Handleiding Versie 3.1

Transcriptie

1 Handleiding Versie 3.1 Réf.: PX81105 [FR=PX81100]

2 Reproductie en rechten Copyright Prim'X Technologies Elke vorm van reproductie, zelfs gedeeltelijk, van het document is verboden zonder een voorafgaande schriftelijke toestemming van het bedrijf Prim'X Technologies of één van zijn wettelijke vertegenwoordigers. Ieder verzoek tot publicatie, van welke aard dan ook, dient vergezeld te gaan van een exemplaar waarin de publicatie plaats zal vinden. Prim'X Technologies behoudt zich het recht voor om ieder voorstel te weigeren zonder zijn beslissing te rechtvaardigen. Alle rechten voorbehouden. Het gebruik van het programma Zed! is voorbehouden aan de algemene voorwaarden in het licentiecontract dat met de gebruiker of de wettelijke vertegenwoordiger wordt getekend. Zed! is een gedeponeerd handelsmerk van Prim'X TECHNOLOGIES. Hoofdkantoor: 10 Place Charles Béraudier Lyon Cedex 03 France - Tel.: +33(0) contact@primx.eu Commerciële Directie: 14 Avenue d'eylau Paris - Tel.: +33(0) Fax: +33(0) Zed! 3.1 Handleiding NL - PX Prim'X Technologies

3 Inleiding Zed! is een eenvoudig te gebruiken softwareproduct waarmee containers met versleutelde bestanden (die worden gecomprimeerd) worden gemaakt, die vervolgens gearchiveerd kunnen worden of kunnen worden uitgewisseld met andere personen, in de vorm van bijlagen bij s of opgeslagen op media als USB-steutels. Het gebruik van de versleutelde containers is intuïtief en lijkt op dat van gecomprimeerde ('gezipte') mappen onder Windows XP. In de volledige versie kan men met een sleutel een versleutelde container beveiligen. Deze sleutel heeft ofwel de vorm van een wachtwoord 'uitwisseling' die u aan een contactpersoon doorgeeft, ofwel de vorm van een RSA-certificaat, gekozen uit de gecertifieerde bestanden of gezocht in een LDAP-lijst met certificaten. De containers Zed! kunnen voor meerdere doelen worden gebruikt. Over het algemeen wordt een container van te voren ingesteld om met één contact gebruikt te worden, met een ingestelde toegang (beveiligd door een sleutel). Deze container kan vervolgens steeds opnieuw worden gebruikt door eenvoudig de bestanden die er in zijn opgeslagen te vernieuwen. De verschillende edities Zed! wordt uitgebracht in de vorm van verschillende edities: De Standaard Editie, met het complete programma. De gelimiteerde gratis uitgave. Deze kan vrij worden verspreid en gratis gebruikt, de inhoud van containers kan er mee worden gelezen en gewijzigd, maar er kunnen geen nieuwe containers mee gemaakt worden en de door de maker van de container ingestelde beveiliging kan niet worden gewijzigd (sleutel, wachtwoord). De gelimiteerde gratis uitgave bestaat in twee vormen: een te installeren vorm (met een installatieprogramma) die wordt opgenomen in Windows Verkenner. een eenvoudig uitvoerbaar programma, dat gemakkelijk van computer naar computer kan worden verplaatst en die geen installatie behoeft Tenslotte wordt Zed! opgenomen in de verschillende producten van het gamma ZoneCentral. Installatie U dient voor de computer over voldoende rechten te beschikken om de software te kunnen installeren ('systeembeheerder' of 'powered user'). Om dit programma te installeren, dient u het bijgeleverde installatieprogramma 'Setup Zed!' uit te voeren. De standaardinstallatie wordt snel uitgevoerd. Zed! 3.1 Handleiding NL - PX Prim'X Technologies

4 Gebruik 1 - Een container maken: Klik met de rechtermuisknop in een map of op het bureaublad, open het menu [Nieuw] en kies [Versleutelde container]. Bij het aanmaken krijgt het bestand een standaardnaam, die u vervolgens kunt veranderen. De container is nu gemaakt, maar deze is nog niet geïnitialiseerd. Dat gebeurt automatisch als u de container opent. De extensie van de versleutelde container est '.zed'. 2 Als voor de eerste keer een container wordt gemaakt Zodra de container die u hebt gemaakt wordt geopend, verschijnt er een Wizard waarmee u een persoonlijke toegangssleutel kunt kiezen. Deze sleutel wordt vervolgens voor iedere versleutelde container die u aanmaakt automatisch ingesteld en u hebt deze sleutel nodig om de containers te openen. Deze persoonlijke sleutel kan zijn: Een door u gekozen wachtwoord. Een cryptografische RSA-sleutel, die is verbonden met een certificaat en die in verschillende 'sleutelhangers' kan worden opgeslagen: Een bestand met sleutels (over het algemeen.pfx of.p12), beveiligd door een wachtwoord. Een chipcard of een USB token, van het type RSA (de meeste merken die op de markt zijn worden ondersteund), die de norm PKCS#11 respecteren. Een container met sleutels die zijn te openen via de interface CRYPTOAPI van Windows. Deze container kan zijn opgeslagen in de mappen van uw gebruikersprofiel van Windows of in een map van een 'derde partij'' (waaronder ook kaarten met een chipcard of 'USB tokens' van het type RSA vallen). Opmerking: het programma Zed! maakt geen RSA-sleutels of certificaten aan. Als u sleutels van dit type wilt gebruiken, moet u gebruik maken van de diensten van een PKI (Public Key Infrastructure - openbare infrastructuur van sleutels), geleverd door een bedrijf, een openbare dienst of commerciële dienst. Varianten: uw systeembeheerder kan het veiligheidsbeleid van het product aanpassen wat het gedrag in deze etappe wijzigt: Hij kan bepaalde functies uitschakelen (zoals bepaalde wachtwoorden verbieden). Hij kan een minimale lengte van wachtwoorden eisen. In het geval van RSA-sleutels, kan hij eisen dat er bepaalde regels op de certificaten en sleutels worden toegepast. Hij kan tevens het gebruik eisen van vooraf gedefinieerde RSA-sleutels binnen Windows, die worden gepubliceerd op de controller van uw domein. U kunt de te gebruiken sleutel niet zelf kiezen maar er één gebruiken die aan u is geleverd (voor deze gelegenheid of een sleutel die u al voor andere doelen gebruikt). Zed! 3.1 Handleiding NL - PX Prim'X Technologies

