Blog R&D

Chercher
Ouverture de la banque de connaissance Prim'X
Toute l'équipe Prim'X a le plaisir de vous signaler l'ouverture de sa banque de connaissance en ligne pour 2017 !

Désireux d'être encore plus à l'écoute des demandes clients en ce qui concerne le support, Prim'X a décidé de mettre en place une banque de connaissances pour permettre à ses clients d'avoir un site de référence en ligne, pour pouvoir assister en cas de dépannage client.

Cette banque de connaissance, accessible ici : https://kb.primx.eu contient notamment :

  • Des guides d'intégration (équivalent des Fiches Expert précédemment fournies aux clients pour les assister dans l'intégration de nos produits dans un environnement existant)
  • Des retours d'expérience, précédemment répertoriés dans le Blog R&D, correspondant à des cas support fréquents.
  • Des aides au diagnostic, permettant l'auto-dépannage rapide, sans devoir demander un support téléphonique ou par mail.

Vous disposerez également d'un espace de discussion, afin d'échanger avec les autres utilisateurs de la plate-forme, permettant ainsi de partager vos expériences avec nos produits.

Nous avons fait en sorte que la visualisation soit possible également en mode "mobile" (tablette, téléphone ...) afin de vous en faciliter la lecture.

Nous mettons régulièrement à jour cette banque, en ajoutant différents cas de support, relus et approuvés par l'équipe Prim'X.

Le Blog R&D sera archivé dans le courant de l'année, et tous les nouveaux articles seront désormais dans la banque.

Limitation des versions d'évaluation
Les versions d'évaluation sont identiques aux version complètes de nos produits, hormis pour ce qui est du moteur cryptographique : les clés de chiffrement utilisées dans les versions d'évaluation sont constantes et connues.

Le reste du logiciel est identique à celui de la version complète, ce qui permet d'évaluer le produit en ayant la garantie que le logiciel déployé se comportera comme attendu.

Il y a toutefois un effet de bord à l'utilisation de clés de chiffrement constantes : toutes les données sont chiffrées avec la même clé AES.

Or la notion de "droit d'en connaître" dans ZoneCentral est basée sur l'utilisation de clés AES différentes pour des zones avec des accès différents : un accès d'une zone permet à un utilisateur de connaître la clé AES de la zone, et donc d'accéder aux données chiffrée. Si la même clé AES est utilisée partout, cet utilisateur a donc accès à toutes les données (cryptographiquement parlant).

Les mécanismes de ZoneCentral pour corréler clés et données font que ce biais de la version d'évaluation n'est généralement pas visible. Mais il est possible de le mettre en évidence.

La manipulation la plus simple pour constater cette limitation est de créer deux zones différentes, avec des accès différents, sur un serveur de fichiers. Ensuite, de déplacer des fichiers d'une zone à l'autre, depuis un poste sur lequel ZoneCentral n'est pas installé. Si les zones ont été créées avec une version d'évaluation, les fichiers déplacés resteront lisibles. Par contre dans le cas d'une version complète de ZoneCentral, les fichiers étant chiffrés avec une clé différente de celle utilisée pour les lire, les données seront illisibles.

Comme indiqué plus haut, pour constater ce phénomène il faut "contourner" les mécanismes de ZoneCentral et manipuler les fichiers depuis un poste sans ZoneCentral ; si le produit était installé sur le poste, la manipulation aurait été refusée (l'utilisateur n'aurait pas pu fournir tous les accès nécessaires).

Cryhod / VirtualBox EFI : aucun accès au pré-boot ?
J’utilise VirtualBox avec une machine virtuelle EFI pour tester Cryhod. J’ai deux disques durs montés, les deux sont activés dans mon OS, j’essaye de chiffrer le disque dur non système, mais mes accès ne sont pas visibles au pré-boot, alors que la configuration est correcte. Pourquoi ?
 
Quand on utilise VirtualBox, on ajoute les disques sur un seul contrôleur SATA qui comporte plusieurs ports.

On peut voir dans les attributs, le numéro du port (Port SATA 0).

Il y a une anomalie dans le firmware EFI de VirtualBox qui empêche l’énumération correcte des différents ports si ceux-ci ne sont pas consécutifs. Cryhod ne peut alors détecter correctement les disques suivants, car le firmware considère que le port suivant est vide et arrête l'énumération. C'est malheureusement faux, et le mécanisme de descente des accès est par conséquent faussé. S'agissant d'un problème inhérent à VirtualBox, il n'est pas possible de le corriger dans Cryhod.

