniziale, all'apertura dei contenitori con chiave e ai certificati di terzi aggiunti a un contenitore. Casi d'utilizzo: rari. Questa policy deve venire applicata solo temporaneamente quando non vi sono alternative (parco certificati esistenti che non abbia previsto l'uso di cifrature). P147 – 'Extended key usages' autorizzati Î Valore di tipo LISTA. L'"identificativo" deve contenere l'OID (Object Identifier normalizzato) dell'uso (esempio: 1.3.6.1.5.5.7.3.4 per la posta elettronica sicura), essendo il 'valore' stesso libero (è possibile inserire un commento o una descrizione più esplicita). Questa policy si applica in un ambiente in cui gli utenti dispongono di molteplici chiavi (certificati) di cifratura e si desidera suddividerne gli usi (cifratura di email, di file, di rete…). Essa permette inoltre di specificare per Zed! il o i tipi di certificato che l'utente può selezionare evitando così degli errori. Questa policy si applica esclusivamente alla selezione della chiave iniziale, non si applica ai certificati terzi aggiunti a un contenitore. Casi d'utilizzo: esistono più chiavi di cifratura per utente. P195 – Server LDAP predefiniti ÎValore di tipo LISTA. L'"identificativo" corrisponde a un commento (libero), il 'valore' contiene la definizione tecnica del server LDAP. Questa policy permette di preconfigurare il o i server LDAP disponibili per gli utenti quando questi ultimi aggiungono accessi a contenitori cifrati, interrogando le rubriche LDAP per reperire i certificati. Nota: la configurazione LDAP di default permette generalmente di rivolgersi a server comuni come ADSI o a rubriche pubbliche. Con tale configurazione l'utente potrà sempre fornire un "host-name" per utilizzare tali server. La configurazione tecnica si presenta come segue: Label=label;Name=dnsaddress;Port=portno;SSL=y/n;BaseDN=baseDN;CertAttr= attributeAddAttr=additional attributes;Filter=filter Ogni coppia Item=Valore è separata dalle altre da un punto e virgola. Se un valore deve contenere un punto e virgola, allora è necessario anteporre un backslash (ad esempio: userCertificate\;binary). userCertificate\;binary Se un campo è vuoto, mettere campo=;campo seguente. seguente Label designa un nome libero, che appare all'utente. Nam e designa l'indirizzo DNS del server LDAP (ad esempio: myldapserver.primx.eu). Name Port designa il numero di porta LDAP del server (solitamente 389). Il campo SSL indica se la comunicazione deve venire effettuata in SSL oppure no. Il prodotto non supporta SSL con autentificazione del client tramite certificato. Valore y per sì e n per no. Il campo BaseDN è il Distinguished Name della base di ricerche. Consultare l'amministratore del server per conoscere il valore, se richiesto (spesso, i server accettano che non venga specificato). Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 18 Il campo CertAttr designa il nome dell'attributo, inteso come LDAP, contenente il certificato. Solitamente si tratta di userCertificate\;binary. userCertificate\;binary Il campo AddAttr designa attributi complementari che verranno richiesti, per visualizzazione dell'utente. Se ve ne sono molteplici, sarà necessario separarli con virgole. Esempio: cn,email (nome comune e indirizzo di posta). Il campo Filter è molto importante e designa il filtro della ricerca richiesta. Questo campo rispetta le varie norme RFC in materia e può permettere sintassi molto complesse. Solitamente il valore (cn\=*%USER%*) è sufficiente. Esso indica che la ricerca va effettuata fra le voci della rubrica il cui nome comune (Common Name) contiene il criterio inserito dall'utente, rappresentato dalla parola chiave %USER%. %USER% Î Ecco la configurazione di default usata dal prodotto, nel momento in cui si sceglie un indirizzo dalla rubrica "myldapserver.primx.eu": Label=;Name=myldapserver.primx.eu;Port=389;SSL=n;BaseDN=;CertAttr=userC ertificate\;binary;AddAttr=cn;Filter=(cn\=*%USER%*) Casi d'utilizzo: quando