Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Chapitre 3 : Scénarios d'opérations et de récupération
Paru le 29 mai 2007
Le fonctionnement et la maintenance d'ordinateurs protégés par le chiffrement de lecteur Microsoft® BitLocker™ (BitLocker) et/ou le système EFS (Encrypting File System), tels qu'ils sont décrits dans le présent guide nécessitent la planification de scénarios qui peuvent parfois s'avérer complexes. Ce chapitre décrit des scénarios clés que votre entreprise peut avoir à prendre en compte :
Récupération de données de systèmes protégés par EFS
Récupération de données de systèmes protégés par BitLocker
Sur cette page
Scénarios de chiffrement de lecteur Windows BitLocker
Scénarios EFS
Plus d'informations
Scénarios de chiffrement de lecteur Windows BitLocker
La récupération BitLocker n'est possible que si le mot de passe de récupération est accessible. Par conséquent, tous les scénarios de récupération partent du principe que le mot de passe de récupération est disponible. Il peut être nécessaire de récupérer des données BitLocker dans les cas suivants :
Installation du lecteur protégé par BitLocker sur un nouvel ordinateur.
Remplacement de la carte mère par une carte mère dotée d'un nouveau module de plate-forme sécurisée (TPM).
Arrêt, désactivation ou effacement du module de plate-forme sécurisée.
Mise à niveau de composants critiques de prédémarrage ayant provoqué l'échec du processus de validation par le module de plate-forme sécurisée.
Oubli du code PIN après activation du processus d'authentification de celui-ci.
Perte du lecteur flash USB Plug and Play qui contient la clé de démarrage après activation de l'authentification de cette clé.
Redéploiement d'ordinateurs de bureau ou d'ordinateurs portables vers d'autres services ou employés de l'entreprise. Ce type de redéploiement peut avoir lieu pour des utilisateurs qui possèdent des droits de sécurité différents et souhaitent pouvoir récupérer des données pour leurs ordinateurs avant l'octroi de nouvelles autorisations de sécurité.
Réinstallation d'ordinateurs de bureau utilisés. Par exemple, un administrateur informatique peut avoir à réinstaller à distance le système d'exploitation sans perdre de données protégées.
BitLocker chiffre le volume du système d'exploitation complet. Il ne peut être déchiffré qu'après le déverrouillage de la clé de volume. Si le volume ne peut pas être déverrouillé, le processus de démarrage est interrompu avant le démarrage du système d'exploitation. Au cours de cette séquence du processus de démarrage, vous devez indiquer le mot de passe de récupération à partir d'un lecteur flash USB ou utiliser les touches de fonction pour entrer ce mot de passe. (Les touches F1 à F9 correspondent aux chiffres de 1 à 9, tandis que la touche F10 correspond à 0.)
Notes
Dans la mesure où la récupération intervient très tôt dans le processus de démarrage, les fonctionnalités d'accessibilité Microsoft Windows® (comme les écrans à fort contraste et les lecteurs d'écran) ne sont pas disponibles. Si ces fonctionnalités d'accessibilité sont nécessaires, vous devez envisager d'autres procédures de récupération qui s'appuient sur ces fonctionnalités.
Méthodes de récupération et problèmes BitLocker
La récupération BitLocker requiert l'accès à un mot de passe de récupération BitLocker, qui est propre à l'ordinateur sur lequel il a été créé. Vous pouvez enregistrer la clé sur papier, sur un périphérique de démarrage USB, dans le service d'annuaire Active Directory® ou dans un fichier réseau. Cependant, l'accès à cette clé donne à son détenteur la possibilité de déverrouiller un volume protégé par BitLocker et de lire toutes les données qu'il contient. C'est pourquoi il est important que votre entreprise établisse des procédures pour contrôler les accès dans le cadre de la récupération de mots de passe et de s'assurer que les mots de passe sont stockés en toute sécurité et séparément des ordinateurs qu'ils protègent.
Méthodes de déverrouillage
Pour déverrouiller un disque chiffré avec BitLocker, vous disposez de trois méthodes différentes :
La console de récupération BitLocker, qui s'exécute avant le démarrage de Windows Vista™, est conçue pour aider les utilisateurs à déverrouiller un volume de système d'exploitation chiffré avec BitLocker.
L'Assistant de récupération du panneau de configuration de BitLocker aide les utilisateurs à déverrouiller un volume de données chiffré avec BitLocker (c'est-à-dire un volume qui ne contient pas le système d'exploitation, un volume qui contient un autre système d'exploitation sur le même ordinateur ou un volume de système d'exploitation sur un autre ordinateur).
L'environnement de récupération Windows Vista (WinRE) comprend un Assistant qui permet de déverrouiller des volumes de données ou de système d'exploitation protégés par BitLocker. WinRE est disponible sur un DVD Windows Vista ou dans une partition de récupération selon les marques d'ordinateurs.