5 In de eerste etappe, na de homepage, kiest u een type sleutel (hier is het een wachtwoord). In de volgende pagina dient u een gebruikers-id te kiezen. Het programma voert standaard uw gebruikersnaam van Windows in, maar deze kunt u veranderen. Deze gebruikersnaam komt u later van pas om 'herkend' te worden bij de verschillende opties om toegang tot een container te krijgen. Als uw gebruikersnaam wordt weergegeven, weet u dat u uw wachtwoord moet invoeren. het is een goede gewoonte om tevens uw adres in te voeren. Vervolgens dient u een persoonlijk wachtwoord te kiezen dat u twee keer in moet voeren, om te controleren dat u het de eerste keer goed heeft ingevoerd. Als het rondje naast uw wachtwoord rood blijft als u het de eerste keer hebt ingevoerd, betekent dat uw wachtwoord niet 'veilig' genoeg is. Als u uw wachtwoord bevestigt, staat het rondje op oranje zolang u geen fout maakt wordt groen als uw invoer dezelfde is als de eerste keer en rood als u een fout maakt. Om de 'veiligheid' van uw wachtwoord te vergroten, kunt u het type lettertekens afwisselen: kleine letters, hoofdletters, cijfers, schrijftekens. Zo vergroot u het aantal waarden dat voor één plaats gekozen kan worden, zodat het wachtwoord veiliger wordt. Ook kunt u het wachtwoord langer maken. Het is de zaak het juiste evenwicht te vinden tussen een 'kort maar ingewikkeld wachtwoord' en een 'lang maar eenvoudig wachtwoord'. Opmerking: het is mogelijk dat uw systeembeheerder u tot een zeker niveau van veiligheid voor het wachtwoord verplicht. In de standaardinstelling verplicht het programma u om een redelijk veilig wachtwoord in te voeren, dat veiliger is dan het gemiddelde wachtwoord. Zed! 3.1 Handleiding NL - PX Prim'X Technologies

6 U dient nu te bevestigen, waarna deze stap is afgesloten. U hoeft deze stap vervolgens niet nog eens te maken. Voor het gebruik van RSA-sleutels is de te volgen procedure bijna identiek: afhankelijk van het geval wordt u gevraagd een bestand sleutels te kiezen, of om uw kaart of token USB in te voeren, of uw certificaat te kiezen. U dient de toegangscode in te voeren (van het bestand, de kaart, ) en te bevestigen. Als er meerdere sleutels beschikbaar zijn, onderzoekt het programma deze en wijst de sleutels af die niet in deze context te gebruiken zijn, waarna u uit de overblijvende sleutels kunt kiezen. Zodra deze etappe is voltooid, gaat de betreffende container open. 3 - een container openen: Om de container te openen kunt u er op dubbelklikken of het snelmenu [openen] gebruiken. De container en de bestanden die er in zijn opgeslagen worden weergegeven. De vorm en de ergonomie van deze 'pseudo-map' lijken sterk op die van gecomprimeerde mappen (.zip) onder Windows XP. Alle gebruikelijke handelingen met bestanden zijn toegestaan (slepen - verplaatsen, kopiëren - plakken, de naam veranderen, verwijderen, enz.). Maar zodra één van deze operaties tot de vercijfering/ontcijfering van een bestand leidt, zal de toegangsleutel worden gevraagd (zie hieronder). Zed! 3.1 Handleiding NL - PX Prim'X Technologies

7 4 - De eerste handeling met een bestand in de container,...een toegangsleutel wordt gevraagd. Dat kan een wachtwoord zijn die u met de persoon heeft afgesproken die u de container heeft gestuurd (hier, 'Xavier'), of een sleutel RSA, die u bewaart in een bestand sleutels (.pfx), een geheugenkaart, of een sleutel die is opgeslagen in een sleutelbos van Windows (CSP). Indien nodig wordt deze bij een andere operatie opnieuw gevraagd. Opmerking: Kies het pictogram dat overeenkomt met het type toegangsleutel dat u bezit. Het eerste geeft de wachtwoorden aan, het tweede de bestanden met sleutels (.pfx) en het derde een geheugenkaart. In het laatste geval dient u de daarbij horende vertrouwelijke code in te voeren. De geleverde toegangsleutel wordt vervolgens een zekere tijd in het geheugen bewaard. Als uw toegangsleutel deel uitmaakt van een sleutelhanger Windows (CSP) en als deze inderdaad de container kan openen, dan zal dit venster niet worden weergegeven. Het openen gaat ofwel automatisch, zonder verzoek tot paswoord, ofwel het venster van de CSP wordt gebruikt (dat hangt af van eventuele extra CSP-onderdelen die op uw computer kunnen zijn geïnstalleerd). Het programma Zed! is zo ontwikkeld dat het standaard een aantal geheugenkaarten RSA (of USB tokens) herkent, met name die van de merken ActivCard, Aladdin, Rainbow, Axalto en GemPlus. Als uw kaart niet in de lijst wordt weergegeven, betekent dat zeker dat deze niet van het vooraf geconfigureerde type is. In dat geval is het mogelijk om contact op te nemen met de Technische Hulpdienst die u de technische procedure geeft om uw type kaart te configureren (als deze compatibel is). Zed! 3.1 Handleiding NL - PX Prim'X Technologies

8 5 - Een bestand in de container openen Deze operatie vereist een toegangsleutel als u die in dit stadium nog niet hebt gekregen. U kunt het bestand kiezen door er op te klikken en het openen door er op te dubbelklikken, of door het snelmenu weer te geven (klik één keer met de rechtermuisknop) en kies daarna [openen]. Nu wordt het bestand uitgepakt, ontcijfert en gedecomprimeerd en naar een tijdelijke map gekopieerd, waarna het bestand wordt geopend door de toepassing die dit gewoonlijk op uw computer doet. Als een bestand dezelfde naam heeft als een bestand dat al in de tijdelijke map aanwezig is, wordt u gevraagd of u deze wel of niet wilt vervangen. 6 - Bestand in de container uitpakken Deze operatie vereist een toegangsleutel als u die in dit stadium nog niet heeft gekregen. De gekozen bestanden worden uitgepakt, ontcijferd, gedecomprimeerd en in een aangegeven map gekopieerd. Deze operatie kan op verschillende manieren worden uitgevoerd: U kunt de bestanden in de container [kopiëren] en ze daarna op een plaats [plakken] waar u de bestanden wilt bewaren (op het bureaublad, in een andere map, enz. (u kunt ook de sneltoetsen [Ctrl-C/Ctrl-V] of [knippen/plakken] gebruiken). U kunt de gekozen bestanden vanuit de container naar de nieuwe plaats [slepen/verplaatsen] waar u de bestanden wilt bewaren. U kunt ook het snelmenu [uitpakken] gebruiken om de bestanden in de container uit te pakken: in dat geval wordt een venster weergegeven zodat u de nieuwe plaats voor het bestand aan kunt wijzen. U kunt ook het snelmenu [uitpakken] gebruiken in de achtergrond van de container: in dat geval wordt een venster weergegeven zodat u de nieuwe plaats voor het bestand aan kunt wijzen waarna ALLE bestanden worden uitgepakt. Als er al één of meerdere bestanden van dezelfde naam voorkomen, vraagt een venster u de bevestiging van de vervanging. 7 - De bestanden in de container hernoemen U kunt bestanden hernoemen, de toegangsleutel is hiervoor niet benodigd. U kunt met de muis [één click] op het bestand geven, of de toets [F2] of het snelmenu [Hernoemen] gebruiken en daarna de nieuwe naam invoeren (die aan de gebruikelijke eisen voor namen van bestanden dient te voldoen). 8 - Bestanden uit de container verwijderen U kunt bestanden verwijderen, de toegangsleutel is hiervoor niet benodigd. Kies de bestanden en gebruik de toets [Suppr] of het snelmenu [Verwijderen]. Let op! De bestanden uit de container die worden verwijderd, worden niet eerst in de 'vuilnisbak' geplaatst. 9 - Bestanden aan een container toevoegen Deze operatie vereist een toegangsleutel als u die in dit stadium nog niet heeft gekregen. Om een bestand aan de container toe te voegen dient u het bestand te kopiëren, het te comprimeren en het in de container te vercijferen. Deze operatie kan op verschillende manieren worden uitgevoerd: U kunt de oorspronkelijke bestanden [kopiëren], om ze in een container te [plakken] (u kunt ook de sneltoetsen [Ctrl-C/Ctrl-Ven [knippen/plakken] gebruiken). U kunt de bestanden naar de container [slepen/verplaatsen]. Zed! 3.1 Handleiding NL - PX Prim'X Technologies