la configurazione tecnica di default usata non funziona, oppure per stabilire in anticipo una lista di rubriche preconfigurate per gli utenti. P290/P291 – Algoritmo crittografico usato per cifrare i contenitori Î Scelte possibili: AES, DES o RC2, con lunghezze di chiave di 128, 192 o 256 bit. Valore di default: AES 256 bit. Questa policy indica l'algoritmo di cifratura da utilizzare e la lunghezza di chiave associata per i contenitori. Non tutte le combinazioni di algoritmi e di lunghezze di chiave sono valide. L'AES (Advanced Encryption Standard) utilizza solo chiavi da 128, 192 o 256 bit. Il DES (Data Encryption Standard) utilizza chiavi da 128 o 192 bit (di cui soltanto 112 o 168 bit utili), l'RC2 utilizza chiavi da 128, 192 o 256 bit. P296 – Carte e dispositivi supportati/autorizzati (PKCS#11) Î Valore di tipo LISTA "lista di nomi/valori". L' "identificativo" corrisponde al nome pubblicato dal driver, il "valore" non viene utilizzato e può servire ad aggiungere un commento. Questa politica permette d'indicare un'estensione PKCS#11 (o molteplici) non supportata di default e quindi di utilizzare un diverso modello di smart card o dispositivo USB. Di default, Zed! cerca alcune versioni delle estensioni PKCS#11 dei produttori ActivCard, Aladdin, Axalto, GemPlus, Rainbow. È necessario indicare il nome del modulo PKCS#11 del fornitore (nome di DLL), senza il percorso d'accesso se tale modulo è installato in un registro standard di sistema, oppure con il percorso d'accesso. Il fatto che un'estensione PKCS#11 sia dichiarata ma non sia presente nella postazione non viene considerato un errore. Semplicemente, essa non è operativa. Questo permette inoltre di predefinire vari "fornitori" esterni, siano essi installati o meno. Casi d'utilizzo: uso di estensioni PKCS#11 specifiche. Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 19 Lo strumento zedcmd Questo strumento a linea di comando si trova nella cartella di installazione del software. Esso offre alcune funzionalità utili all'amministratore: Mostrare la versione del sistema (about about) Visualizzare le policy, così come vengono "viste" e risolte durante l'applicazione (cosa che a volte può differire dai parametri, quando ad esempio dei nuovi valori non sono ancora stati scaricati dal server) (showpolicies showpolicies) Modificare le policy locali (modifypolicies modifypolicies) Esportare le policy locali in un file di testo (exportpolicies exportpolicies) Importare una serie di policy da un file di testo (importpolicies importpolicies) transform) Applicare un "transform" di lingua a un pacchetto d'installazione .msi (transform Copiare da master (preparare) un pacchetto d'installazione (master master) Questo strumento si usa come un qualsiasi programma a linea di comando. Î Per visualizzare la linea dei comandi disponibili, digitare zedcmd /?. /? Î Per visualizzare la guida di un comando specifico, digitare zedcmd comando /?. /? Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 20 Installazione e copia da master Lingue Lingua installata e lingua di funzionamento Il software è disponibile in inglese e in francese, ed è compatibile "MUI", ovvero tutte le lingue vi sono installate e le interfacce del prodotto verranno visualizzate nella lingua dell'utente ('UI language') e non nella lingua della macchina in uso. Su sistemi 2000 o XP di base, la lingua dell'utente è sempre quella della macchina in uso, senza differenze, ma su sistemi XP "MUI" (Multiple User Interface), ogni utente può disporre della propria lingua. Le interfacce grafiche del sistema e dei software (compatibili MUI) vengono quindi visualizzate nella propria lingua. Lingua dell'installazione Bisogna distinguere fra la lingua in cui il software lavora per l'utente e la lingua del programma di installazione stesso (quella delle eventuali schermate). Se il programma d'installazione è il pacchetto "setup.exe setup.exe", allora questo programma