Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Zed! 3.1 Guía ES (PX81103)

Anuncio 
Guía del usuario
Consejos de utilización
Versión 3.1
Réf. : PX81103 [FR=PX81100]
Reproducción y derechos
Copyright © Prim'X Technologies 2003 - 2008
Queda prohibida cualquier reproducción del documento, aunque sea parcial, sin
autorización previa y por escrito de la sociedad Prim'X o de uno de sus representantes
legales. Cualquier solicitud de publicación, de la naturaleza que sea, deberá ir acompañada
de un ejemplar de la publicación prevista. Prim'X Technologies se reserva el derecho de
rechazar cualesquiera proposiciones sin tener que justificar para ello su decisión.
Reservados todos los derechos. La utilización del programa Zed! está sometida a los
términos y condiciones del acuerdo de licencia firmado con el usuario o su representante
legal.
Zed! es una marca registrada de Prim'X TECHNOLOGIES.
Sede: 10 Place Charles Béraudier 69428 Lyon Cedex 03 France - Tel.: +33(0)426.68.70.02 - [email protected]
Dirección comercial: 14 Avenue d'Eylau 75116 Paris France - Tel.: +33(0)177.72.64.80 - Fax: +33(0)177.72.64.80 - www.primx.eu
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
1
Introducción
Zed! es un producto muy sencillo que permite fabricar contenedores de ficheros
cifrados (y comprimidos) destinados, o a ser archivados, o a intercambiarse con otros
usuarios, en documentos adjuntos de mensajes electrónicos o en soportes varios, como
lápices de memoria USB.
La utilización de contenedores cifrados es muy intuitiva y muy similar a la utilización de
“carpetas comprimidas” en Windows XP.
La versión completa permite definir las claves de acceso a un contenedor cifrado, o
mediante la utilización de una contraseña "de intercambio" acordada con otro usuario, o
mediante certificados RSA, recogidos en ficheros certificados o buscados en un directorio
LDAP de certificados.
Son varios los usos posibles para los contenedores Zed!, el más frecuente consiste en
preparar con antelación y de manera definitiva un contenedor para cada uno de los
usuarios, con los accesos (claves) preparados y, a continuación, reutilizar el contenedor
simplemente cambiando los ficheros que contiene.
Los diferentes packs
Zed! se ofrece en diferentes packs:
„
„
„
La Edición Estándar, que contiene el producto completo;
La Edición Limitada, gratuita, de libre distribución y uso, que permite leer el contenido
de los contenedores e incluso modificarlos, pero que no permite crear nuevos
contenedores, ni modificar el acceso (claves, contraseñas) previsto por el creador
original del contenedor. La Edición Limitada existe en dos formatos:
„ Un formato instalable (i.e. con programa de instalación) e integrado en el
Explorador de Windows;
„ Un sencillo ejecutable, fácil de transportar y que evita efectuar una instalación;
Por último, Zed! también ha sido incorporado a los diferentes productos de la gama
ZoneCentral.
Instalación
Para instalar el producto, tiene que disponer de derechos suficientes sobre el ordenador
("administrador" o "powered user").
Para instalar el producto, ejecute el programa de instalación "Setup Zed!" que le ha sido
entregado con el producto. Esta instalación es estándar y rápida.
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
2
Utilización
1 – Crear un contenedor:
Haga clic en el fondo de una carpeta o del escritorio [Nuevo],
[Nuevo] y seleccione [Contenedor
cifrado].
cifrado] Se crea un fichero con un nombre por defecto, nombre que puede cambiar. Se
crea el contenedor aunque no esté iniciado
todavía. Se iniciará automáticamente en cuanto
lo abra.
La extensión de los contenedores cifrados es
".zed".
2 – La primera vez que se crea un contenedor
En cuanto abra el contenedor creado en el punto anterior, se abrirá un Asistente para que
pueda elegir su clave de acceso personal. Esta clave se integrará automáticamente, a
continuación, en cada contenedor cifrado que cree, con lo que podrá abrirlos después.
Esta clave personal puede ser:
„
„
Una contraseña de su elección;
Una clave criptográfica RSA, asociada a un certificado y que puede alojarse en
distintos “portaclaves”:
„ Un fichero de claves (.pfx o .p12, en general), protegido por contraseña;
„ Una tarjeta inteligente o un token USB, de tipo RSA (son soportados a mayor
parte de los fabricantes del mercado), respetando la norma PKCS#11;
„ Un contenedor de claves accesibles a través de la interfaz CRYPTOAPI de
Windows, este contenedor se puede encontrar en los almacenes de su perfil de
usuarios Windows o en un almacén "tercero" (entre los que también podemos
encontrar las tarjetas inteligentes o tokens USB RSA)
Nota: el programa Zed! no genera claves RSA ni certificados. Si desea utilizar claves de
este tipo, tendrá que utilizar los servicios de una PKI (infraestructura de certificados) de
empresa, o pública, o comercial.
Variantes: su administrador ha podido configurar las políticas de seguridad del producto
para modificar el comportamiento en esta fase:
„
„
„
„
Puede anular algunas posibilidades (prohibir contraseñas, por ejemplo);
Puede imponer una fuerza mínima a las contraseñas;
En el caso de las claves RSA, puede imponer algunas normas sobre los certificados y
claves utilizables;
Asimismo, ha podido hacer todo lo posible para imponer juegos de claves RSA
predefinidos dentro del dominio Windows y publicados en el controlador de su
dominio: usted no podrá elegir la clave a utilizar, deberá introducir la que se le ha
asignado (y entregado, o la que ya utiliza desde hace tiempo para otros usos).
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
3
En la primera etapa, después de la pantalla de inicio, podrá seleccionar un tipo de clave de
acceso (en este caso, una contraseña).
En la siguiente página, deberá seleccionar un nombre de usuario. Por defecto, el
producto le propone su nombre de usuario Windows, pero puede cambiarlo. Este nombre
será muy útil, a continuación, para "reconocerse" en los diferentes accesos previstos en un
contenedor. Cuando lo vea aparecer, sabrá que hay que introducir la contraseña.
Î una buena práctica puede ser también introducir su dirección de correo electrónico.
A continuación, deberá elegir una contraseña personal, que tendrá que introducir dos
veces para asegurarse de que la conoce. La primera vez que lo introduce, el botón
permanece rojo hasta que la contraseña no tenga la "fuerza” suficiente. La segunda vez
que la introduce, el botón se mantiene naranja si no comete ningún error y se pone verde
cuando lo introducido es idéntico a lo introducido en la viñeta anterior, y rojo, si ha
cometido algún error.
Para aumentar la "fuerza" de la contraseña, una buena práctica consiste en variar los
caracteres: minúsculas, mayúsculas, cifras, caracteres de puntuación. Ampliando así el
espacio de los posibles valores para un mismo carácter, haciéndolo más "ancho", podrá
aumentar la fuerza. Si no, le recomendamos lo compense con la longitud de la contraseña.
Es una cuestión de equilibrio entre “contraseña corta pero compleja” y “contraseña larga
pero sencilla”.
Nota: su administrador
ha podido imponer un
nivel de fuerza. Por
defecto, tiene que
introducir una contraseña
de fuerza razonable, un
poco por encima de la
media.
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
4
Una vez confirmada, la operación habrá finalizado. Ya no tendrá que repetirla.
La operación para claves RSA es muy
similar: se le invita, en función de los
casos, a seleccionar un fichero de claves,
o a introducir su tarjeta o token USB, o a
seleccionar su certificado, deberá
introducir el código de acceso (del
fichero, de la tarjeta,…) y validar. Si hay
varias claves disponibles, el producto las
estudia, elimina las que no son
utilizables en su contexto y le deja
seleccionar la que desee.
En cuanto termina esta operación, se
abrirá el contenedor del que había
solicitado la apertura.