Dans tous les cas, vous pouvez utiliser un mot de passe à 48 chiffres pour déverrouiller l'accès au lecteur chiffré. Ce mot de passe permet de récupérer des informations chiffrées avec BitLocker quelle que soit la méthode de protection utilisée (TPM, TPM avec code confidentiel, TPM avec clé de démarrage, etc.). Ainsi BitLocker peut toujours récupérer les informations chiffrées. Par exemple, en cas de perte du code confidentiel, les utilisateurs retrouvent l'accès au lecteur chiffré en entrant le mot de passe de récupération.
Lors d'une récupération, la console de récupération BitLocker affiche deux informations :
Étiquette du lecteur. Il s'agit d'une chaîne composée du nom de l'ordinateur, du nom du volume disque et de la date de génération du mot de passe (par exemple, CATAPULT OS 1/15/2007).
Identificateur du mot de passe. Cette chaîne à 32 chiffres hexadécimaux identifie de façon unique chaque mot de passe de récupération BitLocker (4269744C-6F63-6B65-7220-697320537570, par exemple).
Les utilisateurs et les professionnels de l'assistance peuvent employer ces identificateurs pour être certains de fournir le mot de passe de récupération approprié. Cela s'avère particulièrement utile lorsque le mot de passe est récupéré à partir d'Active Directory.
Récupération lancée par l'utilisateur
Les utilisateurs peuvent récupérer leurs données à l'aide d'un mot de passe de récupération. Cependant, ils doivent le connaître ou y avoir accès sur un lecteur flash USB ou dans un autre format exploitable. Après avoir accédé au mot de passe approprié, ils peuvent utiliser la console de récupération de prédémarrage ou les outils WinRE afin de déverrouiller le volume et reprendre leur travail.
Récupération assistée par le support technique
Lors de la planification du processus de récupération BitLocker, la première étape consiste à consulter les pratiques recommandées en vigueur dans votre entreprise en matière de récupération de données sensibles. Par exemple, comment votre entreprise gère-t-elle les mots de passe Windows ? Quelles procédures votre entreprise utilise-t-elle pour gérer les demandes de réinitialisation de code PIN de cartes à puces ? Employez ces pratiques recommandées et ressources connexes (individus et outils) pour mettre en œuvre un modèle de récupération BitLocker.
Préparation de la récupération
Avant d'effectuer le déploiement BitLocker, vous devez préparer les demandes de récupération pour respecter leur délai de traitement.
Reportez-vous tout d'abord au guide Configuration d'Active Directory pour sauvegarder les informations de chiffrement de lecteur Windows BitLocker et de récupération du module de plate-forme sécurisée (éventuellement en anglais), qui explique comment utiliser Active Directory pour stocker des informations de récupération de clé. Ce document comprend un certain nombre d'outils et de scripts susceptibles de vous aider dans vos opérations de récupération.
Microsoft a développé l'outil BitLocker Recovery Password Viewer (extension du composant logiciel enfichable de la console de gestion Microsoft (MMC) Utilisateurs et ordinateurs Active Directory) pour visualiser les informations de récupération BitLocker en tant que propriété d'un objet ordinateur. Grâce à cette fonctionnalité, l'équipe du support technique peut accéder plus aisément aux informations de récupération. Vous devez examiner attentivement vos stratégies opérationnelles et votre délégation d'autorisations Active Directory pour être certain de restreindre l'accès des informations de récupération au personnel d'assistance uniquement.
Pour vous procurer l'outil BitLocker Recovery Password Viewer, reportez-vous à l'article 928202 de la Base de connaissances Microsoft intitulé « Comment utiliser le BitLocker Recovery Password Viewer pour outil Utilisateurs et ordinateurs Active Directory pour afficher des mots de passe de récupération de Windows Vista » (article traduit par un système automatique). Téléchargez l'outil, puis installez-le selon les instructions de l'article de la Base de connaissances. Lors de la première installation de l'outil dans un domaine, connectez-vous en tant qu'administrateur d'entreprise. Pour les installations suivantes, il suffit que le compte d'installation possède les droits d'administrateur sur l'ordinateur de destination.
Notes
Microsoft vous recommande de créer une stratégie d'identification d'utilisateur afin de savoir par qui chaque ordinateur de l'entreprise est utilisé avant de générer les mots de passe de récupération.
Exécution d'une récupération
Le personnel du support technique peuvent effectuer la procédure suivante.
Pour effectuer une récupération
Demandez le nom de l'ordinateur à l'utilisateur. Si l'utilisateur ignore le nom de son ordinateur, vous pouvez le déduire à partir de l'étiquette du lecteur (à condition que l'ordinateur n'ait pas été renommé).
Vérifiez l'identité de l'utilisateur au moyen d'un mécanisme d'authentification approprié.