9 U kunt ook het snelmenu [Toevoegen...] gebruiken in de achtergrond van de container : in dat geval wordt een venster weergegeven zodat u de nieuwe plaats voor de toe te voegen bestanden aan kunt wijzen. Het is niet mogelijk om deze operatie uit te voeren in een map, of met een gekozen groep elementen die een map bevat De toegangssleutels van de container wijzigen Als deze wordt aangemaakt, bevat een container altijd een persoonlijke toegangssleutel, met uw persoonlijke wachtwoord. Opmerking: als de container door iemand anders is gemaakt en naar u is toegestuurd, zal deze normaal gesproken niet uw persoonlijke sleutel bevatten. Als u een RSA-sleutel hebt, zal dat wel vaak het geval zijn want uw contact zal uw certificaat hebben gebruikt. Maar als het om een wachtwoord gaat, is het waarschijnlijk dat het gaat om een wachtwoord dat u met uw contact hebt afgesproken en wat niet hetzelfde zal zijn als uw gebruikelijke wachtwoord (behalve als u dat juist wel hebt gebruikt). De container kan ook op andere manieren zijn vergrendeld, bijvoorbeeld via het type RSA, wat tijdens de configuratie van het programma door uw systeembeheerder kan worden ingesteld. Als u de container als een 'diplomatenkoffer' wilt gebruiken en deze met meerdere personen wilt delen, moet u eerst een geheim wachtwoord met ze afspreken. Als uw contact een RSA-sleutel of een daarbij horend certificaat heeft, kunt u direct dat certificaat gebruiken. Zo niet dan kunt u met uw contactpersoon een wachtwoord afspreken. U kunt de instelling van de toegang tot de container op de volgende manier openen: Het snelmenu gebruiken op het bestand in de container zelf (rechtermuisknop op het bestand, optie [Toegangen]. Open de container en klik met de rechtermuisknop in het venster, optie [Toegangen]. Het venster dat daarna wordt geopend geeft de bestaande toegangen weer, waarin u toegangen kunt toevoegen of verwijderen. Als het gaat om toegangen met een RSA-sleutel/Certificaat, dan kunt u het certificaat raadplegen. Het weergegeven pictogram verschilt per toegangstype net als de helptekst die extra informatie geeft. 11 Een toegang uit de lijst verwijderen In het voorgaande venster, kunt u eerst de toegang kiezen en daarna met de knop [Verwijderen] of het snelmenu [Verwijderen] de toegang uit de lijst verwijderen. Nadat u hebt bevestigd, wordt de toegang in het venster gewist. Als u alle gewenste wijzigingen in de toegangen hebt voltooid, kunt u ze met de knop [Toepassen] operationeel maken, of op [OK] drukken (dit zal dit venster tevens sluiten). Merk op dat als er toegangen wordt gewijzigd, maar niet worden opgeslagen, in de titel van de lijst ('Toegangen') een sterretje verschijnt ('Toegang*'). Zed! 3.1 Handleiding NL - PX Prim'X Technologies

10 12 Wijzigen van een wachtwoord In hetzelfde venster met toegangen, kunt u hiervoor een toegang van het type wachtwoord kiezen en het snelmenu [Wachtwoord wijzigen] gebruiken. moet voldoen aan dezelfde veiligheidseisen. Net als bij het maken van een wachtwoord, moet het gewijzigde wachtwoord twee keer worden ingevoerd om het te verifiëren, en het Opmerking: als u het oude wachtwoord bent vergeten, kunt u deze toegang ook eenvoudig verwijderen en daarna een nieuwe toegang maken, met dezelfde naam maar met een nieuw wachtwoord. Zo verliest u alleen informatie over het beheer (de originele datum van het aanmaken van de toegang). 13 Een toegang per wachtwoord toevoegen Vanuit het venster met toegangen, klikt u op de knop [Toevoegen]. Er verschijnt nu een venster met meerdere tabbladen, het eerste heet [Wachtwoord geadresseerde]. U kiest dit en daarna: Kiest u een naam voor deze toegang. Deze naam kan afhangen van de manier waarop het wordt gebruikt. Als het eenvoudig gaat om een afspraak met een andere persoon, kunt u bijvoorbeeld zijn adres invoeren. Als het gaat om de toegang die door meerdere personen wordt gebruikt, kunt u hier de naam van een werkgroep invoeren. Deze informatie kan naar goeddunken worden ingevuld, maar moet wel duidelijk zijn, want deze verschijnt vervolgens in het verzoek een sleutel in te voeren als u de container wilt openen. Voer het afgesproken wachtwoord in, of kies een nieuw wachtwoord, dat u vervolgens via een andere weg aan uw contact(en) meedeelt. Net als bij het maken van ieder wachtwoord, moet het twee keer worden ingevoerd om het te verifiëren en het moet voldoen aan dezelfde veiligheidseisen. 14 Een toegang per RSA-certificaat toevoegen In hetzelfde venster kunt u het tabblad [Certificaten van de ontvanger] of het tabblad [Adreslijsten] kiezen. Het gebruik van de adreslijsten wordt in de volgende paragraaf beschreven. Zed! 3.1 Handleiding NL - PX Prim'X Technologies