3 – Abrir un contenedor:
Basta con hacer doble clic encima o utilizar el menú contextual [abrir].
[abrir] Se muestra el
contenedor con los ficheros que contiene.
El estilo y la ergonomía de esta 'pseudo-carpeta’ son muy similares a los de las carpetas
comprimidas (.zip) originales de Windows XP. Se autorizan todas las operaciones
habituales sobre los ficheros (arrastrar-desplazar, copiar-pegar, cambiar nombre, eliminar,
etc.). Sin embargo, en cuanto una de las operaciones conlleva el cifrado o el descifrado de
un fichero, se solicitará la clave de acceso (véase más adelante).
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
5
4 – En la primera operación en un fichero del contenedor,
… se solicitará una clave de acceso. Puede tratarse de una contraseña acordada con la
persona que le ha enviado el contenedor (en este ejemplo, 'Xavier'), o de una clave RSA,
que posee en un fichero de claves (.pfx), una tarjeta de memoria, o que esté alojada en un
almacén de claves de Windows (CSP).
Seleccione el pictograma
correspondiente al tipo de clave
de acceso que usted posee. El
primero designa contraseñas, el
segundo ficheros de claves
(.pfx), y el tercero, una tarjeta
de memoria. Para estos dos
últimos, necesitará introducir el
código confidencial asociado.
La clave de acceso
proporcionada se conserva en la
memoria durante un cierto
tiempo.
Llegado el caso, se la volverán
a pedir, si fuera necesario, en
otra operación.
Notas:
Si su clave de acceso está alojada en un almacén de claves Windows (CSP), y si puede
abrir realmente el contenedor, no aparecerá esta ventana. O la apertura es automática, sin
pedirlo, o aparecerá la ventana del CSP utilizada (depende de las disposiciones CSP
adicionales eventualmente instaladas en su ordenador);
El programa Zed! ha sido diseñado para reconocer en estándar un cierto número de
tarjetas de memoria RSA (o tokens USB), en particular, las de las sociedades ActivCard,
Aladdin, Rainbow, Axalto y GemPlus. Si su tarjeta no aparece en la lista, seguramente será
porque no es de un tipo preconfigurado. En ese caso, puede contactar con el soporte
técnico que le indicará el procedimiento a seguir para configurar su tipo de tarjeta (si es
compatible).
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
6
5 – Abrir un fichero del contenedor
Esta operación exige una clave de acceso si no se ha proporcionado antes.
Basta con seleccionar el fichero haciendo doble clic encima, o bien desplegar el menú
contextual (con un solo clic) y seleccionar [abrir].
[abrir] El fichero se extrae, se descifra, se
descomprime y se copia en un fichero temporal. A continuación, la aplicación que trata
normalmente este tipo de ficheros en su ordenador se activa y lo abre.
Si existe un fichero con el mismo nombre en el emplazamiento temporal, le preguntará si
desea reemplazarlo o no.
6 – Extraer ficheros del contenedor
Esta operación exige una clave de acceso si no se ha proporcionado antes.
La extracción consiste en descifrar, descomprimir y colocar en un lugar designado el o los
ficheros seleccionados.
Hay varias maneras de efectuar esta operación:
„
„
„
„
Hacer un [copiar] de los ficheros en el contenedor, seguido de un [pegar] en el lugar
en que desea que se coloquen los ficheros (en el escritorio, en otra carpeta, etc. (los
aceleradores de teclado [Ctrl-C/Ctrl-V] también funcionan, del mismo modo que el
[cortar/pegar]);
[cortar/pegar]
Hacer un [arrastrar/desplazar] en los ficheros seleccionados del contenedor hacia el
sitio el que desea colocar los ficheros;
Utilice el menú contextual [Extraer] en los ficheros del contenedor: en ese caso,
aparecerá una ventana para que pueda seleccionar el lugar de destino;
Utilice el menú contextual [Extraer todo] en el 'fondo' del contenedor: en ese caso,
aparecerá una ventana para que pueda seleccionar el lugar de destino y se extraerán
TODOS los ficheros;
Si existen uno o varios ficheros con el mismo nombre en el lugar de destino, aparecerá una
ventana que le solicitará si desea reemplazar el archivo.
7 – Cambiar el nombre de los ficheros en el contenedor
Esta operación es posible y no exige clave de acceso. Utilice el [clic lento] en el fichero, o
la tecla estándar [F2],
[F2] también puede utilizar el menú contextual [Cambiar nombre] e
indique el nuevo nombre (que tendrá que respetar las exigencias habituales para los
nombres de ficheros).
8 – Eliminar ficheros del contenedor
Esta operación es posible y no exige clave de acceso. Utilice la tecla [Supr] o el menú
contextual [Eliminar] sobre los ficheros seleccionados.
Atención, los ficheros eliminados en un contendor no van a ninguna “Papelera”.
9 – Añadir ficheros a un contenedor
Esta operación exige una clave de acceso si no se ha proporcionado antes.
El añadido consiste en copiar el fichero fuente, comprimir su contenido y cifrarlo en el
contenedor.
Hay varias maneras de efectuar esta operación:
„
„
„
Hacer un [copiar] en los ficheros fuente, seguido de un [pegar] en el contenedor (los
aceleradores de teclado [Ctrl-C/Ctrl-V] también funcionan, del mismo modo que el
[cortar/pegar]);
[cortar/pegar]
Hacer un [arrastrar/desplazar] de los ficheros 'fuente' al contenedor;
Utilice el menú contextual [Añadir…] en el 'fondo' del contenedor: en ese caso,
aparecerá una ventana para que pueda seleccionar los ficheros ‘fuente’;
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
7
Esta operación no se puede realizar en una carpeta o en una selección que contenga una
carpeta.
10 – Modificar las claves de acceso del contenedor
Cuando se crea, un contenedor contiene siempre su acceso personal, con su clave
personal.
Atención: si el contenedor ha sido creado por otra persona y se lo ha enviado, no
contendrá obligatoriamente su clave personal. Si tiene una clave RSA,
probablemente sí que aparecerá, puesto que su destinatario habrá utilizado su
certificado. Pero, si se trata de una contraseña, es más probable que se trate de una
contraseña acordada entre ustedes, que no tiene que ser obligatoriamente su
contraseña habitual (salvo que lo haya acordado así).
El contenedor también puede contener otros accesos, de tipo RSA, impuestos por su
administrador en la configuración del producto.
Si desea que un contenedor sirva de "valija diplomática" de intercambio con una o varias
personas, deberá acordar, en primer lugar, un "secreto" con ellos. Si su destinatario
dispone de una clave RSA y del certificado asociado, puede utilizar directamente dicho
certificado. Si no, podrá acordar con él una contraseña.
Para acceder a la gestión de los accesos, tiene varias opciones:
„
„
Utilizar el menú contextual en el propio fichero contenedor (haga clic en el fichero,
opción [Lista de accesos];
accesos]
Abrir el contenedor y hacer clic en el fondo de la ventana, opción [Lista de accesos].
accesos]
Aparecerá una ventana que presenta los accesos
existentes y permite agregar o quitar accesos.
Cuando se trate de accesos por clave
RSA/Certificado, puede consultar el certificado.
Observará un pictograma distinto en función del
tipo de acceso, así como un asistente de ayuda
que aporta más información sobre el tema.
11 – Quitar un acceso
A partir de la ventana anterior, basta con
seleccionar el acceso y utilizar el botón [Eliminar] o el menú contextual [Eliminar].
[Eliminar] Tras
solicitud de confirmación, el acceso desaparece de la ventana.
Cuando se han finalizado todas las modificaciones sobre los accesos, puede utilizar el botón
[Aplicar] para hacerlas operativas, o el botón [Aceptar] (con el que también cerrará la
ventana).