Récupérez le mot de passe de récupération BitLocker à partir de l'objet ordinateur dans Active Directory. Pour cela, vous pouvez exécuter le script Get-BitLockerRecoveryInfo.vbs, fourni avec le guide Configuration d'Active Directory pour sauvegarder les informations de chiffrement de lecteur Windows BitLocker et de récupération du module de plate-forme sécurisée (éventuellement en anglais). S'il est installé, vous pouvez également utiliser l'outil BitLocker Recovery Password Viewer comme suit :
Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, recherchez le conteneur dans lequel se trouve l'ordinateur et cliquez dessus. Par exemple, cliquez sur le conteneur Ordinateurs.
Cliquez avec le bouton droit de la souris sur l'objet ordinateur, puis sélectionnez Propriétés.
Dans la boîte de dialogue Propriétés, cliquez sur l'onglet BitLocker Recovery pour afficher les mots de passe de récupération BitLocker associés à cet ordinateur spécifique.
Si le nom d'ordinateur n'est pas disponible, vous pouvez récupérer le mot de passe à l'aide de son identificateur transmis au script Get-BitLockerRecoveryInfoByID.vbs ou en utilisant l'outil BitLocker Recovery Password Viewer :
Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit de la souris sur le conteneur de domaine, puis cliquez sur Rechercher le mot de passe de récupération BitLocker.
Dans la boîte de dialogue Rechercher le mot de passe de récupération BitLocker, tapez les huit premiers caractères du mot de passe dans le champ ID du mot de passe (huit premiers caractères), puis cliquez sur Rechercher.
Indiquez le mot de passe de récupération à l'utilisateur. Le mot de passe est demandé à chaque redémarrage de l'ordinateur sauf si une clé ou un code confidentiel de démarrage est fourni ou si l'utilisateur désactive BitLocker.
Si l'utilisateur a oublié ou perdu son code confidentiel ou sa clé de démarrage, examinez le système pour déterminer la cause de la récupération. Il est important d'identifier les problèmes liés au module de plate-forme sécurisée, aux fichiers de démarrage ou de toute autre nature nécessitant une récupération afin de s'assurer qu'ils sont pris en charge correctement et n'affectent pas d'autres systèmes.
Microsoft recommande de réinitialiser la protection de BitLocker sur le lecteur une fois que la cause principale de la récupération a été identifiée. Selon la cause du problème, choisissez l'une des méthodes suivantes :
Redéfinissez le mot de passe de récupération. Cette méthode crée un mot de passe de récupération et annule les mots de passe précédents.
Redéfinissez le code confidentiel ou la clé de démarrage USB. Cette méthode remplace un code confidentiel ou une clé de démarrage USB ayant été égaré. Le lien de gestion des clés du panneau de configuration du Chiffrement du lecteur BitLocker permet de redéfinir un code confidentiel perdu ou de dupliquer une clé de démarrage USB.
Redéfinissez les mesures de validation du module de plate-forme sécurisée. Cette méthode renouvelle l'instantané qu'utilise le module de plate-forme sécurisée pour valider les fichiers de démarrage. Redéfinissez les mesures de validation du module de plate-forme sécurisée uniquement si vous connaissez les raisons de l'échec du processus de validation ou si vous avez déterminé que l'échec est sans gravité (par exemple, un utilisateur inconnu a procédé à une mise à jour du BIOS). Dans le cas contraire, envisagez de reconstruire ou d'aplanir le système.
Utilisation de l'outil de réparation de BitLocker
L'outil de réparation de BitLocker (décrit dans l'article 928201 de la Base de connaissances Microsoft intitulé « Comment utiliser le BitLocker Repair Tool pour récupérer des données d'un volume crypté de Windows Vista ») permet d'accéder aux données chiffrées si le disque dur a été sérieusement endommagé. Cet outil est capable de reconstruire des parties essentielles du lecteur et de restaurer des données récupérables. Un package de mot de passe de récupération ou de clé de récupération est nécessaire pour le déchiffrement des données. L'outil est conçu pour les situations dans lesquelles Windows Vista ne peut pas démarrer ou la console de récupération BitLocker est indisponible. Si vous indiquez le mot de passe de récupération, l'outil tente de lire sur le volume la clé de chiffrement propre à celui-ci. Si cette clé est endommagée ou illisible, vous devrez sans doute utiliser directement le package de clés de récupération. L'outil emploie le mot de passe de récupération ou le package de clés que vous fournissez pour monter le disque et tenter d'y récupérer des données. Notez que l'outil de récupération n'est efficace que si les données du disque restent lisibles. Si la défaillance du disque est considérable, l'outil de récupération ne sera pas en mesure de lire les données chiffrées et de les déchiffrer.
Pour pouvoir exécuter l'outil de réparation de BitLocker, vous devez disposer des éléments suivants :
Le volume original chiffré par BitLocker.
Un volume disque avec un espace suffisant pour contenir les données du volume chiffré. Microsoft recommande d'utiliser un disque dur externe pour recevoir ces informations.