11 Locaal, op uw computer, kunnen de certificaten worden gevonden in: De bestanden van de certificaten. Er bestaan vele standaardformaten, de meeste worden ondersteund (bestanden met de extensies.cer,.p7b, enz.). Als uw contacten u certificaten in de vorm van bestanden geven, doet u ze over het algemeen in een map, waarin u naar de bestanden kunt zoeken, er meerdere kunt kiezen en de certificaten die ze bevatten kunt bekijken en uitkiezen. De mappen met certificaten die uw systeem Windows beheert, wat een andere manier is om ze op te slaan en om ze terug te kunnen vinden. U kunt ze met Internet Explorer beheren, vanuit het menu [Hulpmiddelen], het tabblad [Inhoud], knop [Certificaten]. Als u op de knop drukt die het pictogram van Internet Explorer weergeeft, wordt daarna het venster gevuld met certificaten die beschikbaar zijn in deze mappen. De certificaten worden meteen in dit venster gecontroleerd. Afhankelijk van de resultaten, ontvangen ze verschillende pictogrammen. Het pictogram 'zandloper' geeft aan dat de controle nu bezig is. Soms kan dat enige tijd duren, als de lijsten met herroepingen (CRL's) moeten worden gedownload. Vergeet niet de helptekstballon weer te geven om de reden van een verificatiestatus weer te geven. Merk tevens op dat er snelmenu's in de certificaten en in de lijst aanwezig zijn, die het mogelijk maken: - om een certificaat weer te geven. - de controle van een certificaat uit te voeren. - alles te annuleren, of alles aan te kruisen of te vragen dat de certificaten standaard worden aangekruist/geannuleerd als ze worden weergegeven (als ze gebruikt kunnen worden). 15 Het gebruik van een adreslijst met certificaten Sommige bedrijven stellen adreslijsten beschikbaar ('adreslijsten LDAP' genaamd) waarmee de certificaten van personen gevonden kunnen worden, vanaf hun naam of een adres. Ook openbare of commerciële organisaties doen dit vaak. Het zoeken wordt uitgevoerd door het adres van de adreslijst en de te zoeken naam, gedeeltelijk of volledig, op te geven. Ook wordt vanzelfsprekend een verbinding gevraagd naar de betreffende adreslijst. Als uw computer deel uit maakt van een Windows domein, dat vaak een adreslijst LDAP bevat, wordt zijn adres gevonden en voorgesteld. Dit functioneert als er intern een PKI (infrastructuur van certificaten) bestaat en als de certificaten op die plaats worden gepubliceerd. Een voorbeeld van een vrij beschikbare server is 'directory.verisign.com', u kunt deze testen met Amerikaanse namen, zoals 'parker' of 'johnson'. In dit venster vindt men dezelfde opties in de snelmenu's als in het bovenstaande. Zed! 3.1 Handleiding NL - PX Prim'X Technologies

12 Beheer Het programma is ontwikkeld om in bedrijven te worden gebruikt. Het is compatibel met de meest gebruikte logistieke middelen, wat het onder meer mogelijk maakt: Om tele-installaties (door GPO van Windows-servers, of door gespecialiseerde programma's, zoals SMS, Tivoli, enz.) uit te voeren. Om de optie-instelling met de 'beleidsregels van de groep' (GPO), lokaal of de domeinen, met de domeincontrollers Windows of Novell te gebruiken. Om PKI's van alle merken te gebruiken en van daarmee verbonden services, zoals LDAP en het interne beleid op het gebied van het beheer van sleutels (wachtwoorden, RSA-sleutels, types sleutelhangers, merken van de chipcard, enz.). Het kan worden zowel worden gebruikt in eenvoudige en autonome omgevingen (geïsoleerde laptops, kleine kantoren) als in omgevingen met een uitgebreidere logistiek. In het kader van een beheerde omgeving, bestaan de etappes uit: Het begrijpen van de verschillende parameters van de beleidsregels voor de veiligheid (GPO's) en het indien nodig op papier definiëren van de waarden. De manier bepalen waarop deze beleidsregels worden beheerd: via de domeincontrollers/domeinen/ forests, wat een aanbevolen optie is in een omgeving die over deze logistiek beschikt, of lokaal op de computers (lokale beleidsregels). In het laatste geval, kunt u kiezen een 'master-kopie' van het programma te maken, opdat de beleidsregels met het installatiepakket worden overgebracht, wat de installatiemethode ook is. Het vaststellen van een distributiemodus voor het programma: hoe wordt het geïnstalleerd, door wie? Zed! 3.1 Handleiding NL - PX Prim'X Technologies

13 Configuratie (beleidsregels/gpo) Het systeem voor GPO's (Group Policy Objects) van Windows wordt als bekend beschouwd en wordt hier niet beschreven. We herinneren er slechts aan dat het lokaal toegankelijk is via [gpedit.msc], voor de lokale beleidsregels, op een server Windows is het toegankelijk via [ActiveDirectory Gebruikers en Computers] (eigenschappen van een domein of een organisatorische eenheid) en ook via [gpmc.msc] (alleen op bepaalde servers). Het model voor het beheer van de beleidsregels heet [zed_policies_fra.adm] (of [zed_policies_enu.adm] voor de Engelse versies) en is te vinden in de map [Windows/Inf]. Om het op de domeincontroller te gebruiken, hoeft u deze slechts in dezelfde map op de server te kopiëren. Hij moet worden geladen met het gebruikte hulpmiddel ([GPEDIT], [GPMSC], ) in 'Beheersjablonen' (snelmenu [modellen toevoegen/verwijderen]). Alle beleidsregels van het programma bevinden zich in de rubriek [Computerconfiguratie]. Ieder beleid heeft een nummer en er is een helptekst mee verbonden. Om een beleid te configureren, hoeft u er alleen maar op te dubbelklikken. Beleid geactiveerd: de actie van het beleid is geactiveerd. Deze actie kan een verbod of een toestemming zijn. Soms kan er sprake zijn van een hiermee verbonden waarde. Als een beleid is geactiveerd op een zeker niveau in de hiërarchie forest/domein/organisatorische eenheid van een Windows-netwerk, kan het niet worden gewijzigd op een lager niveau en in principe ook niet op de computers (lokale beleidsregels). Beleid gedeactiveerd: De actie van het beleid is niet geactiveerd, het is alsof deze niet is geïnstalleerd. Dit geval is alleen nuttig op een domeincontroller (of domein, forest, organisatorische eenheid), want dat maakt het mogelijk om te voorkomen dat een lager hiërarchische niveau het kan activeren. Beleid niet geconfigureerd: de actie van het beleid is niet geactiveerd. Maar in een hiërarchie forest/domein/organisatorische eenheid van een Windows-netwerk, kan het op een lager niveau worden gewijzigd (geactiveerd of gedeactiveerd). Zed! 3.1 Handleiding NL - PX Prim'X Technologies