Hay que señalar que cuando los accesos han sido modificados, pero no grabados, el título
de la lista ("Acceso") aparece con un asterisco ("Acceso*").
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
8
12 – Cambiar una contraseña
Siempre partiendo de la ventana de los accesos,
seleccione un acceso de tipo de contraseña y utilice
el menú [Cambiar contraseña].
contraseña]
Como siempre que se crea una
contraseña, deberá introducirse dos
veces para verificación y obedecer
a ciertos requisitos de “fuerza”.
Nota: si no se acuerda de la antigua contraseña, también puede suprimir este acceso y
crear otro, con el mismo nombre y con una nueva contraseña. Únicamente perderá algunas
informaciones de gestión (la fecha original de creación del acceso).
13 – Añadir un acceso mediante contraseña
A partir de la ventana de los accesos, haga
clic en el botón [Añadir].
[Añadir] Aparecerá una
ventana con varias pestañas, en particular
la primera que se llama [Contraseña del
destinatario].
destinatario] Selecciónela y, a
continuación:
„
„
Introduzca un nombre para este
acceso. El nombre puede depender de
la forma en que va a utilizarse. Si se
trata simplemente de un acuerdo
privado con otra persona, puede
introducir su dirección de correo
electrónico, por ejemplo. Si se trata de un acceso que será utilizado por varias
personas, puede introducir el nombre de un grupo de trabajo.
Esta información es libre, pero tiene que ser clara, porque aparecerá a partir de ese
momento en la solicitud de clave cuando se accede al contenido del contenedor.
Escriba la contraseña acordada, o elija una nueva, que les enviará a continuación al/a
los destinatario(s), por un canal secundario.
Como siempre que se crea una contraseña, deberá introducirse dos veces para verificación
y obedecer a ciertos requisitos de “fuerza”.
14 – Añadir un acceso por certificado RSA
Partiendo de la misma ventana, seleccione la pestaña [Certificados del destinatario] o la
pestaña [Directorios].
[Directorios] La utilización de los directorios se describe en el párrafo siguiente.
A escala local, en su ordenador, se pueden encontrar los certificados en:
„
Ficheros de certificados. Hay mucha variedad de formatos estándares, la mayor parte
aparecen soportados (ficheros con las extensiones .cer, .p7b, etc.). Si sus
destinatarios le entregan los certificados en forma de ficheros, usted los suele colocar
en una carpeta, y aquí puede buscar dichos ficheros, seleccionar varios y también
podrá ver qué certificados contienen y seleccionar los que le interesen.
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
9
„
Almacenes de certificados gestionados por el sistema Windows, que es otra manera de
guardarlos en algún sitio para poder encontrarlos. Puede gestionarlos con Internet
Explorer, menú [Herramientas],
[Herramientas] pestaña [Contenido],
[Contenido] botón [Certificados].
[Certificados] Por este
motivo, pinchando en el botón que recrea el pictograma de Internet Explorer, la
ventana se llena con los certificados disponibles en estos almacenes.
Los certificados se verifican en tiempo real
en esta ventana. En función de los
resultados tienen un pictograma distinto.
El pictograma "reloj de arena" indica que la
verificación está en curso. A veces, puede
tardar un poco, si hay que descargar listas
de revocación (CRLs).
Î Acuérdese de abrir el asistente de ayuda para conocer el por qué de un estatus de
verificación.
Î Es importante señalar, igualmente, la existencia de menús contextuales, sobre los
certificados y en el fondo de la lista, con los que se puede:
-
mostrar un certificado;
volver a verificar un certificado;
desmarcar todo, marcar todo y solicitar que los certificados estén marcados o
desmarcados por defecto cuando se muestran (si son utilizables).
15 – Utilización de un directorio de certificados
Algunas empresas ponen a disposición directorios (denominados "directorios LDAP") que
sirven para encontrar los certificados personales, partiendo de su nombre o de una
dirección de correo electrónico. También suele tratarse de organismos de certificación
públicos o comerciales.
La búsqueda se efectúa dando la dirección del directorio y el nombre, parcial o completo,
objeto de la búsqueda. Exige, obviamente, una conexión disponible con el directorio
elegido.
Si su ordenador forma parte de un dominio Windows, que suele llevar integrado un
directorio LDAP, se detectará su dirección y se propondrá. Esto funciona, si a nivel interno,
existe una PKI (infraestructura de certificados) y los certificados se publican en ese lugar.
Un ejemplo de servidor disponible
libremente es "directory.verisign.com",
puede probar con apellidos americanos,
como "parker" o "johnson".
En esta ventana, encontramos las mismas
opciones de los menús contractuales que
en el punto anterior.
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
10
Administración
El programa ha sido diseñado para su uso en empresas. Es compatible con los sistemas
logísticos más extendidos, que permiten, en particular:
„
„
„
La tele-instalación (con los GPO de los servidores Windows, o con productos
especializados, como SMS, Tivoli, etc.);
La configuración de opciones con los "policies" (GPO), locales, o de dominios, con
controladores de dominio Windows o Novell;
La utilización de PKIs de cualquier marca, de servicios asociados, como LDAP, y de la
política interna en materia de gestión de claves (contraseñas, claves RSA, tipos de
portaclaves, marcas de tarjetas inteligentes, etc.);
Puede utilizarse con entornos sencillos y autónomos (portátiles aislados, pequeñas oficinas)
y entornos con una logística más amplia.
En el marco de un entorno administrado, las etapas son las siguientes:
„
„
„
Comprender los diferentes parámetros de políticas de seguridad (GPOs), y definir
sobre el papel, si fuera necesario, sus valores;
Decidir sobre el modo en que van a gestionarse los policies: a través del o de los
controladores de dominios / dominios / bosques, lo que es la opción recomendada en
un entorno que dispone de dicha logística, o bien localmente, en los equipos (policies
locales). En este último caso, puede optar por una “masterización” del programa, para
que las policies se transmitan con el pack de instalación, independientemente del
medio de instalación seleccionado.
Establecer un modo de difusión del programa: ¿Cómo se va a instalar, por quién?
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
11
Configuración (policies/GPO)
Se supone que se conoce el sistema de los GPOs de Windows por lo que no se describe
aquí. Simplemente, recordemos que, a escala local, es accesible vía [gpedit.msc],
[gpedit.msc] para las
policies locales, en un servidor Windows, es accesible vía [Usuarios y Ordenadores
ActiveDirectory] (propiedades de un dominio o de una unidad organizativa) o incluso vía
[gpmc.msc] (sólo en algunos servidores).
El modelo de administración de las policies se denomina [zed_policies_fra.adm] (o
[zed_policies_enu.adm] para el inglés) y se encuentra en la carpeta [Windows/Inf].
[Windows/Inf] Para
utilizarlo en el controlador de dominio, basta con volverlo a copiar en la misma carpeta en
el servidor. Hay que cargarlo con la herramienta utilizada ([GPEDIT]
[GPEDIT], [GPMSC],…)
en los
[GPMSC]
"modelos de administración" (menú contextual [agregar/quitar modelos]).
modelos]
Todas las policies del producto se encuentran en la rúbrica [Configuración del Equipo].
Equipo]
Cada política lleva un número y se le asocia un texto de ayuda. Para configurar una
política, basta con hacer doble clic sobre ella.
„
„
„
Política activada: la acción de la política está activada. Esta acción puede ser una
prohibición o una autorización. A veces, puede tener un valor asociado. Cuando se
activa una política a un cierto nivel de la jerarquía bosque/dominio/unidad organizativa
de una red Windows, no puede modificarse a un nivel inferior, y, más aún, tampoco en
los equipos (policies locales).
Política desactivada: la acción de la política no está activa, es como si no estuviera
configurada. Este caso sólo tiene sentido en un controlador de dominio (o dominio,
bosque, unidad organizativa), porque permite impedir que un nivel jerárquico inferior
pueda activarlo.