Un disque flash USB ou un périphérique de stockage amovible similaire possédant les informations de récupération BitLocker pour le volume endommagé.
L'outil de réparation de BitLocker proprement dit.
Les instructions d'exécution de l'outil de réparation de BitLocker sont disponibles dans l'article de la Base de connaissances Microsoft cité précédemment dans cette section.
Scénarios EFS
La récupération EFS s'appuie sur l'accès à l'élément de clé utilisé pour la protection de la clé de chiffrement de fichier (ou clé FEK). Cet élément peut être le certificat EFS de l'utilisateur ou un certificat de l'agent de récupération de données (ou certificat DRA). Il existe trois principaux scénarios de récupération de données à partir d'EFS :
L'utilisateur a chiffré des données qui n'auraient pas dû être chiffrées. Dans ce scénario, le modèle de récupération est simple : désactivez le chiffrement pour les éléments de données spécifiques.
Un utilisateur n'a plus accès à ses éléments de clé.
Une entreprise doit restaurer l'accès aux données lorsque l'utilisateur original (ou le certificat associé) n'est pas disponible pour le faire.
Méthodes de récupération et problèmes EFS
Si la clé de déchiffrement privée EFS d'un utilisateur est perdue ou endommagée, les fichiers protégés par EFS ne sont accessibles qu'après récupération de cette clé. Cette section traite des différents scénarios de récupération EFS qui dépendent de la méthode de récupération planifiée et déployée à l'origine.
Importation de clés EFS
Si un utilisateur perd sa clé de déchiffrement privée EFS, la méthode de récupération la plus simple consiste à importer le certificat numérique EFS (et la clé privée) à partir d'une sauvegarde en bon état. La sauvegarde des clés EFS est décrite dans les chapitres précédents.
Notes
Pour une récupération réussie, la sauvegarde de clés EFS de l'utilisateur doit comprendre la clé de chiffrement privée EFS. N'oubliez pas que l'utilisateur doit retenir son mot de passe de protection qui a été défini lors de l'exportation de la clé.
Pour réimporter une clé EFS exportée précédemment
Connectez-vous à Windows à l'aide du compte de l'utilisateur qui doit importer sa clé EFS.
Autorisez l'utilisateur à accéder à une copie de son certificat numérique et de sa clé privée EFS qui ont été exportés. Le nom du fichier exporté doit posséder l'extension .pfx.
Cliquez deux fois sur le fichier EFS exporté.
Dans la boîte de dialogue Assistant Importation de certificat, cliquez sur Suivant.
Si nécessaire, tapez l'emplacement et le nom du certificat numérique EFS, puis cliquez sur Suivant.
Tapez le mot de passe de protection défini lors de l'exportation du certificat EFS, puis cliquez sur Suivant.
.gif)
Figure 3.1. Invite du mot de passe du certificat dans l'Assistant Importation de certificat
Pour autoriser l'Assistant Importation de certificat à importer le certificat EFS dans le magasin par défaut approprié, sélectionnez le bouton d'option Sélectionner automatiquement le magasin de certificats selon le type de certificat, puis cliquez sur Suivant.
.gif)
Figure 3.2. Invite de l'emplacement du magasin de certificats dans l'Assistant Importation de certificats
Dans le dernier écran, cliquez sur Terminer.
L'utilisateur doit à présent tenter d'accéder à un fichier déjà protégé par EFS. Si l'opération réussit, la clé EFS de sauvegarde de l'utilisateur doit être replacée à son emplacement sécurisé d'origine. Toute copie existante doit être supprimée et la Corbeille doit être vidée.
Utilisation d'agents de récupération de données
Un autre scénario de récupération EFS courant consiste à utiliser un agent de récupération de données EFS. Si vous configurez correctement l'agent de récupération de données avant le chiffrement d'un fichier, celui-ci est automatiquement utilisé pour le fichier. Vous pouvez également ajouter des agents de récupération de données à des fichiers existants après leur chiffrement initial.
Pour utiliser un agent de récupération de données
- Connectez-vous à Windows à l'aide du compte d'utilisateur de l'agent de récupération de données. Vous devez utiliser un ordinateur qui peut accéder aux fichiers à récupérer.
Notes
Un agent DRA peut importer son certificat numérique DRA si celui-ci n'est pas encore installé selon les instructions de la section précédente.
Accédez à l'emplacement des fichiers ou des dossiers à récupérer.
Supprimez l'attribut EFS de ces fichiers ou dossiers en utilisant l'Explorateur Windows ou la commande Cipher.exe /D.
Déconnectez-vous et conservez la connexion utilisateur affectée à l'origine.
S'il le souhaite, l'utilisateur peut alors réactiver la protection EFS sur les fichiers. Windows régénérera un certificat EFS, si nécessaire.
