Protection des données avec le système EFS (Encrypting File System)
Dernière mise à jour le 24 juin 2004
Sur cette page
Introduction
Avant de commencer
Génération et sauvegarde d'une clé de récupération
Création d'un agent de récupération domaine
Création d'un agent de récupération local
Utilisation d'EFS
Activation des options de cryptage/décryptage dans le menu de l'Explorateur Windows
Activation du partage de fichier EFS
Exportation et importation des clés de récupération de données
Récupération des données
Méthodes recommandées
Informations complémentaires
Introduction
Dans de nombreuses entreprises, plusieurs collaborateurs peuvent partager la même station de travail et d'autres se déplacer hors de l'enceinte de protection physique de l'entreprise avec leur portable (chez des clients, dans des aéroports, des hôtels, à domicile, etc.). Autant de situations dans lesquelles des informations potentiellement sensibles peuvent se trouver hors du contrôle de l'entreprise et être lues par un utilisateur non autorisé, subtilisées ou plus généralement captées par des tiers malveillants.
L'une des solutions pour réduire les risques de vol de données et améliorer leur sécurité consiste à crypter les fichiers sensibles avec le système EFS (Encrypting File System). Le cryptage consiste à appliquer un algorithme mathématique aux données afin de les rendre illisibles à toute personne ne disposant pas de la clé requise. Le système EFS est une technologie Microsoft permettant de crypter les données et de contrôler qui peut les décrypter ou les récupérer. Lorsque des fichiers sont cryptés, les données utilisateur ne peuvent pas être lues - même par un pirate disposant d'un accès physique au système de stockage de l'ordinateur. Pour utiliser EFS, il est nécessaire de disposer de certificats, qui sont des documents numériques permettant à leur titulaire de crypter et décrypter les données. Il est également nécessaire de disposer d'autorisations NTFS pour modifier les fichiers.
EFS fait appel à deux types de certificats :
Certificats EFS. Les titulaires de ces certificats peuvent utiliser EFS pour crypter et décrypter des données. Les utilisateurs EFS disposent généralement de ce type de certificat. Le champ Utilisation de la clé améliorée de ce type de certificats (visible dans le composant enfichable Certificats de la console MMC) a pour valeur Système de fichiers EFS (Encrypting File System) (1.3.6.1.4.1.311.10.3.4).
Certificats de récupération de fichier. Les titulaires de ces certificats peuvent récupérer des fichiers et dossiers cryptés d'un domaine ou projet, quelle que soit la personne les ayant cryptés. Seuls les administrateurs de domaines ou des personnes de confiance nommées Agents de récupération des données doivent disposer de ce type de certificat. Le champ Utilisation de clé améliorée de ce type de certificats (visible dans le composant enfichable Certificats de la console MMC) a pour valeur Récupération de fichier (1.3.6.1.4.1.311.10.3.4.1). Ces certificats sont généralement nommés les certificats EFS d'agent de récupération des données.
Pour autoriser une personne à lire vos données cryptées, vous pouvez lui communiquer votre clé privée ou en faire un agent de récupération des données. Il peut alors décrypter tous les fichiers EFS du domaine ou de l'unité organisationnelle dans son rayon d'action. Ce document fournit des instructions pas à pas pour réaliser les principales tâches liées au système EFS dans l'environnement d'une PME, et recense les méthodes recommandées les plus importantes pour bien utiliser EFS.