14 P050 Identificatie van de beleidsregels Waarde van het type tekst vrije inhoud Dit beleid heeft geen enkele invloed op het programma en de inhoud is vrij. Het kan gaan om een opmerking, een datum, een versienummer Hierdoor kunt u het 'geheel van beleidsregels' identificeren en vervolgens deze informatie op de computers raadplegen om met gemak meteen een configuratieversie te identificeren. P102 Met wachtwoorden de toegang verbieden Waarde van het type Ja/Nee. Standaardwaarde: Nee (niet verboden, dus toegestaan). Dit maakt het mogelijk om de toegang tot de versleutelde container van het type 'wachtwoord' te verbieden. Het activeren van dit beleid voorkomt dat de gebruiker: Een wachtwoord als persoonlijke sleutel kiest (bij het initialiseren). Toegangen toevoegt aan de containers met wachtwoorden. Een container met een toegang per wachtwoord opent, zelfs als de container er al één bevat. De knop-pictogram [wachtwoorden] (de eerste verticaal) in de vensters voor het aanvragen van toegangsleutels wordt niet weergegeven. Ook het tabblad [Gedeelde Wachtwoorden] verschijnt niet in het venster toegang toevoegen. Voorbeeld gebruik: het interne beleid is om geen toegangen per wachtwoord te gebruiken, zelfs voor versleutelde containers. Het is niet erg gebruikelijk om dit beleid te activeren, want de wachtwoorden komen goed van pas voor de uitwisselingen met derden buiten het bedrijf, zelfs als er PKI's zijn. Zie ook: P107/P108 P108 voor de verplichte veiligheid van wachtwoorden. Zie ook: P103/ / om andere types toegang toe te staan en te verbieden. P103 - Het gebruik van de sleutelbestanden PKCS#12 Waarde van het type Ja/Nee. Standaardwaarde: Nee (niet verboden, dus toegestaan). Maakt het mogelijk om het openen te verbieden van containers met toegangssleutels van het type 'RSA-sleutel' die worden bewaard in de 'bestanden' in de sleutelhangers van het formaat PKCS#12 (die over het algemeen de extensie.p12 of.pfx hebben). De directe consequentie van dit beleid is dat de knop-pictogram [bestand met sleutels] (de tweede verticaal) in de vensters voor het aanvragen van toegangsleutels niet wordt weergegeven. Voorbeeld gebruik: het interne beleid is om de sleutelbestanden niet te gebruiken, of de RSA-sleutel niet te gebruiken (afwezigheid van de PKI). In dit laatste geval dient u ook P104 en P105 te configureren. Zie ook: P103/ / om andere types toegang toe te staan en te verbieden. P103 - Het gebruik van kaarten/tokens PKCS#11 verbieden Waarde van het type Ja/Nee. Standaardwaarde: Nee (niet verboden, dus toegestaan). Maakt het mogelijk om het openen te verbieden van containers met toegangssleutels van het type 'RSA-sleutel', die worden bewaard in de sleutelhangers PKCS#11 (geheugenkaarten, USB-tokens). Let op! Dit beleid verbiedt in feite het gebruik van de interface PKCS#11 om de sleutelhangers en sleutels mee te activeren. Maar het is mogelijk dat ze tevens via een andere interface (CSP) toegankelijk zijn. Om ze volledig te verbieden, moet tevens het beleid P105 worden geactiveerd. Zed! 3.1 Handleiding NL - PX Prim'X Technologies

15 Voorbeeld gebruik: het interne beleid is om de kaarten of USB tokens niet te gebruiken of om de interfaces PKCS#11 niet te gebruiken om sleutelhangers, geheugenkaarten of USB tokens te gebruiken. Zed! herkent de meeste bibliotheken PKCS#11 die op de markt zijn. Maar de namen van die biblioteken kunnen in de nieuwe versies veranderen. Het beleid P296 maakt het mogelijk deze lijst te vergroten (of persoonlijk te maken). De regels van het beheer van de 'middleware' PKCS#11 variëren, afhankelijk van de fabrikanten. Als men kaarten of tokens RSA gebruikt, is de keuze tussen het interface PKCS#11 en het interface CSP vooral een ergonomische keuze. De keuze wordt niet om veiligheidsredenen bepaald, want in beide gevallen blijft de RSA -sleutel op de kaart staan en de berekeningen worden door de kaart uitgevoerd. De meeste fabrikanten van kaarten/tokens leveren de twee implementaties. In de mode PKCS#11 wordt het openingsvenster van Zed! nog steeds weergegeven. In de modus CSP, wordt het venster van de fabrikant weergegeven. De 'single-login' compleet met de SmartCardLogin van Windows is normaal gesproken alleen in de modus CSP mogelijk. Maar bepaalde fabrikanten weten de context van de opening van CSP/SmartCardLogin te gebruiken om deze uit te breiden tot de applicaties PKCS#11. Bekende beperking: bepaalde merken ondersteunen het niet dat de RSA-sleutel die is opgeslagen in de kaart/token, de symmetrische sleutels (DES, AES, ) van een lengte die groter is dan 128 bits vercijfert. In dat geval dient het beleid P290 geconfigureerd te worden om de afmeting van symmetrische sleutels die worden gebruikt door Zed! te beperken. Zie ook: P296 om de lijst met gebruikte PKCS#11 te wijzigen. Zie ook: P103/ / om andere types toegang toe te staan en te verbieden. P105 - Het gebruik van providers CSP verbieden Waarde van het type Ja/Nee. Standaardwaarde: Nee (niet verboden, dus toegestaan). Maakt het mogelijk om de opening van containers te verbieden met sleutelbossen CSP (Microsoft CryptoAPI). De CSP-archieven kunnen standaard Windows archieven zijn of archieven van een derde partij (de meeste fabrikanten van RSA kaarten & tokens bieden een run-time CSP aan). Voorbeeld gebruik: het interne beleid is om CSP-interfaces (zelfs van derde partijen) niet te gebruiken. Opmerkingen: het gebruik van CSP-providers, als dat is toegestaan, heeft voorrang op de andere soorten toegang: deze standaard vereist inderdaad dat het de CSP zelf is die de grafische interfaces voor de bevestiging van het gebruik van sleutels (bevestiging, verzoek om de code, enz.) maakt. Om te voorkomen dat u eerst het openingsvenster Zed! dient te valideren en vervolgens dat van de CSP, wordt eerst het venster van de CSP voorgesteld. een CSP wordt alleen genoemd als het een oplossing voor de sleutel biedt (certificaat en privé RSA-sleutel) dat acceptabel is voor het te openen doel (container). Afhankelijk van de implementatie, kan hun ergonomische reactie variëren. Bijvoorbeeld bepaalde CSP's kunnen een verzoek tot invoeren van de kaart weergeven dat beperkt wordt tot de gevraagde sleutel, andere kunnen alle ingevoerde kaarten accepteren. Het gebruik met de SmartCardLogin van Windows: met bepaalde middleware 'CSP' geldt het openen van de kaart/token bij de opening van de Windows-sessie voor alle volgende applicaties tijdens die Windows-sessie. In dat geval gaat de opening van een container automatisch en op transparante wijze, want een oplossing van de sleutel is beschikbaar en al geopend. Zed! 3.1 Handleiding NL - PX Prim'X Technologies