Récupération de clés archivées
Si le certificat numérique EFS et les clés privées de l'utilisateur ont été archivés par une autorité de certification participante, il est nécessaire de recourir à un scénario de récupération de clé. Cette section traite de la récupération de clés EFS à l'aide des services de certificats Windows Server® 2003.
Notes
Pour que la récupération de clé soit disponible, le modèle de certificat EFS utilisé pour créer le certificat numérique EFS et pour chiffrer les fichiers et les dossiers doit être configuré de manière à archiver des clés.
La récupération de clés comprend trois étapes :
Le gestionnaire de certificats des services de certificats extrait le certificat numérique EFS de l'utilisateur à partir du magasin d'archivage des clés.
Le gestionnaire de certificats déchiffre la clé privée de l'utilisateur, puis la stocke dans un fichier PFX.
L'utilisateur importe le fichier PFX pour rajouter son certificat numérique EFS et sa clé privée dans le magasin de certificats sur l'ordinateur local.
Le processus de récupération est direct mais requiert deux étapes intermédiaires : L'identification du numéro de série du certificat numérique EFS de l'utilisateur et la récupération du certificat lui-même.
Identification du numéro de série du certificat numérique EFS de l'utilisateur
La première étape de la récupération de clé consiste à identifier le numéro de série du certificat numérique EFS de l'utilisateur. Les services de certificats requièrent ce numéro de série pour déterminer le certificat à extraire de l'archive.
Pour identifier le numéro de série du certificat d'un utilisateur
Connectez-vous à Windows avec un compte utilisateur autorisé à gérer les services de certificats.
Ouvrez la console Autorité de certification et connectez-vous à un serveur des services de certificats autorisé.
Développez le nœud Autorité de certification, puis cliquez sur le nœud Certificats émis.
Dans le menu Affichage, choisissez Ajout/Suppression de colonnes.
Dans la boîte de dialogue Ajout/Suppression de colonnes, dans la liste Colonne disponible, cliquez sur Clé archivée, puis cliquez sur Ajouter.
Utilisez les boutons Monter ou Descendre pour faire monter ou descendre le champ Clé archivée dans la liste de colonnes afin de retrouver la clé plus facilement, puis cliquez sur OK.
Le champ Clé archivée doit à présent figurer dans la liste des colonnes affichées et indiquer les clés qui ont été archivées.
Recherchez le certificat numérique EFS approprié. Assurez-vous qu'il s'agit du certificat EFS émis et archivé le plus récent. Notez par écrit le numéro de série du certificat (obligatoire pour la récupération).
Fermez la console de l'autorité de certification.
Récupération du certificat et de la clé EFS d'un utilisateur
Lorsque vous disposez du numéro de série du certificat de l'utilisateur, vous pouvez récupérer le certificat et l'élément de clé associé sur le serveur des services de certificats. Pour cela, vous devez utiliser l'outil de ligne de commande Certutil pour interroger l'autorité de certification et récupérer un fichier PKCS #7 qui contient les certificats de l'agent de récupération de clé et le certificat de l'utilisateur avec sa chaîne de sécurité complète. Le contenu interne est une structure PKCS #7 chiffrée qui comporte la clé privée (chiffrée par les certificats KRA).
Pour déchiffrer le fichier de sortie chiffré PKCS #7, l'utilisateur connecté doit être un agent de récupération de clé ou posséder la clé privée d'un ou de plusieurs agents KRA pour le fichier de sortie chiffré cible. Si l'utilisateur qui récupère la clé auprès du magasin de certificats n'est pas un agent KRA, il doit transférer le fichier de sortie chiffré à un utilisateur qui détient une clé privée KRA afin de permettre le traitement.
Pour récupérer le certificat et la clé privée d'un utilisateur
Connectez-vous à Windows avec un compte d'utilisateur autorisé à gérer les services de certificats.
Ouvrez une fenêtre d'invite de commande. Dans l'invite de commande, tapez
Certutil -getkey <numéro> <nom>
où numéro correspond au numéro de série du certificat à récupérer et nom au nom de fichier de sortie dans lequel vous souhaitez stocker le certificat.
Cette commande tente d'effectuer la récupération à partir d'une autorité de certification d'entreprise présente dans la forêt de domaines. Si vous souhaitez interroger une autorité de certification en particulier à la place de toutes les autorités de certification de la forêt, utilisez la syntaxe suivante :
Certutil -config <nom ordinateur\nom CA> -getkey <numéro> <nom>
Dans l'invite de commande, tapez la commande suivante :
Certutil -recoverkey <nom fichier> <nom_fichier.pfx> –p* <mot de passe>*
où nom fichier est le fichier de sortie chiffré créé à l'étape précédente, nom_fichier.pfx est le nouveau nom de fichier de sortie de la clé privée EFS de l'utilisateur au format PKCS #12 et mot de passe est le mot de passe du fichier nom_fichier obtenu.
Lorsque le système vous y invite, saisissez et confirmez un mot de passe fort pour le fichier.