Política no configurada: la acción de la política no está activada. Pero en una
jerarquía bosque/dominio/unidad organizativa de una red Windows, puede ser
modificada (activada o desactivada) a un nivel inferior.
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
12
P050 – Identificación de las policies
Î Valor de tipo texto – Contenido libre
Esta política no tiene ninguna influencia en el programa y su contenido es libre. Puede ser
un comentario, una fecha, un número de versión… Le permite identificar el "juego de
policies" y, en los ordenadores, a continuación, consultar esta información para identificar
fácilmente desde un primer momento una versión de configuración.
P102 – Prohibir los accesos por contraseña
Î Valor de tipo Sí/No. Valor por defecto: No (no prohibidos, luego autorizados).
Permite prohibir los accesos de tipo "contraseña" en los contenedores cifrados. Activar esta
política impedirá al usuario:
„
„
„
Elegir una contraseña como clave personal (al iniciarse);
Añadir accesos por contraseñas en los contenedores;
Abrir un contenedor con un acceso por contraseña, aunque este contenedor la
contenga.
El botón-pictograma [contraseñas] (el primero verticalmente) en las ventanas de solicitud
de clave de acceso no aparecerá. Asimismo, la pestaña [Contraseña del destinatario] no
aparece en la ventana de agregar acceso.
Caso de utilización: la política interna consistía en no utilizar acceso por contraseña, incluso
para los contenedores cifrados. No es muy corriente activar esta política, porque las
contraseñas son muy prácticas para los intercambios con terceros externos, incluso cuando
existen PKIs.
Consúltese también: P107/P108
P107 P108 para la fuerza impuesta de las contraseñas.
105 para autorizar y prohibir los demás tipos de acceso.
Consúltese también: P103/104
P103 104/105
P103 – Prohibir la utilización de ficheros de claves PKCS#12
Î Valor de tipo Sí/No. Valor por defecto: No (no prohibidos, luego autorizados).
Permite prohibir la apertura de contenedores por medio de claves de acceso de tipo 'clave
RSA' alojadas en portaclaves "ficheros" en formato PKCS#12 (que llevan normalmente la
extensión .p1
2 o .pf
x).
.p12
.pfx
La consecuencia directa de esta política es que el botón-pictograma [fichero de claves] (el
segundo verticalmente) en las ventanas de solicitud de clave de acceso no aparecerá.
Caso de utilización: la política interna consiste en no utilizar ficheros de claves, o en no
utilizar clave RSA (ausencia de PKI). Para este último caso, configure también P104 y
P105.
P105
Consúltese también: P103/104
105 para autorizar y prohibir los demás tipos de acceso.
P103 104/105
P104 – Prohibir la utilización de tarjetas/tokens PKCS#11
Î Valor de tipo Sí/No. Valor por defecto: No (no prohibidos, luego autorizados).
Permite prohibir la apertura de contenedores por medio de claves de acceso de tipo 'clave
RSA' alojadas en portaclaves PKCS#11 (tarjetas de memoria, tokens USB).
Atención, esta política prohíbe de hecho la utilización de la interfaz PKCS#11 para activar
estos portaclaves y claves. Pero puede que sean accesibles también a través de una
interfaz (CSP). Para prohibirlos completamente, también hay que activar la política P105.
P105
Caso de utilización: la política interna consiste en no utilizar tarjetas o tokens o bien en no
utilizar las interfaces PKCS#11 para utilizar portaclaves tarjetas de memoria o tokens USB.
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
13
Zed! sabe reconocer la mayor parte de bibliotecas PKCS#11 del mercado. Sin embargo,
los nombres de estas bibliotecas pueden cambiar con nuevas versiones. La política P296
permite ampliar (o personalizar) la lista.
Las normas de gestión de los 'middleware' PKCS#11 varían en función de los
constructores.
Cuando se utilizan tarjetas o tokens RSA, la elección entre la interfaz PKCS#11 y la interfaz CSP
es, ante todo, ergonómica. No es una decisión que atañe a la seguridad, porque en todos los
casos, la clave RSA sigue alojada por la tarjeta y los cálculos asociados se efectúan por medio
de la tarjeta. La mayor parte de los fabricantes de tarjetas/tokens proporcionan las dos
implementaciones.
En modo PKCS#11, la ventana de apertura de Zed! aparecerá siempre.
En modo CSP, la ventana que aparece es la del fabricante.
El 'single-login' completo con el SmartCardLogin de Windows, normalmente, sólo es posible con
el modo CSP. Algunos fabricantes, sin embargo, saben reutilizar el contexto de apertura
CSP/SmartCardLogin para extenderlo a las aplicaciones PKCS#11.
Restricción conocida: algunos fabricantes no soportan que la clave RSA alojada en la
tarjeta/token cifre claves simétricas (DES, AES,…) de longitud superior a 128 bits. En este
caso, hay que configurar la política P290 para limitar el tamaño de las claves simétricas
utilizadas por Zed!.
Consúltese también: P296 para modificar la lista de los PKCS#11 utilizados.
105 para autorizar y prohibir los demás tipos de acceso.
Consúltese también: P102/103
P102 103/105
P105 – Prohibir la utilización de los proveedores CSP
Î Valor de tipo Sí/No. Valor por defecto: No (no prohibidos, luego autorizados).
Permite prohibir la apertura de contenedores por medio de almacenes de claves CSP
(Microsoft CryptoAPI). Estos almacenes CSP pueden ser los almacenes Windows estándar o
almacenes terceros (la mayor parte de los fabricantes de tarjetas & tokens RSA proponen
un run-time CSP).
Caso de utilización: la política interna consiste en no utilizar interfaces CSP (incluso
terceras).
Observaciones:
„
„
„
la utilización de proveedores CSP, si está autorizada, es prioritaria sobre los demás
tipos de acceso: en efecto, este estándar exige que sea el propio CSP quien efectúa las
interfaces gráficas de validación de utilización de las claves (confirmación, solicitud de
código, etc.). Para evitar tener que validar primero la ventana de apertura Zed!, y
luego la del CSP, se presenta primero la del CSP.
Sólo se invoca un CSP si presenta una solución de clave (certificado y clave privada
RSA) aceptable para el objeto que deseamos abrir (contenedor). En función de su
implementación, su reacción ergonómica puede variar. Por ejemplo, algunos pueden
mostrar una solicitud de introducción de tarjeta limitada a la clave solicitada, otras
pueden aceptar todas las tarjetas introducidas.
Utilización con el SmartCardLogin de Windows: con algunos middleware 'CSP', la
apertura de la tarjeta/token para la apertura de sesión Windows 'vale' para todas las
aplicaciones de la sesión de Windows abierta. En este caso, la apertura de un
contenedor será automática y transparente, puesto que está disponible y ya abierta
una solución de clave.
Consúltese también: P102/103
105 para autorizar y prohibir los demás tipos de acceso.
P102 103/105
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
14
P107/P108 – Fuerza exigida para las contraseñas
Î Valor numérico para la "fuerza" (valor por defecto a 40), y elección posible '1', '2' ó '3'
para la complejidad (valor por defecto: 2).
La fuerza (P107
P107) de una contraseña se evalúa a partir de varios factores, entre los que
destacan la longitud, el número de familias de caracteres utilizados y la recepción de un
mismo carácter (lista no exhaustiva). Además, la complejidad (P108
P108) representa la
frecuencia de paso de una familia de caracteres a otra. Una contraseña corta pero
compleja puede tener una fuerza equivalente a la de una contraseña más larga, pero
menos compleja.
El valor por defecto de 40 para la fuerza representa un compromiso entre la complejidad
de introducción y la fuerza de la contraseña. Aumentar la complejidad requerida permitirá
reducir el tamaño solicitado de las contraseñas, pero el usuario deberá utilizar caracteres
menos 'habituales'. Reducir esta complejidad disminuye la exigencia, pero obliga a tener
contraseñas más largas.