individuerà la lingua locale ed eseguirà l'installazione in tale lingua. Anche su sistemi MUI, è al momento una limitazione del sistema di installazione. Siccome Zed! è compatibile MUI, l'unica differenza è che ciò che viene installato è multilingue. La limitazione riguarda soltanto la lingua delle schermate di installazione. Se il programma d'installazione è un pacchetto ".msi .msi", allora si tratta di un monolingue. È una limitazione anche di Windows Installer, ma il contenuto da installare resta sempre un MUI. È possibile modificare la lingua del pacchetto applicando un "transform" di lingua. Applicare un "transform" di lingua Questa operazione è necessaria quando si imposta un'installazione a partire da un pacchetto ".msi .msi". La maggior parte degli strumenti di teleinstallazione (GPO, SMS, ecc.) permette di applicare direttamente un transform nel corso dell'installazione. In questo caso, è sufficiente configurarlo in questo strumento. Se invece il transform da effettuare è soltanto un "transform di lingua", è inutile nel caso in cui l'installazione prevista sia completamente muta: inutile tradurre schermate che non visualizzano nulla! L'esecuzione di un transform è un'operazione standard che può essere eseguita con un gran numero di strumenti, gratuiti o a pagamento, disponibili sul mercato. Affinché tale operazione sia immediatamente disponibile, è stata integrata nel programma "zedcmd.exe zedcmd.exe": zedcmd.exe transform <file msi> -t <file .mst> Il modo in cui si possono ottenere il pacchetto .msi e il transform .mst è descritto al paragrafo seguente. Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 21 Pacchetti Package Setup Zed! […].exe Il pacchetto standard viene fornito sotto forma di programma "Setup Setup Zed!exe" Zed!exe (il nome può variare a seconda della versione). Questo programma è un eseguibile che avvia le seguenti operazioni: Determinazione della lingua della macchina in uso; Estrazione del pacchetto .msi e dei transform di lingua .mst in esso contenuti Questi due file vengono poi salvati in una destinazione prestabilita, indicata in seguito; Il .msi standard estratto è in inglese: se la lingua locale è diversa, avvierà automaticamente il transform di lingua per eseguire l'installazione nella lingua della macchina in uso; Viene eseguita l'installazione del risultato. Package Zed! […].msi Per ottenere questo pacchetto è sufficiente eseguire una volta l'installazione a partire dal setup […].exe. […].exe Il pacchetto .msi e i transform di lingua .mst, .mst si troveranno in seguito sotto Windows\DownloadedInstallations. Windows\DownloadedInstallations Questa cartella presenta una sottocartella per ogni prodotto installato (e utilizzante questa tecnologia). Sfortunatamente, i nomi di queste cartelle non sono molto... semplici. Sono in realtà i "Package Codes" (GUID) delle versioni dei prodotti. Come riconoscere quello di Zed!? Il suo nome è sempre sotto la forma {xxxxxxxx-xxxx-6CA8-8868-36F59DEFD14D}, {xxxxxxxx-xxxx-6CA8-8868-36F59DEFD14D} le xxx possono variare e contenere il numero di build e di versione. All'interno della cartella, il file .msi è sempre chiamato Zed! […].msi, […].msi […] e può contenere il numero di build (generazione) della versione. All'interno della stessa cartella, troverete inoltre il transform della lingua, sotto il nome 1040.mst o più raramente 1033.mst. 1033.mst Il numero 1040 designa con un codice internazionale la lingua italiano e 1033 la lingua inglese. 