Indiquez ce mot de passe à l'utilisateur par l'intermédiaire d'un mécanisme sécurisé séparé du fichier afin de renforcer la sécurité du processus de récupération.
Transmettez le fichier PFX à l'utilisateur par le biais d'un mécanisme de livraison sécurisé.
Transmettez à l'utilisateur les instructions de la section « Importation de clés » qui figurent au début de ce chapitre.
Restauration de données à l'aide d'un agent de récupération hors connexion
Lorsque vous devez récupérer des données et que des agents de récupération hors connexion sont utilisés, exécutez le certificat de l'agent de récupération hors connexion avant d'effectuer la reprise. Ce processus direct peut être effectué selon les instructions décrites en détail dans ce guide :
À l'aide du composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, activez le compte d'utilisateur Active Directory employé par l'agent de récupération pour pouvoir se connecter à l'ordinateur de récupération.
Le compte d'utilisateur d'agent de récupération permet de se connecter à l'ordinateur sur lequel l'évènement de récupération aura lieu.
Importez le certificat numérique et la clé privée de l'agent de récupération.
Récupérez les fichiers et dossiers nécessaires.
Supprimez ou réexportez le certificat et la clé privée de l'agent de récupération. Si vous réexportez le certificat et la clé, supprimez-les du réseau et stockez la version exportée en toute sécurité.
Désactivez le compte d'utilisateur de récupération.
Faire migrer vers un nouvel ordinateur
Les utilisateurs font souvent migrer leurs environnements de travail d'un ordinateur à un autre. Ces migrations se produisent pour de nombreuses raisons, telles que le remplacement du matériel, les mises à niveau ou les changements de poste. Il est nécessaire d'effectuer des opérations spéciales lors de la migration de données utilisateur d'un ordinateur vers un autre pour assurer l'accès continu aux données protégées par EFS. Dans le processus de base, vous devez effectuer les tâches suivantes :
Faites migrer les certificats EFS et leurs éléments de clé associés de l'ancien ordinateur vers le nouvel ordinateur.
Créez des certificats de l'agent de récupération de données si vous le souhaitez.
Faites migrer les fichiers chiffrés et les autres données utilisateur vers le nouvel ordinateur.
Testez les fichiers chiffrés pour vérifier s'ils peuvent être ouverts.
Faire migrer les certificats EFS
La migration de certificats EFS est une étape nécessaire du déplacement de données utilisateur entre ordinateurs. La méthode utilisée pour y parvenir dépend du système d'exploitation Windows de votre ordinateur.
Migration vers Windows Vista
L'outil USMT (Microsoft User State Migration Tool) version 3.0 permet de faire migrer automatiquement des certificats EFS entre des ordinateurs Windows XP et des ordinateurs Windows Vista. Cependant, l'exécution d'USMT échoue si l'outil trouve un fichier chiffré alors que vous n'avez pas indiqué l'option /efs. Par conséquent, associez l'indicateur /efs:copyraw à l'outil USMT pour pouvoir faire migrer les fichiers chiffrés. Ensuite, lorsque vous exécutez USMT sur l'ordinateur de destination, le fichier chiffré et le certificat EFS migrent automatiquement. Vous pouvez aussi utiliser les méthodes manuelles de déplacement de données EFS de Windows XP vers Windows Vista décrites ci-après.
Migration vers Windows XP
Pour faire migrer des fichiers chiffrés vers des ordinateurs sous Windows XP, vous devez également faire migrer le certificat EFS. Lors de la migration de certificats à l'aide d'USMT, la saisie utilisateur est requise avant et après l'opération.
Pour faire migrer des certificats EFS, procédez de l'une des façons suivantes :
Utilisez l’outil Cipher.exe.
Utilisez le composant enfichable MMC Certificats.
Migration de certificats EFS à l'aide de l'outil Cipher.exe
L'outil de ligne de commande Cipher.exe permet d'exporter le certificat EFS de l'utilisateur (reportez-vous à la section consacrée à la récupération après incidents EFS de ce chapitre), puis d'importer le fichier PFX qui en résulte sur le nouvel ordinateur.
Pour faire migrer un certificat d'utilisateur à l'aide de Cipher.exe
Connectez-vous en tant qu'utilisateur propriétaire du certificat.
Ouvrez une invite de commande et tapez Cipher /x:<fichier efs>** **<nom_fichier>, où nom_fichier est un nom de fichier sans extension et fichier efs est le chemin d'accès au fichier chiffré. Ensuite, appuyez sur Entrée.
Si <fichier efs> est indiqué, le certificat de l'utilisateur actuel employé pour le chiffrement du fichier est sauvegardé. Dans le cas contraire, le certificat et les clés EFS courantes de l'utilisateur sont sauvegardés. Cipher.exe crée un fichier .pfx protégé par mot de passe à l'emplacement que vous spécifiez. Pour plus d'informations sur Cipher.exe, tapez cipher /?.