Esta política se aplica para:
„
„
„
la elección inicial de su contraseña por parte del usuario;
cualquier añadido de acceso de tipo 'contraseña' en un contenedor;
cualquier cambio de contraseña para un acceso de tipo de 'contraseña' existente en un
contenedor;
Caso de utilización: función de la política interna.
Modificar estos valores no tiene efecto retroactivo sobre las contraseñas ya configuradas.
Consúltese también: P102 para autorizar o prohibir los accesos por contraseñas.
P129 – Utilización del certificado personal en ActiveDirectory
Î Valor de tipo numérico (0=desactivado, 1=si es posible, 2=obligatorio).
Valor por defecto: 0 (desactivado).
Esta opción sólo es posible para claves de RSA (necesidad de una PKI).
Cuando es posible ponerlo en marcha, este modo es muy práctico y simplifica
considerablemente la tarea del administrador y la del usuario. Permite determinar de
manera sencilla, sin ambigüedad, y sin cuestionar en ningún caso la clave que tiene que
presentar el usuario para crear sus contenedores cifrados.
Para ello, la PKI tiene que publicar los certificados de los usuarios en sus perfiles
ActiveDirectory, en el campo reservado y previsto a estos efectos ([UserCert]
[UserCert]). La PKI
puede ser cualquier PKI siempre que efectúe esta publicación.
Hay que señalar que esto no significa que el servidor LDAP de certificados (si existe
servidor) sea ActiveDirectory, y que no pueda haber, además, otro servidor LDAP.
Simplemente, vía ActiveDirectory, es fácil realizar una correlación (mappage) entre el
usuario (de dominio) corriente, su perfil ActiveDirectory, y el certificado de su clave de
cifrado.
Sobre el servidor ActiveDirectory, lanzando [Usuarios y Ordenadores ActiveDirectory],
ActiveDirectory] se
puede solicitar el detalle de las propiedades de un usuario. Previamente, hay que solicitar
que se muestre "avanzado" (Menú [Mostrar] de la MMC).
MMC Aparecerá entonces una pestaña
[Certificados Publicados].
Publicados] Esto corresponde al campo que Zed! va a consultar cuando se
haya configurado esta política.
Cuando esta publicación se ha efectuado por la PKI, generalmente observamos que este
campo contiene rápidamente un cierto número de certificados. Raras son las PKI que
"despublican' los certificados caducados, revocados, etc., y todas utilizan este mismo
campo (multivalue) para publicar todos los certificados de un usuario (autentificación,
firma, cifrado, …). No supone un problema para Zed!, que hace la selección: elimina los
certificados que no son certificados de cifrado, los certificados caducados y los que se han
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
15
revocado. Si son varios los certificados que reúnen todos los requisitos, elegirá el más
reciente (fecha de inicio de validez más reciente).
Cuando se trate de determinar la clave del usuario, en el procedimiento inicial, éste último
no podrá elegir una clave, deberá presentar EL portaclaves correspondiente (fichero,
tarjeta).
Si el valor de esta política indica 'obligatorio', el usuario tendrá que presentar
obligatoriamente la clave correspondiente al certificado publicado (o anular). Si no existe
un certificado publicado, la operación solicitada será denegada.
Conviene señalar que esto implica que, para el procedimiento de inicialización, el usuario
tiene que estar conectado a su dominio (únicamente en ese momento). Si no, deberá
esperar a estarlo para efectuar la operación (que ha sido denegada). Esto también implica
que el usuario dispone efectivamente de una clave y de un certificado y que éste último
tiene que haber sido obligatoriamente publicado en ActiveDirectory.
Si el valor indica 'si es posible', y si se encuentra un certificado en ActiveDirectory, se
utilizará (y se impondrá), y el usuario deberá proporcionar la clave correspondiente. En
caso contrario, si no se puede entrar en ActiveDirectory, o si no hay certificado publicado,
apareceré el Asistente inicial y el usuario podrá elegir la clave que quiere utilizar.
Caso de utilización: activa resta política cuando la PKI publica los certificados en
ActiveDirectory (recomendado).
P131 – Accesos obligatorios
Î Valor de tipo LISTA. El 'nombre de valor' tiene que contener un nombre de fichero (con
el camino de acceso), y el 'valor' tiene que contener la expresión "hash=XX YY ZZ…", en
donde XX YY ZZ… contiene la huella digital SHA1 del fichero designado.
Se pueden definir tantos ficheros como se quiera en la lista. Estos ficheros deben de ser
ficheros certificados (.cer, codificación Base64 o binario). No se puede definir un acceso
obligatorio por contraseña.
Atención, es frecuente cometer errores en la introducción del camino de acceso del fichero.
Los accesos de red están soportados (y frecuentemente utilizados), pero hay que ponerlos
en forma UNC (\\Servidor\Compartir
\\Servidor\Compartir). Si se designa un lugar de destino local, hay que
asegurarse de que los ficheros están realmente en ese lugar, en caso contrario, se
rechazará la creación de contenedores.
Esta política es muy importante. Permite definir un medio de recubrimiento y conseguir
que se aplique de manera automática en los contenedores cifrados.
Si esta política menciona un fichero que no puede encontrarse, o que no se corresponde
con la huella proporcionada, la acción del usuario es rechazada.
Para obtener la huella del fichero: lo más seguro es utilizar el comando "zedcmd
zedcmd
showhash".
showhash Se desaconseja mostrar el contenido del certificado y servirse de la huella
calculada por la ventana de certificados Windows. No porque sea erróneo, sino porque su
modo de cálculo no depende del fichero certificado y de su formato, sino del valor del
certificado. Sin embargo, Zed! quiere, por su parte, la huella del fichero. Habrá una
diferencia en función del codificado del fichero (Base64 etc.).
Caso de utilización: de manera casi sistemática, y entre las primeras cosas a hacer. El
único caso en que esta política puede ignorarse es cuando la PKI deposita los valores de las
claves de los usuarios.
Consúltese también: la herramienta [zedcmd],
[zedcmd] que permite calcular una huella en un
fichero (comando [showhash]),
[showhash] y masterizar el programa para 'inyectar' el o los ficheros
certificados en el programa de instalación y que se difundan a escala local (comando
[master]).
[master]
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
16
P141 – Raíces de certificados autorizados
Î Valor de tipo LISTA. El 'nombre de valor' contiene un texto libre ('My root' por ejemplo),
y el 'valor' tiene que contener la expresión "sha1=XX YY ZZ…", en donde XX YY ZZ…
contiene la huella digital SHA1 del certificado designado.
Esta política permite restringir las claves RSA que los usuarios pueden utilizar. Se aplica
únicamente a la selección inicial de la clave, pero no a los añadidos de accesos mediante
certificados.
El objetivo de esta política consiste en evitar que los usuarios utilicen claves RSA que
habrían generado ellos mismos por el medio que fuera (Internet, herramienta descargable,
clave personal, etc.), y garantizar que sólo utilicen claves procedentes de la PKI oficial. El
riesgo reside en que puedan cifrar con "cualquier cosa".
Esta política es extremadamente importante en un caso preciso: la política consiste en no
aplicar la clave de recubrimiento (añadido sistemático de una clave 'de la casa' a todo
objetivo cifrado) (cf P131)
P131 porque que la PKI secuestra las claves RSA de cifrado de los
usuarios. En ese caso, evidentemente, es muy importante restringir las claves utilizables a
las claves depositadas, únicamente, ya que si no se hiciera de este modo, no se podría
garantizar la función de recubrimiento.