Les procédures indiquées ici vous guideront pour effectuer les tâches suivantes :
Création et protection d'une clé de récupération sécurisant le décryptage des données lorsque leur créateur original n'est pas en mesure de le faire
Création d'agents de récupération capables de décrypter des fichiers lorsque leur créateur original n'est pas en mesure de le faire
Paramétrage du système EFS pour votre entreprise
Configuration de l'Explorateur Windows pour une utilisation pratique d'EFS
Configuration du partage de fichiers pour un bon fonctionnement avec EFS
Exportation et importation des clés de récupération pour sécuriser la récupération des fichiers et dossiers cryptés
Récupération des données lorsque leur utilisateur original n'est pas en mesure de le faire
En suivant les procédures indiquées dans ce document, vous effectuerez les changements suivants portant sur l'ensemble du système :
Création d'une clé de récupération de sauvegarde
Création d'un agent de récupération
Activation d'EFS pour crypter des données sur le disque dur d'un ordinateur
Configuration de l'Explorateur Windows pour inclure les options EFS
Ces procédures vous permettront également de réaliser les modifications et de prendre les précautions suivantes :
Fourniture d'accès partagés à des données cryptées sélectionnées
Gestion des clés de récupération pour récupérer des données cryptées
Récupération des données cryptées en cas de besoin
Avant de commencer
Les procédures de ce document vous aideront à configurer vos ordinateurs pour qu'ils utilisent EFS et illustrent comment mettre en œuvre ce système pour protéger les données enregistrées sur les disques durs des ordinateurs de votre entreprise. Avant de commencer, nous vous conseillons de vous rapprocher d'un conseil juridique pour valider que les stratégies et procédures de cryptage que vous désirez instaurer sont conformes aux lois et règlements de votre pays. En particulier, si votre entreprise est implantée en dehors des Etats-Unis, vous devez vous familiariser avec les lois de contrôle des exportations de logiciels de cryptage. Vous devez également vous familiariser avec les conditions et exigences élémentaires d'utilisation d'EFS.
Seuls les fichiers et dossiers des volumes au format de fichier NTFS peuvent être cryptés. Par conséquent, vous ne pouvez pas utiliser EFS pour protéger des données situées sur des disques durs utilisant les systèmes FAT ou FAT32. Si vous n'avez pas de raison particulière pour continuer à utiliser le système FAT, nous vous recommandons de convertir ces volumes en NTFS. Les systèmes d'exploitation Windows 95, Windows 98 et Windows Millennium Edition ne prennent pas en charge NTFS ni EFS. L'Édition familiale de Windows XP prend en charge NTFS mais pas EFS.
Les fichiers ou dossiers compressés ne peuvent pas être cryptés. Si vous cryptez un fichier ou dossier compressé, il sera décompressé.
Les fichiers marqués de l'attribut Système ne peuvent pas être cryptés ni ceux situés dans le dossier systemroot.
Les options sélectionnées dans la boîte de dialogue lors du premier cryptage de fichiers ou dossiers déterminent la façon dont le cryptage se comportera ultérieurement :
Si vous choisissez de crypter le dossier parent lorsque vous ne cryptez qu'un seul fichier, tous les fichiers et sous-dossiers qui seront ultérieurement ajoutés au dossier seront cryptés lors de l'ajout.
Si vous choisissez de crypter tous les fichiers et sous-dossiers lors du cryptage d'un dossier, tous les fichiers et sous-dossiers actuellement dans le dossier seront cryptés ainsi que tous ceux qui lui seront ultérieurement ajoutés.
Si vous choisissez de crypter le dossier uniquement lorsque vous cryptez un dossier, les fichiers et sous-dossiers actuellement dans le dossier ne seront pas cryptés mais tous les fichiers ou sous-dossiers qui lui seront ajoutés ultérieurement le seront lors de l'ajout.
Sauf indication contraire, dans les procédures décrites dans ce document, les serveurs utilisent le système d'exploitation Windows Server 2003 et les ordinateurs clients Windows XP Professionnel.
En environnement Active Directory, les utilisateurs sont supposés avoir des profils itinérants. Veuillez noter que les écrans reproduits de ce document se réfèrent à un environnement de test et peuvent différer de ceux affichés par votre ordinateur.
Toutes les instructions pas à pas de ce document ont été réalisées à partir du menu Démarrer tel qu'il apparaît par défaut lors de l'installation du système d'exploitation. Si vous l'avez modifié, les étapes peuvent être légèrement différentes.