Notes
Ce processus implique deux mesures de sécurité. Le fichier PFX doit être stocké à un emplacement accessible à partir de l'ordinateur cible (par exemple, un dossier partagé ou un média amovible). Le fichier ne doit pas être stocké au même emplacement que les fichiers protégés par EFS.
Une fois le fichier exporté, l'utilisateur peut l'importer sur un nouvel ordinateur en suivant la procédure Pour importer le certificat sur le nouvel ordinateur.
Migration de certificats EFS à l'aide du composant logiciel enfichable Certificats
Pour exporter un certificat d'utilisateur à l'aide du composant logiciel enfichable Certificats
Connectez-vous à l'ordinateur source avec le compte d'utilisateur propriétaire du certificat.
Ouvrez la console de gestion de Microsoft. Pour cela, cliquez sur Démarrer, Exécuter, tapez mmc puis appuyez sur ENTRÉE.
Dans le menu Fichier, choisissez Ajouter/Supprimer un composant logiciel enfichable.
Dans la boîte de dialogue Ajout/Supprimer un composant logiciel enfichable, cliquez sur Ajouter.
Dans la liste qui s'affiche, sélectionnez Certificats, cliquez sur Ajouter, puis sélectionnez Mon compte d'utilisateur.
Cliquez sur Terminer, cliquez sur Fermer, puis cliquez sur OK.
Accédez à Certificats - Utilisateur actuel\Personnel\Certificats.
Cliquez avec le bouton droit sur le certificat que vous souhaitez faire migrer.
Cliquez sur Toutes les tâches, puis sur Exporter.
L'Assistant Exportation de certificat vous permet de stocker le certificat à un emplacement accessible à partir de l'ordinateur cible (par exemple, une disquette ou un dossier partagé). Lorsque vous y êtes invité, indiquez que vous souhaitez exporter la clé privée et le certificat.
Une fois le processus terminé, un message vous informe que l'exportation a réussi.
Pour importer le certificat sur le nouvel ordinateur
Connectez-vous au nouvel ordinateur avec le compte d'utilisateur propriétaire du certificat.
Ouvrez la console de gestion de Microsoft comme décrit dans la procédure suivante.
Dans le menu Fichier, choisissez Ajouter/Supprimer un composant logiciel enfichable.
Dans la boîte de dialogue Ajout/Supprimer un composant logiciel enfichable, cliquez sur Ajouter.
Sélectionnez Certificats dans la liste, cliquez sur Ajouter, puis sélectionnez Mon compte d'utilisateur.
Cliquez sur Terminer, cliquez sur Fermer, puis cliquez sur OK.
Accédez à Certificats - Utilisateur actuel\Personnel.
Cliquez avec le bouton droit sur Personnel.
Cliquez sur Toutes les tâches, puis sur Importer.
Utilisez l'Assistant Importation de certificat pour localiser le certificat que vous avez exporté. Lorsque vous recherchez le certificat, sélectionnez Échange d'informations personnelles (*.pfx; *.p12) dans la zone de liste déroulante Types de fichiers. Vous devez entrer le mot de passe que vous avez indiqué lors de l'exportation du certificat à partir de l'ordinateur cible.
Une fois le processus terminé, un message vous informe que l'importation a réussi.
Créer des certificats d'agent de récupération de données
Dans le cadre de la migration, vous pouvez consulter les instructions du Chapitre 2 : Tâches de configuration et de déploiement, pour vous assurer que le nouvel ordinateur et les éventuels certificats associés possèdent l'ensemble de certificats d'agent de récupération de données approprié.
Faire migrer les fichiers chiffrés vers le nouvel ordinateur
Une fois le certificat exporté, vous pouvez déplacer d'autres données utilisateur (tels que des fichiers) vers le nouvel ordinateur.
Si vous utilisez l'outil USMT pour déplacer des données chiffrées d'un ordinateur à un autre, spécifiez l'indicateur /efs:copyraw pour que le flux entier de ces données soit lu à partir des fichiers source. Si vous ne spécifiez pas cet indicateur ou si vous employez d'autres outils (tels que xcopy ou robocopy) pour transférer les fichiers, ces derniers seront chiffrés par l'ordinateur source avant la copie.
Tester les fichiers migrés
Après avoir placé les certificats et les fichiers sur le nouvel ordinateur, assurez-vous que la migration a réussi en effectuant les deux opérations suivantes :
Vérifiez que le compte d'utilisateur qui possède les fichiers peut les ouvrir.
Vérifiez que les fichiers sont toujours chiffrés en examinant leurs attributs dans l'Explorateur Windows. Les icônes des fichiers chiffrés sont reconnaissables à leur teinte verte. Vous pouvez également ouvrir la boîte de dialogue Propriétés du fichier afin de vérifier que l'attribut Crypté est activé.
Mettre à jour les certificats DRA
La mise à jour des certificats DRA est nécessaire dans les cas suivants :
Votre organisation effectue une migration des agents DRA locaux vers une infrastructure de DRA gérée de façon centrale.