16 Zie ook: P103/ / om andere types toegang toe te staan en te verbieden. P107/P108 - Vereiste niveau van veiligheid voor wachtwoorden Een digitale waarde heeft de 'veiligheid' aan (de standaardwaarde is 40) en er kan worden gekozen uit '1', '2' of '3' om de ingewikkeldheid aan te geven (de standaardwaarde is: 2). De 'veiligheid' (P107) van een wachtwoord wordt beoordeeld door naar meerdere factoren te kijken, zoals de lengte, het aantal gebruikte categorieën lettertekens en de herhaling van hetzelfde letterteken (lijst niet volledig). Daarnaast geeft de ingewikkeldheid (P108) de frequentie aan van de overgang van een categorie lettertekens naar een ander categorie. Een kort maar complex wachtwoord kan hetzelfde niveau van veiligheid hebben als een langer wachtwoord, dat minder complex is. De standaardwaarde van 40 geeft een compromis aan tussen het lastige invoeren en de veiligheid van het wachtwoord. Het vergroten van de vereiste ingewikkeldheid maakt het mogelijk om de lengte van wachtwoorden te verkleinen, maar de gebruiker moet dan wel minder 'gebruikelijke' lettertekens gebruiken. Door het wachtwoord minder ingewikkeld te maken, is het minder lastig in te voeren, maar dit verplicht u er toe langere wachtwoorden te gebruiken. Dit beleid wordt toegepast op: de eerste keuze van het wachtwoord door de gebruiker. iedere toevoeging van een toegang van het type 'wachtwoord' in een container. iedere verandering van een wachtwoord voor een bestaande toegang van het type 'wachtwoord' in een container. Voorbeeld gebruik: een functie van het interne beleid. Het wijzigen van deze waardes heeft geen retroactief effect op wachtwoorden die al zijn geconfigureerd. Zie ook: P102 voor het met wachtwoorden toestaan of verbieden van een toegang. P129 Gebruik van een persoonlijk certificaat in ActiveDirectory digitale waarde (0=gedeactiveerd, 1=indien mogelijk, 2=verplicht). Standaardwaarde: 0 (gedeactiveerd). Deze optie is alleen mogelijk voor de toegangssleutels RSA (een PKI is noodzakelijk). Als het mogelijk is dit toe te passen, is deze mode erg handig want het vereenvoudigt behoorlijk de taak van de systeembeheerder en die van de gebruiker. Want hij maakt het mogelijk om eenvoudig en zonder ambiguïteit, zonder allerlei vragen te stellen, de sleutel te bepalen die de gebruiker moet presenteren om zijn versleutelde containers te maken. Daarvoor is het nodig dat de PKI de certificaten van de gebruikers publiceert in hun profielen ActiveDirectory, in het veld dat hiervoor is bedoeld ([UserCert]). De PKI kan elke PKI zijn, als deze die publicatie maar uitvoert. Merk op dat dit niet betekent dat de LDAP-server van de certificaten (als er een server is) die van de ActiveDirectory moet zijn, want er kan heel goed elders een andere LDAP-server bestaan. Maar het is gemakkelijk om via ActiveDirectory een relatie (toewijzing) te maken tussen de huidige gebruiker (van het domein), zijn ActiveDirectory profiel en het certificaat van zijn sleutel voor de vercijfering. Op de server van ActiveDirectory, door [Gebruikers en Computers in ActiveDirectory] te starten kan men eigenschappen van een gebruiker opvragen. Daarvoor moet u eerst om een geavanceerde weergave (Menu [Weergave] van de MMC) hebben gevraagd. Vervolgens verschijnt het tabblad [gepubliceerde certificaten]. Dat komt overeen met het veld dat Zed! zal onderzoeken als dit beleid is ingesteld. Zed! 3.1 Handleiding NL - PX Prim'X Technologies

17 Als deze publicatie door de PKI wordt uitgevoerd, constateert men over het algemeen dat dit veld snel een aantal certificaten bevat. Maar weinig PKI 'verwijderen' de verouderde, ingetrokken, enz., certificaten en ze gebruiken allemaal ditzelfde veld (meerdere waarden) om alle certificaten van een gebruiker te publiceren (authentificatie, handtekening, vercijfering ). Dit is geen probleem voor Zed!, die ze sorteert: het verwijdert de certificaten die geen certificaten van vercijfering zijn en de verouderde en ingetrokken certificaten. Als er tenslotte meerdere in aanmerking komen, kiest Zed! de meest recente (meest recente begindatum van geldigheid). Als de sleutel van de gebruiker, tijdens de eerste procedure, bepaald moet worden, kan deze zijn sleutel niet kiezen, hij moet DE overeenkomende sleutelhanger presenteren (bestand, kaart). Als de waarde van dit beleid 'verplicht' aangeeft, moet de gebruiker verplicht de overeenkomende sleutel aan het gepubliceerde certificaat presenteren (of annuleren). Als er geen gepubliceerd certificaat is, wordt de gevraagde operatie geweigerd. Merk op dat dit betekent dat de gebruiker voor de procedure van het initialiseren met zijn domein wordt verbonden (uitsluitend op dat moment). Als dit niet het geval is dient op de verbinding gewacht te worden om de (geweigerde) operatie uit te voeren. Dit betekent tevens dat de gebruiker inderdaad een sleutel en een certificaat heeft en dat de sleutel verplicht in ActiveDirectory is gepubliceerd. Als de waarde 'indien mogelijk' aangeeft, terwijl een certificaat in ActiveDirectory is aangetroffen, wordt deze gebruikt (en verplicht gebruikt) en de gebruiker moet dan de daarmee overeenkomende sleutel presenteren. Maar als ActiveDirectory niet bereikbaar is of als er geen certificaat is gepubliceerd, zal de oorspronkelijke Wizard worden weergegeven, en de gebruiker kan dan zelf kiezen welke sleutel hij wil gebruiken. Voorbeeld gebruik: Activeer dit beleid als de PKI de certificaten in ActiveDirectory publiceert (aanbevolen). P131 Verplichte toegangen De waarde van het type LIJST. De 'naam van de waarde' dient een bestandsnaam te bevatten (met het pad naar de locatie), en de 'waarde' moet de uitdrukking 'hash=xx YY ZZ ', of XX YY ZZ bevatten die de digitale vingerafdruk SHA1 van het betreffende bestand bevat. Het is mogelijk om net zo veel bestanden in de lijst te definiëren als men wenselijk acht. De bestanden moeten de bestanden met een certificaat zijn (.cer, codering Base64 of binaire). Het is niet mogelijk om de verplichte toegang met een wachtwoord te definiëren. Let op! Het komt vaak voor dat men fouten maakt bij het invoeren van het pad naar de locatie van een bestand. De netwerktoegangen worden ondersteund (en vaak gebruikt) en deze moeten in de form UNC (\\Server\Delen) worden omgezet. Als een lokale plaats wordt aangeduid, dient men te controleren dat de bestanden inderdaad op die plaats aanwezig zijn, anders wordt het maken van de containers verworpen. Dit beleid is zeer belangrijk. Want het maakt het mogelijk om een middel voor het herstel te definiëren en er voor te zogen dat deze automatisch in de versleutelde container wordt toegepast. Als dit beleid een bestand meldt dat niet gevonden kan worden, of dat niet overeenkomt met de geleverde vingerafdruk, wordt de actie van de gebruiker geweigerd. Om de vingerafdruk van een bestand te verkrijgen: Het is het veiligste om de opdracht 'zedcmd showhash' te gebruiken. Het wordt afgeraden om de inhoud van het certificaat weer te geven en gebruik te maken van de berekende vingerafdruk door de viewer van de Windows certificaten. Niet dat deze fout is, maar zijn berekeningswijze hangt niet af van het bestand van het certificaat en zijn formaat, maar van de waarde van het certificaat. En Zed! wenst de vingerafdruk van het bestand te hebben. Er kan sprake zijn van een verschil, afhankelijk van de codering van het bestand (Base64 enz.). Zed! 3.1 Handleiding NL - PX Prim'X Technologies