Se pueden definir aquí varios certificados y estos certificados pueden no ser raíces, sino
autoridades intermedias (podrían ser hasta certificados finales). Sin embargo, hay que
tener cuidado ya que esta política no proporciona los propios certificados, que tendrán que
estar disponibles en el entorno PKI (almacenes locales, LDAP, adjuntos a los portaclaves).
Mencionar aquí un certificado [de autoridad] autorizado no significa que los controles de
certificados se detengan a su nivel. Por ejemplo, si un certificado de autoridad intermedia
se menciona, significa que tenemos el derecho de utilizar los certificados que ésta ha
emitido, a condición de que sean válidos y que el de la autoridad aquí indicada lo sea
también.
Caso de utilización: indispensable si la PKI deposita las claves de usuarios; para los demás
casos, siempre está bien especificar esta política.
P142/P143 – Autorizar la utilización más allá de las fechas de validez (y
plazo de prórroga)
Î Valor de tipo Sí/No. Valor por defecto: No (control completo).
Î Para el plazo, valor numérico (en días). Mínimo: 0, Máximo: Valor por defecto: 90 días
Gracias a esta política P142, se puede seguir utilizando un certificado (en realidad, la clave
del usuario) algún tiempo después de que haya caducado. La política P143 permite definir
dicho plazo.
Ocurre, con cierta frecuencia, que, a pesar de todas las llamadas al orden, los usuarios no
efectúan el procedimiento solicitado por la PKI para renovar sus certificados o sus claves.
En ese caso, se encuentran bloqueados con la imposibilidad de abrir sus contenedores.
Esta política permite concederle un plazo de gracia extra: durante ese lapso de tiempo,
Zed! aceptará la apertura de contenedores con su clave y su certificado caducado.
Esta política se aplica para la selección de una clave inicial, la apertura del contenedor por
medio de la clave y para los certificados terceros añadidos en un contenedor.
Cuando se haya superado el plazo, o cuando la política no esté configurada, se rechazará la
apertura con un mensaje explícito.
Caso de utilización: libre
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
17
P146 – Relajar el control de uso de clave
Î Valor de tipo Sí/No. Valor por defecto: No (control completo).
Normalmente, el programa Zed!, como aplicación de cifrado, rechaza la utilización de la
clave asociada a un certificado que no autorice explícitamente el cifrado ('KeyUsage' en el
sentido X509).
Esta política permite relajar este control y utilizar una clave y un certificado para cifrado,
independientemente de cuál sea la limitación impuesta por el certificado.
Esta política se aplica para la selección de una clave inicial, la apertura del contenedor por
medio de la clave y para los certificados terceros añadidos en un contenedor.
Caso de utilización: pocos. Esta política sólo tiene que utilizarse temporalmente cuando no
existe otra solución (cuando el parque de certificados existentes no haya previsto el uso de
cifrados).
P147 – 'Extended key usages' autorizados
Î Valor de tipo LISTA. El 'nombre de valor' tiene que contener el OID (Object Identifier
normalizado) del uso (ejemplo: 1.3.6.1.5.5.7.3.4 para el correo electrónico seguro), ya que
el 'valor' en sí es libre (es posible poner un comentario o un texto más explícito).
Esta política se aplica en un entorno en donde los usuarios disponen de varias claves
(certificados) de cifrado, y cuando se quieren compartimentar las utilizaciones (cifrado de
mails, de ficheros, de red...). Permite especificar para Zed! el o los tipos de certificados
que el usuario puede seleccionar, y evitar que se equivoque.
Esta política sólo se aplica para la selección de clave inicial y no se aplica a los certificados
de terceros añadidos en un contenedor.
Caso de utilización: varias claves de cifrado por usuario
P195 – Servidores LDAP predefinidos
Î Valor de tipo LISTA. El 'nombre de valor' corresponde a un comentario (libre), el 'valor'
contiene la definición técnica del servidor LDAP.
Esta política sirve para preconfigurar el o los servidores LDAP que están disponibles para
los usuarios, cuanto añaden accesos a contenedores cifrados e interrogan directorios LDAP
para encontrar los certificados.
Nota: la configuración LDAP por defecto permite, en general, dirigirse a servidores
corrientes, como ADSI o a directorios públicos, y el usuario siempre podrá proporcionar un
"host-name" para utilizar dichos servidores, con la configuración por defecto.
La configuración técnica tiene la forma que se especifica a continuación:
Label=label;Name=dnsaddress;Port=portno;SSL=y/n;BaseDN=baseDN;CertAttr=
attributeAddAttr=additional attributes;Filter=filter
Cada pareja Item=Valor va separada de las siguientes por un punto y coma. Si un valor
tiene que contener un punto y coma, hay que poner un anti-slash delante (por ejemplo:
userCertificate\;binary).
userCertificate\;binary
Si un campo está vacío, poner Campo=;campo siguiente.
siguiente
„
„
„
„
El label designa un nombre libre, que aparece en el usuario.
El name designa la dirección DNS del servidor LDAP (por ejemplo:
myldapserver.primx.eu).
El port designa el número de puerto LDAP de servidor (en general 389).
El campo SSL indica si la comunicación tiene que efectuarse en SSL o no. El producto
no soporta el SSL con autentificación del cliente por certificado. Valor y para sí y n
para no.
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
18
„
„
„
„
El campo BaseDN es el Distinguished Name de base de las búsquedas. Consulte el
administrador del servidor para conocer el valor si es necesario (a menudo, los
servidores aceptan que no se especifique).
El campo CertAttr designa el nombre del atributo, en el sentido LDAP, que contiene el
certificado. La mayor parte del tiempo, se trata de userCertificate\;binary.
userCertificate\;binary
El campo AddAttr designa los atributos complementarios que se solicitarán, para que
se le muestren al usuario. Si hay varios, hay que separarlos por comas. Ejemplo
corriente: cn,email (nombre común y dirección de correo).
El campo Filter es muy importante y designa el filtro de la búsqueda solicitada. Este
campo respeta las diferentes normas RFC sobre el tema y puede permitir sintaxis muy
complejas. La mayor parte de las veces, basta con el valor (cn\=*%USER%*).
(cn\=*%USER%*) Esto
significa buscar las entradas del directorio cuyo nombre común (Common Name)
contiene el criterio introducido por el usuario, representado por la contraseña
%USER%.
%USER%
Î A continuación incluimos la configuración por defecto utilizada por el producto cuando se
introduce una dirección de directorio 'myldapserver.primx.eu':
Label=;Name=myldapserver.primx.eu;Port=389;SSL=n;BaseDN=;CertAttr=userC
ertificate\;binary;AddAttr=cn;Filter=(cn\=*%USER%*)
Caso de utilización: cuando la configuración técnica por defecto utilizada no funciona, o
para establecer por anticipado para los usuarios una lista de directorios preconfigurados.
P290/P291 – Algoritmo criptográfico para cifrar los contenedores
Î Posibilidades: AES, DES o RC2, con longitudes de claves de 128, 192 o 256 bits. Valor
por defecto: AES 256 bits.
Esta política indica el algoritmo de cifrado a utilizar y la longitud de clave asociada para los
contenedores.
No todas las combinaciones de algoritmos y de longitudes de claves son válidas. La AES
(Advanced Encryption Standard) puede utilizar claves de 128, 192 ó 256 bits. El DES (Data
Encryption Standard) puede utilizar claves de 128 ó 192 bits (de las cuales 112 ó 168 bits
útiles solamente), el RC2 puede utilizar claves de 128, 192 ó 256 bits.
P296 – Tarjetas y tokens soportados/autorizados (PKCS#11)
Î Valor de tipo LISTA "lista de nombres/valores". El 'nombre de valor' corresponde al
nombre publicado del driver, el 'valor' no se utiliza y puede servir para introducir un
comentario.
Esta política permite indicar una extensión PKCS#11 (o varias) no soportada por defecto y
utilizar, por tanto, otro modelo de tarjeta de memoria o de token USB.