Voici un exemple rapide de configuration problématique :
Port SATA 0 - disque système
Port SATA 2 - disque système
Port SATA 3 - lecteur DVD

Le firmware EFI va lire le port 0, puis s'arrêter car le port 1 est vide (c'est pourtant un cas qui pourrait arriver avec une machine physique).
Pour y remédier, il faut vérifier que les ports SATA sont consécutifs dans leur numérotation : ici, port 0 et port 1 par exemple.
L’activation et le chiffrement du second disque devraient marcher normalement une fois le réglage effectué.


Comment mettre à jour un poste Windows 10 chiffré avec Cryhod ?
La mise à jour de Windows 8 ou Windows 10 d’une machine, depuis une image disque .ISO, lance un OS intermédiaire, qui au premier redémarrage de la machine terminera l’installation en modifiant des fichiers sur la partition SYSTEM du poste. Un problème intervient lorsque cette partition est chiffrée avec Cryhod car cet OS intermédiaire n’a pas la capacité de la déchiffrer, rendant la mise à jour impossible.
Il est tout de même possible de mettre à jour votre OS sans déchiffrer complètement votre machine, en lui intégrant les pilotes de CRYHOD.
Pour cela :
  1. Créer un dossier de travail (Win10IsoPatch par exemple).
  2. Extraire le contenu correspondant à votre architecture (x86 ou x64) de l’image .ISO dans un dossier de travail (Win10IsoPatch\DVDWindows10, par exemple)
  3. Lancer une invite de commande avec les droits administrateurs et déplacez-vous dans le dossier de travail Win10IsoPatch.
  4. Monter l’image DVDWindows10\sources\install.wim dans de l’OS intermédiaire dans un dossier de travail dvdmount grâce à la commande :
    • dism /mount-wim /WimFile:DVDWindows10\sources\install.wim /mountdir:dvdmount /index:1
  5. Copier les pilotes CYK.sys, CYCK.sys et CYF.sys (qui se trouvent dans le dossier c:\Windows\System32\drivers) dans le dossier dvdmount\Windows\System32\drivers
  6. Enregistrer les pilotes Cryhod dans la base de registre de l’OS :
    • reg.exe Load HKLM\wim dvdmount\Windows\System32\config\SYSTEM
    • regedit /s CYdrivers.reg
    • reg.exe unload HKLM\wim
  7. Refaire la même manipulation avec le fichier dvdmount\Windows\system32\recovery\winre.wim, qui contient l’OS de réparation de Windows (dans un dossier de travail winre)
  8. Livrer les modifications du fichier winre.wim :
    • dism /unmount-wim /mountDir:winre /commit
  9. Livrer les modifications du fichier install.wim :
    • dism /unmount-wim /mountDir:dvdmount /commit
  10. Lancer la mise à jour de Windows avec le fichier setup.exe du dossier de travail DVDWindows10
Vous trouverez avec le lien ci-dessous, un script qui automatise ces opérations et le fichier CYdrivers.reg qui permet d’enregistrer les pilotes CRYHOD.
Win10IsoPatch-v2.zip



Mise à jour Threshold 2 d'un poste chiffré par ZoneCentral

Le nouveau système des mises à jour majeures de Windows 10 nécessite de prendre des précautions lorsque le poste de travail, notamment le profil utilisateur, a été chiffré par ZoneCentral. Lors de cette migration des fichiers techniques de ZoneCentral peuvent disparaître et il est alors nécessaire d'utiliser des commandes d’administration pour rétablir la situation.

Il est recommandé d'avoir la version 6.0 build 2010 avant d'effectuer la mise à jour. Avec cette version, la migration se déroulera sans problème.

Dans le cas contraire, vous risquez de vous retrouver avec des fichiers chiffrés dans des zones claires après la mise à jour, car le processus de migration n’aura pas le droit de manipuler certains fichiers techniques.

Si vous avez une version inférieure et que vous ne pouvez pas la mettre à jour, il vous faudra attribuer le privilège spécial « 3 » à « setupplatform.exe » (via la politique P332)

Vous pouvez maintenant effectuer la mise à jour, le processus « setupplatform.exe » a le droit de manipuler les fichiers de contrôle lors de la sauvegarde et de la restauration des informations utilisateur.

Que faire après la mise à jour ?

Dans un premier temps, s’assurer que la mise à jour s’est bien passée et vérifier manuellement que les zones sont bien toujours présentées. Si ce n’est pas le cas, contactez l’assistance technique.

Une fois cette vérification effectuée, CryptUpdate se lancera automatiquement et défragmentera vos zones, car lors de la mise à jour Windows a déplacé et créé de nouveaux dossiers, ce qui a créé de nouvelles têtes de zones chiffrées.

Note : ces recommandations sont également valables pour la prochaine mise à jour RedStone.