18 Voorbeeld gebruik: Bijna systematisch en het is één van de eerste dingen die gedaan moeten worden. Het enige geval waarin dit beleid kan worden genegeerd is als de PKI beslag legt op de waarden van de sleutels van de gebruikers. Zie ook: Het hulpmiddel [zedcmd], waarmee een vingerafdruk van een bestand berekend kan worden (opdracht [showhash]) en een master-kopie van het programma gemaakt kan worden om de bestanden met certificaten in het installatieprogramma 'in te voeren' opdat ze lokaal worden verspreid (opdracht [master-kopie]). P141 Hoofdmappen van toegestane certificaten De waarde van het type LIJST. De 'naam van de waarde' bevat een vrije omschrijving (bijvoorbeeld mijn hoofdmap) en de 'waarde' moet de uitdrukking ''sha1=xx YY ZZ ', of XX YY ZZ bevatten die de digitale vingerafdruk SHA1 van het betreffende certificaat aanduidt. Met dit beleid kan het aantal RSA-sleutels dat gebruikers kunnen gebruiken worden beperkt. Het is alleen van toepassing op de oorspronkelijke keuze van de sleutel, maar niet op de toevoegingen van een toegang door middel van certificaten. Het doel van dit beleid is te vermijden dat gebruikers RSA-sleutels gebruiken die ze zelf hebben gemaakt, op welke manier dan ook (Internet, gedownloade wizard, persoonlijke sleutel, enz.) en te garanderen dat ze alleen sleutels gebruiken die uit de officiële PKI afkomstig zijn. Want het risico bestaat dat ze met 'van alles' vercijferen. Dit beleid is zeer belangrijk in een precies geval: het beleid bestaat er uit om de sleutel voor het herstel niet toe te passen (systematische toevoeging van een 'huissleutel' aan elk vercijferd doel (cf P131) omdat de PKI beslag legt op de RSA-sleutels voor het vercijferen van gebruikers. In dit geval is het natuurlijk zeer belangrijk om de te gebruiken sleutels te beperken tot alleen de sleutels waarop beslag is gelegd, want anders is de herstelfunctie niet verzekerd. Het is mogelijk om hier meerdere certificaten te definiëren en de certificaten kunnen geen hoofdmappen zijn, maar tussen-autoriteiten (of zelfs eindcertificaten!). Maar opgelet, dit beleid levert de certificaten zelf niet, die dus beschikbaar moeten zijn in de PKI-omgeving (lokale mappen, LDAP, toegevoegd aan de sleutelhangers). Het hier vermelden van een toegestaan certificaat [van de autoriteit] betekent niet dat de controles van de certificaten wordt gestopt op dit niveau. Als bijvoorbeeld een certificaat van een tussen-autoriteit wordt vermeld, betekent dit, dat men het recht heeft om de certificaten die zijn uitgegeven te gebruiken, onder voorwaarde dat ze geldig zijn en dat die van de hier aangeduide autoriteit dat ook is. Voorbeeld gebruik: onmisbaar als de PKI beslag legt op de sleutels van gebruikers, voor andere gevallen is het altijd een goed idee om dit beleid toe te passen. P142/P143 Het gebruik toestaan buiten de datums van geldigheid (en het termijn voor de verlenging) Waarde van het type Ja/Nee. Standaardwaarde: Nee (volledige controle). Wat de termijn betreft, numerieke waarde (in dagen). Minimum: 0, Maximum: 365 standaardwaarde: 90 dagen Met dit beleid P142 kan men enige tijd nadat het is verlopen, toch doorgaan een certificaat te gebruiken (in realiteit, de sleutel van de gebruiker). Het beleid P143 maakt het mogelijk deze termijn te definiëren. Het komt inderdaad vaak voor dat ondanks alle waarschuwingen gebruikers de door de PKI gevraagde procedure voor het vernieuwen van certificaten of sleutels niet uitvoeren. In dat geval worden ze geblokkeerd en kunnen hun containers niet openen. Dit beleid geeft gebruikers een extra termijn: gedurende deze periode accepteert Zed! het openen van containers met hun sleutel en hun verlopen certificaten. Zed! 3.1 Handleiding NL - PX Prim'X Technologies