Génération et sauvegarde d'une clé de récupération
L'absence de clé de récupération de secours peut conduire à une perte irrémédiable des données cryptées. La sauvegarde de la clé de récupération permet de s'assurer que les données pourront toujours être récupérées même si l'utilisateur titulaire du certificat de cryptage EFS n'est pas ne mesure de le faire.
Configuration requise
Autorisations : cette opération doit être réalisée avec le compte d'agent de récupération disposant du certificat de récupération et de la clé privée du fichier dans son magasin privé. L'administrateur de domaine est l'agent de récupération par défaut. Dans un environnement domestique où hors domaine, il n'existe pas d'agent de récupération par défaut mais il est possible de créer un agent de récupération local pour tous les comptes de l'ordinateur. En environnement familial, il est plus courant que chaque détenteur de certificat EFS réalise lui même la sauvegarde de ses propres clés privées.
Outils : composant enfichable Certificats de la console MMC (Microsoft Management Console).
ATTENTION : Avant d'appliquer un changement à la stratégie de récupération par défaut, veillez à sauvegarder les clés de récupération par défaut. Les clés par défaut d'un domaine sont stockées sur son premier contrôleur.
Pour sauvegarder des clés de récupération par défaut sur une disquette
Dans le menu Démarrer, choisissez Exécuter, tapez mmc et cliquez sur OK pour ouvrir la console MMC.
.jpg)
Dans le menu Fichier, choisissez Ajouter/Supprimer un composant logiciel enfichable et cliquez sur Ajouter.
Dans Ajout d'un composant logiciel enfichable autonome, cliquez sur Certificats et cliquez sur Ajouter.
Cliquez sur Mon compte d'utilisateur puis sur Terminer.
Cliquez sur Fermer puis sur OK.
Double-cliquez sur Certificats - Utilisateur actuel puis sur Personnel et enfin sur Certificats.
Cliquez sur le certificat affichant les mots Récupération de fichier dans la colonne Rôles prévus.
Cliquez avec le bouton droit sur le certificat, choisissez Toutes les tâches puis cliquez sur Exporter.
Suivez les instructions de l' Assistant Exportation de certificat pour exporter le certificat et la clé privée associée dans un fichier au format .pfx.
Création d'un agent de récupération domaine
Pour permettre à un compte de lire ou récupérer des données cryptées sous EFS, vous devez en faire un agent de récupération. Dans un environnement domaine, il est préférable d'utiliser pour cela des comptes de domaine. Vous pouvez créer un agent de récupération pour n'importe quel site, domaine ou unité organisationnelle dans une forêt de service d'annuaire Active Directory®. Par défaut, le compte Administrateur intégré d'un domaine est un agent de récupération ; dans ce cas, il n'est pas nécessaire d'en créer un.
Configuration requise
Autorisations : administrateur du domaine.
Outils : composants enfichables MMC Utilisateurs et ordinateurs Active Directory.
Pour créer un agent de récupération domaine
Cliquez sur Démarrer, choisissez Panneau de configuration, double-cliquez sur Outils d'administration puis sur Utilisateurs et ordinateurs Active Directory.
.jpg)
Cliquez avec le bouton droit sur le domaine dont vous souhaitez modifier la stratégie de récupération et choisissez Propriétés.
Cliquez sur l'onglet Stratégie de groupe.
.jpg)
Cliquez avec le bouton droit sur la stratégie de groupe que vous souhaitez modifier et choisissez Edition.
Dans l'arborescence de la console (à gauche) cliquez sur Système de fichiers EFS (Encrypting File System) situé dans Configuration\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique\Système EFS.
.jpg)
Cliquez avec le bouton droit dans le volet de détails (à droite) et choisissez Créer un agent de récupération de données. Remarque : l'Assistant Création d'un agent de récupération vous propose d'ajouter un utilisateur en tant qu'agent de récupération à partir d'un fichier ou d'Active Directory. Lorsque vous ajoutez un agent à partir d'un ficher, il est identifié comme USER_UNKNOWN (utilisateur inconnu) dans la mesure où son nom ne figure pas dans le fichier.