Por defecto, Zed! busca algunas versiones de extensiones PKCS#11 de los fabricantes
ActivCard, Aladdin, Axalto, GemPlus, Rainbow.
Hay que indicar el nombre del módulo PKCS#11 del proveedor (nombre de DLL), sin el
camino de acceso si este módulo está instalado en un repertorio estándar del sistema, o
con el camino de acceso.
El hecho de que una extensión PKCS#11 se declare y no se presente en el ordenador no se
considera como un error. Simplemente, no será operativa. Esto permite predefinir,
eventualmente, a varios "proveedores" externos, estén o no instalados.
Caso de utilización: utilización de extensiones PKCS#11 específicas
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
19
La herramienta zedcmd
Esta herramienta on line de comando está instalada en la carpeta de instalación del
programa.
Ofrece algunas funcionalidades prácticas para el administrador:
„
„
„
„
„
„
„
Muestra la versión del sistema (about
about)
Muestra las policies, tal y como aparecen 'vistas' y resueltas por la parte aplicación (lo
que, a veces, difiere de la parametrización, cuando, por ejemplo, todavía no han
bajado del servidor los nuevos valores) (showpolicies
showpolicies)
Modifica las policies locales (modifypolicies
modifypolicies)
Exporta las policies locales a un fichero de texto (exportpolicies
exportpolicies)
Importa un juego de policies desde un fichero de texto (importpolicies
importpolicies)
Aplica un "transform" de idioma a un pack de instalación .msi (transform
transform)
master)
Masteriza (prepara) un pack de instalación (master
Esta herramienta se utiliza como cualquier programa on line de comando.
Î Para mostrar la lista de comandos disponibles, utilice zedcmd /?.
/?
Î Para mostrar la ayuda de un comando preciso, utilice zedcmd commande /?.
/?
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
20
Instalación y masterización
Idiomas
Idioma instalado e idioma de funcionamiento
El programa está disponible en inglés y en espagñol y es compatible "MUI", lo que significa
que todos los idiomas están instalados y que las interfaces del producto se muestran en el
idioma del usuario ('UI language') y no en el idioma del equipo.
Para sistemas 2000 o XP de base, el idioma del usuario siempre es el del equipo y no se
hace diferencia, pero con sistemas XP "MUI" (Multiple User Interface), cada usuario puede
tener su idioma y las interfaces gráficas del sistema y de los programas (compatibles MUI)
se muestran en su propio idioma.
Idioma de instalación
Hay que distinguir el idioma en el que opera el programa para el usuario y el idioma del
programa de instalación propiamente dicho (el de las eventuales pantallas).
„
„
Si el programa de instalación es el pack "setup.exe
setup.exe", este programa determina el
idioma del equipo, y ejecuta la instalación en el idioma del equipo. Incluso en el caso
de sistemas MUI, es una limitación actual del sistema de instalación.
Zed!, al ser MUI, no cambia nada el hecho de que lo que se instale sea multi-idioma.
La limitación se ciñe al idioma de las pantallas de instalación.
Si el programa de instalación es un pack ".msi
.msi", entonces es monolingüe. También es
una limitación de Windows Installer. Pero el contenido a instalar sigue siendo MUI. Se
puede modificar la lengua del pack aplicando un "transform" de idioma.
Aplicación de un "transform" de idioma
Esta operación es necesaria cuando se plantea una instalación partiendo de un pack ".msi
.msi".
La mayor parte de herramientas de teleinstalación (GPO, SMS, etc.) permiten aplicar
directamente un transform durante la instalación. En ese caso, basta con configurarlo en la
herramienta. Pero si el transform que vamos a aplicar sólo es un "transform de idioma", es
inútil si la instalación prevista es totalmente silenciosa: inútil traducir pantallas que no
aparecen.
La aplicación de un transform es una operación estándar que puede efectuarse con un gran
número de herramientas, gratuitas o de pago, existentes en el mercado. Para que esta
operación esté disponible de manera inmediata, ha sido integrada en el programa
"zedcmd.exe
zedcmd.exe":
zedcmd.exe transform <fichier msi> -t <fichier .mst>
La manera de obtener el pack .msi y el transform .mst se describe en el siguiente párrafo.
Packs
Pack Setup Zed! […].exe
El pack estándar se vende en forma de un programa "Setup
Setup Zed!.exe"
Zed!.exe (el nombre puede
variar en función de la versión).
Este programa es un ejecutable que desencadena las siguientes acciones:
„
„
Establecimiento del idioma del equipo
Extracción del pack .msi y de los transforms de idioma .mst que contiene
A continuación, estos dos ficheros se colocan en un emplazamiento dado, que se indica
más adelante.
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
21
„
„
El .msi estándar que se extrae está en inglés: si el idioma del equipo es distinto, aplica
automáticamente el transform de idioma para que la instalación se ejecute en el
idioma del equipo;
Ejecuta la instalación del resultado.
Pack Zed! […].msi
Para obtener este pack, basta con ejecutar una vez la instalación partiendo del setup
[…].exe.
[…].exe
El pack .msi,
.msi y los transforms de idioma .mst,
.mst se ubicarán en
Windows\DownloadedInstallations.
Windows\DownloadedInstallations
Esta carpeta contiene una subcarpeta por producto instalado (y que utilice esta
tecnología). Desgraciadamente, los nombres de estas carpetas no son muy … cómodos. En
realidad son los "Package Codes" (GUID) de las [versiones de] productos.
¿Cómo reconocer el de Zed! ?
„
„
Su nombre siempre aparece como {xxxxxxxx-xxxx-6CA8-8868-36F59DEFD14D},
{xxxxxxxx-xxxx-6CA8-8868-36F59DEFD14D} las
xxx pueden variar y contener el número de build y de versión.
Dentro de la carpeta, el fichero .msi se sigue llamando Zed! […].msi,
[…].msi […] puede
contener el número de build (generación) de la versión.
En la misma carpeta también encontrará el transform de idioma, con el nombre 1034.mst
o, esporádicamente, 1033.mst.
1033.mst El número 1034 designa en codificación internacional la
lengua espagñola y el 1033 el inglés. 1034.mst es por tanto el fichero que permite
"traducir" el programa de instalación .msi al espagñol, ya que éste último siempre está en
inglés.
Instalación
Utilización de "Setup Zed!.exe"
El programa Setup.exe se utiliza como la mayor parte de los programas de este tipo que
existen en el mercado. Contiene y ejecuta un fichero Microsoft Installer "Zed!.msi
Zed!.msi", y
puede aplicar, eventualmente, un "transform" de idioma si el idioma seleccionado para la
instalación es el espagñol.
Î Para pasar de las directrices de tipo "MSIEXEC
MSIEXEC" al programa "SETUP
SETUP", utilice la siguiente
sintaxis:
Setup xxx.exe /V"instructions msiexec"
Î Para forzar la ejecución en un idioma dado, utilice el argumento /L1034 (espagñol) o
/L1033 (inglés)
Setup xxx.exe /L1034
Î La versión "administrada/instalación en red" puede prepararse con la directriz /A y,
opcionalmente, con la carpeta correspondiente:
Setup xxx.exe /A [TARGETDIR=…]
Sin embargo, conviene estar atentos porque este modelo esconde algunas trampas. El
fichero .msi que extrae y pone a disposición sólo contiene el procedimiento de instalación,
sin los ficheros de programas, puesto que, por definición, se han "reventado" en la carpeta
de destino, que, por eso, tiene que estar obligatoriamente disponible para realizar
instalaciones en el ordenador correspondiente.
Asimismo, si los ficheros "reventados" en la carpeta lo han sido en forma multi-idiomas, el
procedimiento de instalación (zed!.msi
zed!.msi), siempre está en inglés porque es el idioma por
defecto del producto. Y ocurre los MISMO si se especifica un idioma durante la ejecución
del comando setup /a:
/a este idioma sólo hará referencia al propio comando y no al
resultado.