1040.mst è quindi il file che permette di "tradurre" il programma d'installazione .msi in italiano, essendo quest'ultimo sempre in inglese. Installazione Uso di "Setup Zed!. exe" Il programma Setup.exe si usa come la maggior parte dei programmi di questo tipo in commercio. Contiene ed esegue un file Microsoft Installer "Zed!.msi Zed!.msi", ed eventualmente effettua un "transform" di lingua se la lingua desiderata per l'installazione è il italiano. Î Per passare dalle direttive di tipo "MSIEXEC MSIEXEC" al programma "SETUP SETUP", utilizzare la sintassi seguente: Setup xxx.exe /V"instructions msiexec" Î Per indurre l'esecuzione in una determinata lingua, usare l'argomento /L1040 (italiano), o /L1033 (inglese) Setup xxx.exe /L1040 Î La versione "amministrata/installazione in rete" può essere preparata con la direttiva /A e, opzionalmente, con la cartella di destinazione: Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 22 Setup xxx.exe /A [TARGETDIR=…] Fare tuttavia attenzione, questo modello nasconde alcune insidie. Il file .msi che viene estratto e messo a disposizione, contiene soltanto la procedura d'installazione senza i file dei programmi poiché, per definizione, sono contenuti nella cartella di destinazione che, immediatamente, deve essere disponibile per realizzare delle installazioni sulla postazione di destinazione. Inoltre, anche se i file contenuti nella cartella sono multilingue, la procedura di installazione (zed!.msi zed!.msi) è sempre in inglese, lingua di default del prodotto. Questo ANCHE qualora venisse specificata un'altra lingua al momento dell'esecuzione del comando setup /a : questa lingua riguarderà solo il comando stesso e non il suo risultato. Per ottenere un setup "amministrato" (installazione in rete) in italiano, è dunque necessario applicare il "transform di lingua", come spiegato sopra, sul file zed!.msi estratto. Questo è importante, poiché non riguarda solo la lingua di installazione (che può non avere importanza per un'installazione muta), ma anche alcuni testi installati in seguito sulle postazioni utente (solitamente gli elementi del menu Start). Utilizzo di "Zed!.msi" Come descritto nei paragrafi precedenti, questo file può presentarsi in due forme: Completo, con i file dei programmi, se è stato recuperato dopo una prima installazione in Windows\Downloaded Installations\{xxxxxxxx-xxxx-6CA8-8868-36F59DEFD14D} Parziale, contenente unicamente la procedura d'installazione, se è ottenuto in seguito a una preparazione per 'Installazione in rete' (setup.exe setup.exe /A o msiexec /A su un file completo). In entrambi i casi sarà in inglese e per trasformarlo in italiano si dovrà seguire la procedura indicata precedentemente. Questo file .msi si utilizza come tutti i file di questo tipo, con MSIEXEC e gli strumenti di distribuzione. Opzioni specifiche di installazione Il numero di serie o qualsiasi altro strumento di controllo della licenza non vengono richiesti; La cartella di destinazione dell'installazione di default è <Program Files>\PrimX\Zed!; Files>\PrimX\Zed! La proprietà TARGETDIR può venire specificata nella linea di comando dell'installazione, per cambiare la seguente opzione: Msiexec /i zed!.msi TARGETDIR=C:\Zed! o Setup zed!.exe /V"TARGETDIR=C:\Zed!" È possibile effettuare l'installazione muta /qn[+] /qb[+]; La proprietà ZC_HIDELICENCEPAGE=1 permette di non visualizzare la pagina della licenza; La proprietà ZC_POLICIES=<nome del file> permette d'installare delle policy sulla postazione di destinazione. Il file delle policy deve essere disponibile al momento dell'installazione e deve essere stato preparato con il comando zedcmd exportpolicies. exportpolicies Alcune di queste opzioni possono essere specificate in anticipo attraverso la copia da master. Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 23 Copia da master Non è possibile copiare un programma setup.exe da master, ma solo un file .msi che sarà stato estratto e localizzato (lingua) come indicato precedentemente. La copia da master permette di raggruppare alcune opzioni all'interno dell'.msi .msi (quindi in anticipo) e non all'esterno (linea di comando) al momento dell'esecuzione dell'installazione: zedcmd.exe master zed!.msi [opzioni] Il programma ZEDCMD.EXE è installato con il prodotto. Il "preparatore" può quindi servirsi di tale strumento con una prima installazione isolata. Le opzioni possibili sono: Specificare un file logo, che viene inserito nelle finestre d'apertura del contenitore. Questo file deve essere in formato BMP WINDOWS e deve avere una dimensione di 398 * 60 per un inserimento totale, e minore o uguale a 314*56 (consigliato: 150*50) per un inserimento parziale. Il file specificato sarà aggiunto nella procedura zed!.msi e installato sulle posizioni di destinazione; Specificare un file delle policy da applicare automaticamente sulle postazioni di destinazione; questo file viene aggiunto nella procedura zed!.msi e deve essere stato preparato con il comando zedcmd exportpolicies ; Specificare un certificato da inserire come "accesso obbligatorio" (supplementare) a ogni contenitore cifrato. Per essere effettivamente operativo, questo file deve essere incluso nelle policy (P131 P131). Questa opzione può esservi utile solo se avete scelto di non indicare in questa policy un percorso per la condivisione di rete ed è dunque necessario installare localmente tale file; Non visualizzare la pagina della licenza. Casi di policy Il responsabile della sicurezza "prepara" le policy che desidera veder applicate su una postazione isolata. Per fare questo si serve dello strumento standard Windows GPEDIT.msc. GPEDIT.msc In seguito, utilizza il seguente comando: zedcmd.exe exportpolicies –f <file policy.ini> È proprio questo file che dovrà venire applicato alle postazioni di destinazione, tramite masterizzazione oppure mediante direttive al momento dell'installazione. Attenzione: Se le postazioni di destinazione sono membri di un dominio Windows, non è questo il metodo migliore: è più semplice ed efficace utilizzare la logistica standard di gestione delle policy che viene offerta. Sarà quindi sufficiente configurarle sul controller di dominio (o il dominio, o la foresta); in questo modo le postazioni le erediteranno automaticamente; Se una postazione di destinazione fa parte di un dominio, ma l'installazione viene eseguita in un momento in cui essa non è collegata al dominio stesso, le policy copiate da master o trasferite in direttiva non verranno installate poiché Windows le rifiuterà. Quindi, riassumendo: Se le postazioni di destinazione non sono collegate a un dominio, l'unica soluzione per installare delle policy preconfigurate è copiarle da master; Se le postazioni di destinazione fanno parte di un dominio, si potrà passare attraverso il dominio senza copiare da master le policy, oppure assicurarsi che le postazioni siano connesse al momento dell'installazione (cosa che avviene ad esempio con la teleinstallazione). Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 24 Aggiornamenti L'installazione di Zed! rileva e gestisce le versioni anteriori eventualmente installate. L'operazione è sempre un "major upgrade", che consiste - una sola volta - nel disinstallare e reinstallare, senza perdere tuttavia le policy installate e le preferenze dell'utente. Tuttavia, se l'installazione è stata copiata da master, converrà copiarla nuovamente da master prima della diffusione di una nuova versione. In linea di condotta generale, e salvo esplicita indicazione contraria, non vi sono mai operazioni particolari "di migrazione o di mantenimento di compatibilità" durante l'installazione di una versione più recente. Disinstallazione La disinstallazione completa del prodotto: Cancella le policy esistenti sulla postazione, se possibile (cioè a meno che la postazione non appartenga a un dominio); Non elimina le preferenze utente in Registry (poiché è difficile se non impossibile enumerare tutti i profili esistiti); NON DECIFRA (e non cerca di decifrare) i contenitori esistenti. Per non disinstallare le policy (in vista di un'ulteriore reinstallazione), è possibile specificare la proprietà ZC_KEEP_POLICIES=1 nella disinstallazione (con msiexec.exe). msiexec.exe Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 25 Note Zed! 3.1 Guida IT - PX81104 - © Prim'X Technologies 2003 - 2008 26