19 Dit beleid is van toepassing op de oorspronkelijke sleutel, het openen van de container met de sleutel en op de certificaten van derden die aan de container zijn toegevoegd. Als de extra termijn is afgelopen, of als dit beleid niet is ingesteld, wordt het openen van de container geweigerd en verschijnt er een bericht dat uitlegt waarom. Voorbeeld gebruik: Vrij te gebruiken P146 De controle op het gebruik van een sleutel verslappen Waarde van het type Ja/Nee. Standaardwaarde: Nee (volledige controle). Normaal gesproken weigert Zed! als programma voor het vercijferen, om de sleutel die is verbonden met een certificaat te gebruiken als dat certificaat niet duidelijk toestemming geeft voor het vercijferen ('KeyUsage' in de zin van X509). Met dit beleid kan de controle worden verslapt en kan een sleutel en een certificaat voor het vercijferen worden gebruikt, ongeacht de beperking die het certificaat oplegt. Dit beleid is van toepassing op de keuze van de oorspronkelijke sleutel, het openen van de container met de sleutel en op de certificaten van derden die aan de container zijn toegevoegd. Voorbeeld gebruik: zelden. Dit beleid dient slechts tijdelijk te worden gebruikt als er geen manier is om het anders te doen (bestaande certificaten waarvoor het gebruik van vercijferen niet is voorzien). P147 Toegestaan van 'Extended key usages' De waarde van het type LIJST. De 'naam van de waarde' moet de normale gebruikte OID (Object Identifier) bevatten (bijvoorbeeld: voor het beveiligde e- mailprogramma), de 'waarde' zelf is vrij (het is mogelijk om een meer expliciete opmerking of een omschrijving toe te voegen). Dit beleid is van toepassing op een omgeving waarin de gebruikers beschikken over meerdere sleutels (Certificaten) voor de vercijfering en als men het gebruik er van wenst te compartimenteren (vercijferen van s, de bestanden, het netwerk ). Dit maakt het mogelijk om voor Zed! de types certificaten te specificeren die de gebruiker kan kiezen en te vermijden dat ze zich vergissen. Dit beleid is alleen van toepassing op de keuze van de oorspronkelijke sleutel, en niet op certificaten van derden die aan de container zijn toegevoegd. Voorbeeld gebruik: meerdere sleutels voor de vercijfering per gebruiker P195 Vooraf gedefinieerde LDAP-Servers De waarde van het type LIJST. De 'naam van de waarde' komt overeen met een commentaar (vrij), de 'waarde' bevat de technische definitie van de LDAP-server. Dit beleid maakt het mogelijk om de ldap-server(s) die voor de gebruikers beschikbaar zijn vooraf te configureren, als ze toegangen toevoegen aan versleutelde containers en als ze de LDAP-adreslijsten raadplegen om de certificaten terug te vinden. Opmerking: De standaard LDAP-configuratie maakt het over het algemeen mogelijk om zich tot de gewone servers te richten, zoals ADSI of openbare adreslijsten en de gebruiker kan altijd een 'host-name' leveren om zijn servers te gebruiken, met de standaardconfiguratie. De technische configuratie heeft de volgende vorm: Label=label.Name=dnsaddress.Port=portno.SSL=y/n.BaseDN=baseDN.CertAttr= attributeaddattr=additional attributes.filter=filter Ieder paar Item=Waarde wordt van de andere door een puntkomma gescheiden. Als een waarde een puntkomma moet bevatten, dient er een anti-slash voorgezet te worden (bijvoorbeeld: usercertificaate\.binary). Als een veld leeg is, wordt veld=.volgende veld ingevoerd. Zed! 3.1 Handleiding NL - PX Prim'X Technologies

20 Het label geeft een vrije naam aan, die de gebruiker te zien krijgt. De naam geeft het DNS-adres aan van de LDAP-Server (bijvoorbeeld: myldapserver.primx.eu). De poort geeft het nummer aan van de LDAP-poort van de Server (over het algemeen 389). Het veld SSL geeft aan of de communicatie wel of niet in SSL moet worden uitgevoerd. Het programma ondersteunt geen SSL met authentificatie van de klant per certificaat. Waarde y voor ja en n voor nee. Het veld BaseDN is de Distinguished Name in de database met zoekopdrachten. Vraag aan de systeembeheerder van de Server of het nodig is (vaak accepteren Servers het dat deze niet is gespecificeerd Het veld CertAttr geeft de naam aan van het attribuut, in de zin van LDAP, en bevat het certificaat. Over het algemeen gaat het hier om het usercertificaate\.binary. Het veld AddAttr geeft de extra kenmerken aan die worden gevraagd en die de gebruiker te zien krijgt. Als er meerdere zijn moeten die door komma's worden gescheiden. Bijvoorbeeld: cn, (normale naam en adres). Het veld Filter is erg belangrijk en geeft de gevraagde zoekfilter aan. Dit veld respecteert de verschillende RFC-normen en het accepteert een zeer ingewikkelde syntaxis. Over het algemeen volstaat de waarde (cn\=*%user%*). Dit betekent dat gezocht wordt in de ingangen van de adreslijst waarvan de gewone naam (common name) het door de gebruiker ingevoerde criterium bevat, weergegeven door een woord-sleutel %USER%. Dit is de standaardconfiguratie die door het programma wordt gebruikt als men een adres invoert in de adreslijst 'myldapserver.primx.eu': Label=.Name=myldapserver.primx.eu.Port=389.SSL=n.BaseDN=.CertAttr=userC ertificaate\.binary.addattr=cn.filter=(cn\=*%user%*) Voorbeeld gebruik: als de gebruikte technische configuratie niet functioneert, of om van te voren voor de gebruikers een lijst met vooraf geconfigureerde adreslijsten te maken. P290/P291 Gebruikte cryptografische algoritme om de containers te vercijferen Mogelijke keuzes: AES, DES of RC2, met lengtes voor de sleutels van 128, 192 of 256 bits. Standaardwaarde: AES 256 bits. Dit beleid geeft het algoritme aan voor de te gebruiken vercijfering en de lengte van de bijbehorende sleutel voor de containers. Niet alle combinaties van algoritmes en lengtes van de sleutels zijn geldig. De AES (Advanced Encryption Standard) kan worden gebruikt met sleutels van 128, 192 of 256 bits. De DES (Data Encryption Standard) kan sleutels van 128 of 192 bits gebruiken (waarvan slechts 112 of 168 bits echt worden gebruikt), de RC2 kan sleutels van 128, 192 of 256 bits gebruiken. P296 Ondersteunde en toegestane kaarten en tokens (PKCS#11) De waarde van het type LIJST 'lijst met namen/waarden'. De 'naam van de waarde' komt overeen de gepubliceerde naam van de driver, de 'waarde' is niet gebruikt en kan dienen om een opmerking in te voeren. Met dit beleid kan een extensie PKCS#11 (of meerdere) die standaard niet wordt ondersteunt worden aangegeven en dus kan een ander model voor de geheugenkaart of USB token worden gebruikt. Zed! zoekt standaard bepaalde versies van de extensies PKCS#11 van de merken ActivCard, Aladdin, Axalto, GemPlus, Rainbow. De naam van de module PKCS#11 van de provider (naam van de DLL) moet worden aangegeven, zonder het pad als de module is geïnstalleerd in een standaard directory van net systeem, of met het pad naar de locatie. Zed! 3.1 Handleiding NL - PX Prim'X Technologies

21 Het feit dat een extensie PKCS#11 wordt gedeclareerd en niet op de computer aanwezig is wordt niet als een fout opgevat. Maar deze is dan eenvoudig niet operationeel. Dit maakt het eventueel mogelijk om vooraf meerdere externe 'leveranciers' te definiëren, of ze nu wel of niet zijn geïnstalleerd. Voorbeeld gebruik: het gebruik van specifieke extensies PKCS#11 Zed! 3.1 Handleiding NL - PX Prim'X Technologies