Vous devez mettre à jour une stratégie DRA à gestion centrale car les certificats DRA sont arrivés à expiration (ou vont bientôt arriver à expiration).
Vous devez mettre à jour une stratégie DRA à gestion centrale car l'élément de clé DRA a été perdu, égaré ou compromis.
Remarques relatives à la mise à jour de certificats DRA
Pour mettre à jour les certificats DRA, vous devez tout d'abord demander ou créer un ou plusieurs certificats ou paires de clés DRA. Selon l'environnement, vous pouvez effectuer cette tâche de l'une des façons suivantes :
Associez le commutateur /R à l’outil Cipher.exe.
Utilisez les interfaces Web ou de programme offertes par les services de certificats Microsoft.
Utilisez le mécanisme de demande de votre autorité de certification tierce.
La demande doit utiliser un modèle d'agent de récupération de données pour que le certificat émis soit exploitable en tant qu'agent de récupération de données.
Après avoir demandé et obtenu les nouveaux certificats d'agent de récupération de données, vous devez les lier à un objet Stratégie de groupe approprié qui s'applique à tous les ordinateurs dont vous souhaitez mettre à jour les informations de l'agent de récupération de données. Assurez-vous que l'objet de stratégie de groupe (GPO) utilisé s'applique aux nouveaux certificats DRA dans les unités d'organisation, les domaines Active Directory et les forêts Active Directory concernés. Par exemple, l'objet de stratégie de groupe de la stratégie de domaine par défaut Active Directory doit être utilisable pour la distribution des nouvelles informations de l'agent de récupération de données.
Après avoir attribué les nouveaux certificats d'agent de récupération de données à un objet de stratégie de groupe, vous pouvez supprimer les certificats d'agent de récupération de données précédents. Cependant, dans ce cas, vous ne pourrez plus récupérer les fichiers créés avec un ancien certificat d'agent de récupération de données. Avant de supprimer des certificats de récupération de données, assurez-vous que vous avez des copies exploitables pour pouvoir récupérer ultérieurement les fichiers chiffrés qui leur sont associés.
Les modifications de l'agent de récupération de données ne prennent effet que lors de l'actualisation des paramètres Stratégie de groupe des ordinateurs sur lesquels ils se trouvent. Vous pouvez attendre la prochaine actualisation des stratégies de sécurité (qui se produit par défaut toutes les 90 minutes), exécuter la commande gpupdate /force sur les ordinateurs concernés ou les redémarrer.
Pour renforcer la sécurité de la clé privée, il est également nécessaire d'archiver la paire de clés et les certificats de l'agent de récupération de données. Après cette opération, vous devez supprimer la paire de clés et le certificat du magasin de certificats de chaque utilisateur qui a importé ces informations. Veillez alors à cocher la case Supprimer la clé privée si l'exportation s'est terminée correctement dans l'Assistant Exportation.
Après les informations de l'agent de récupération de données, vous pouvez mettre à jour les fichiers protégés par EFS sur les ordinateurs cibles, comme décrit à la section suivante.
Mettre à jour les fichiers de nouveaux certificats de l'agent de récupération de données ou de nouveaux certificats utilisateur
Après avoir modifié ou mis à jour les agents de récupération de données utilisés par votre entreprise, vous devez mettre à jour tous les fichiers qui étaient protégés par le précédent agent de récupération de données. Pour cela, vous pouvez ouvrir et enregistrer chaque fichier manuellement bien que cette méthode soit fastidieuse et source d'erreurs. Vous pouvez aussi utiliser le commutateur /U avec la commande Cipher.exe car elle explore alors le disque dur et met à jour les informations de l'agent de récupération de données de chaque fichier chiffré rencontré.
Dans le cadre de ce processus, intégrez les opérations suivantes :
Dirigez la sortie de la commande Cipher /U vers un journal d'erreurs et stockez-le à un emplacement centralisé (tel qu'un partage réseau).
Si vous utilisez le commutateur /I, Cipher.exe ignore les erreurs. Dans le cas contraire, la commande Cipher /U ne peut pas traiter les éventuels fichiers verrouillés ou occupés, ce qui fait échouer le processus de mise à jour.
Vous pouvez créer un script pour effectuer la mise à jour au lieu d'exécuter la commande Cipher /U dans la ligne de commande. Il est déconseillé d'opter pour le lancement automatique de ce script lors de l'ouverture de session car son exécution peut être longue. Cependant, vous pouvez planifier l'exécution de ce script sur les ordinateurs de l'utilisateur ou demander aux utilisateurs de le lancer manuellement à un moment approprié.
Plus d'informations
Télécharger
Obtenir les outils de chiffrement de données pour ordinateurs portables
Notifications de mise à jour
Abonnez-vous aux mises à jour et aux nouvelles versions
Commentaires