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
22
Para obtener un setup "administrado" (instalación en red) en espagñol, hay que aplicar,
por tanto, el "transform de idioma" como se indica más arriba en el fichero zed!.msi
extraído. Es importante, porque no sólo incumbe al idioma de instalación (que puede no
tener importancia para una instalación silenciosa) sino también a algunos textos que se
instalan a continuación en los ordenadores de los usuarios (en particular, los elementos del
menú Inicio).
Utilización de "Zed!.msi"
Como se indica en los párrafos anteriores, este fichero puede existir en dos formas:
„
Completo, con los ficheros de programas, si ha sido recuperado tras una primera
instalación en
„
Parcial, únicamente con el procedimiento de instalación, si se obtiene tras una
preparación para 'Instalación en red' (setup.exe
setup.exe /A o msiexec /A en un fichero
completo).
Windows\Downloaded Installations\{xxxxxxxx-xxxx-6CA8-8868-36F59DEFD14D}
En ambos casos, siempre estará en inglés, y hay que transformarlo en espagñol como se
ha indicado anteriormente.
Este fichero .msi se utiliza luego como todos los ficheros de este tipo, con MSIEXEC y las
herramientas de teledifusión.
Opciones específicas de instalación
„
„
No existe solicitud de número de serie u otro instrumento de control de licencia;
La carpeta destino de instalación por defecto es <Program Files>\PrimX\Zed!.
Files>\PrimX\Zed! La
propiedad TARGETDIR puede especificarse en la línea de comando de la instalación
para cambiar esta opción:
Msiexec /i zed!.msi TARGETDIR=C:\Zed!
Setup zed!.exe /V"TARGETDIR=C:\Zed!"
„
„
„
o
La instalación silenciosa /qn[+] /qb[+] es posible.
La propiedad ZC_HIDELICENCEPAGE=1 permite no mostrar la página de licencia;
La propiedad ZC_POLICIES=<nom de fichier> permite instalar policies en el ordenador
de destino. El fichero de policies debe estar disponible en el momento de la instalación,
y tiene que haber sido preparado con el comando zedcmd exportpolicies;
exportpolicies
Algunas de estas opciones pueden especificarse previamente a través de la masterización.
Masterización
No se puede masterizar un programa setup.exe,
setup.exe sino sólo un fichero .msi que se haya
extraído y localizado (idioma) como se indica más arriba.
La masterización permite fijar algunas opciones dentro del .msi (y, por tanto, en avance) y
no desde el exterior (línea de comando) en el momento de la ejecución de:
zedcmd.exe master zed!.msi [options]
El programa ZEDCMD.EXE está instalado con el producto. El "preparador" puede utilizar,
por tanto, esta herramienta con una primera instalación aislada.
Las opciones posibles son:
„
„
Especificar un fichero logo, que se incrusta en las ventanas de apertura de contenedor.
Este fichero tiene que estar en formato BMP WINDOWS, y tiene que tener una
dimensión de 398 * 60 para una incrustación total o inferior o igual a 314*56
(recomendado: 150*50) para una incrustación parcial. El fichero especificado se
añadirá en el procedimiento zed!.msi y se instalará en los ordenadores de destino;
Especificar un fichero de policies a aplicar automáticamente en los ordenadores de
destino; este fichero se añadirá al procedimiento zed!.msi y debe haber sido preparado
con el comando zedcmd exportpolicies;
exportpolicies
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
23
„
„
Especificar un certificado a añadir como "acceso obligatorio" (complementario) a
cualquier contenedor cifrado. Para ser operativo de manera efectiva, este fichero tiene
que aparecer referenciado en las policies (P131
P131). Esta opción únicamente tiene interés
si no se ha optado por referenciar en esta política un camino hacia una red compartida
y hay que instalar, por tanto, localmente el fichero.
No mostrar la página de licencia;
Casos de las policies
El Responsable de la Seguridad "prepara" las policies que desea ver aplicadas en un
ordenador aislado. Para ello, utiliza la herramienta estándar Windows GPEDIT.msc.
GPEDIT.msc
A continuación, utiliza el siguiente comando:
zedcmd.exe exportpolicies –f <fichier policies.ini>
Es precisamente este fichero el que tiene que utilizarse después para la aplicación a los
equipos de destino, o mediante masterización, o mediante directriz durante la instalación.
Sin embargo, preste especial atención:
„
„
Si los equipos de destino son miembros de un dominio Windows, quizá no sea el mejor
método: es preferible, y más sencillo, utilizar la logística estándar de gestión de las
policies que éste último ofrece: basta con configurarlas en el controlador de dominio (o
el dominio, o el bosque) para que los equipos lo hereden de manera automática;
Si un equipo de destino es miembro de un dominio y la instalación se ejecuta cuando
no está conectado al dominio, las policies masterizadas o transmitidas en directriz no
se instalarán porque Windows lo rechazará.
Por lo tanto, en resumen:
„
„
Si los equipos de destino no son miembros de un destino, la única solución para
instalar policies preconfiguradas es masterizarlas;
Si los equipos de destino son miembros de un dominio, hay o que pasar por el dominio
y no masterizar las policies, o asegurarse de que los equipos están conectados al
dominio durante la instalación (lo que es evidente en el caso de teleinstalación).
Actualizaciones
La instalación de Zed! detecta y trata las versiones anteriores eventualmente instaladas.
La operación siempre es un "major upgrade", que consiste en –en un sólo movimiento –
desinstalar y reinstalar, sin perder, sin embargo, las policies instaladas y las preferencias
del usuario.
Sin embargo, si la instalación ha sido masterizada, conviene remasterizarla antes de la
instalación de una nueva versión.
Por norma general, salvo que se indique explícitamente lo contrario, nunca habrá operación
particular de "migración o de mantenimiento de compatibilidad" cuando se instale una
versión posterior.
Desinstalación
La desinstalación completa del producto:
„
„
„
Borra las policies existentes en el equipo, si es posible (i.e. salvo que pertenezcan a un
dominio);
No borra las preferencias del usuario en Registry (porque es difícil, incluso imposible,
enumerar todos los perfiles que han existido);
NO DESCIFRA (y no trata de descifrar) los contenedores existentes.
Para no desinstalar las policies (con vistas a una reinstalación posterior), se puede
especificar la propiedad ZC_KEEP_POLICIES=1 en la desinstalación (con msiexec.exe).
msiexec.exe
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
24
Observaciones
Zed! 3.1 Guía ES - PX81103 - © Prim'X Technologies 2003 - 2008
25
Documentos relacionados
pautas a seguir por el alumno para la entrega de trabajos fin de
pautas a seguir por el alumno para la entrega de trabajos fin de
Descargar PDF
Descargar PDF
Unir y eliminar páginas en ficheros PDF.
Unir y eliminar páginas en ficheros PDF.
7420 MILION OD ZARAZ repartirá más de 1.200.000 Złoty cada
7420 MILION OD ZARAZ repartirá más de 1.200.000 Złoty cada
Descripción del Juego: Debes unir los diferentes puntos siguiendo
Descripción del Juego: Debes unir los diferentes puntos siguiendo
Zed! Limited Edition 3.1 Guía ES (PX81109)
Zed! Limited Edition 3.1 Guía ES (PX81109)
MI PERFIL Cada usuario en el aula dispone de dos menús, Mi perfil
MI PERFIL Cada usuario en el aula dispone de dos menús, Mi perfil
Fichero de titularidad pública CONTENIDO DE LA NOTIFICACIÓN
Fichero de titularidad pública CONTENIDO DE LA NOTIFICACIÓN
Protección de Datos
Protección de Datos
Descargar
Anuncio
Anuncio