Pour ajouter un agent à partir d'Active Directory, des certificats d'agent de récupération EFS (certificats de récupération de fichier) doivent être publiés dans Active Directory. Cependant, dans la mesure où le modèle par défaut des certificats de récupération EFS ne publie pas ces certificats, vous devez créer un modèle permettant de le faire. Pour cela, dans le composant enfichable Modèles de certificats, copiez le modèle par défaut de certificat de récupération de fichier EFS pour en créer un nouveau, cliquez avec le bouton droit sur ce nouveau modèle, choisissez Propriétés puis, dans l'onglet Général de la boîte de dialogue Propriétés du certificat copié, désactivez la case à cocher Publier le certificat dans Active Directory.
Suivez les instructions de l' Assistant Création d'un agent de récupération pour terminer la création d'un agent de récupération domaine.
Création d'un agent de récupération local
Dans un environnement hors domaine (ordinateur isolé ou groupe de travail), vous pouvez créer un agent de récupération local si l'ordinateur est utilisé par plusieurs personnes. Sur un ordinateur mono-utilisateur, il est plus simple de sauvegarder la clé de récupération sur un support amovible.
Configuration requise
Autorisations : Administrateur de l'ordinateur local.
Outils : Éditeur d'objets de stratégie de groupe
Pour créer un agent de récupération local
Dans le menu Démarrer, choisissez Exécuter, tapez mmc et cliquez sur OK.
Dans le menu Fichier, choisissez Ajouter/Supprimer un composant logiciel enfichable et cliquez sur Ajouter.
Dans Ajout d'un composant logiciel enfichable autonome, cliquez sur Éditeur d'objets de stratégie de groupe et cliquez sur Ajouter.
Sous Objet de stratégie de groupe, assurez-vous qu' Ordinateur local est affiché puis cliquez sur Terminer.
Cliquez sur Fermer puis sur OK.
Dans Stratégie ordinateur local, naviguez jusqu'au dossier Local\Stratégie de l'ordinateur\Configuration de l'ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique.
.jpg)
Dans le volet de détails, cliquez avec le bouton droit sur Système de fichiers EFS (Encrypting File System) et choisissez Ajouter un agent de récupération de données ou Créer un agent de récupération de données. Remarque : l'Assistant vous demande un nom d'utilisateur pour l'agent de récupération ; vous pouvez lui indiquer celui d'un utilisateur dont le certificat de récupération de fichiers est publié ou rechercher les certificats de récupération (fichiers .cer) contenant des informations sur l'agent que vous voulez ajouter. Les certificats de récupération de fichiers peuvent être obtenus auprès d'autorités de certification. Pour identifier un certificat de récupération de fichier dans le composant enfichable Certificats, dans le volet de détails et dans le champ Utilisation de clé étendue, recherchez la valeur Récupération de fichier (1.3.6.1.4.1.311.10.3.4.1). Les certificats de récupération de fichier sont enregistrés avec le suffixe .cer dans le système de fichiers de l'ordinateur local ou dans Active Directory.
Lorsque vous ajoutez un agent de récupération depuis un fichier, l'utilisateur est identifié sous USER_UNKNOWN (utilisateur inconnu) dans la mesure où son nom ne figure pas dans le fichier.
Suivez les instructions de l'Assistant pour terminer la procédure.
Utilisation d'EFS
Après avoir créé un agent de récupération et généré et sauvegardé une clé de récupération, vous pouvez commencer à utiliser EFS pour protéger vos fichiers et dossiers contre des accès non autorisés. Cette section fournit des instructions pour activer EFS.
Configuration requise
Autorisations : Vous devez disposer d'un certificat EFS et d'une autorisation NTFS pour modifier le fichier ou dossier.
Outils : Explorateur Windows.
Pour crypter un fichier ou dossier avec EFS
Ouvrez l'Explorateur Windows.
.jpg)
Cliquez avec le bouton droit sur le dossier ou fichier que vous désirez crypter et choisissez Propriétés.
Dans l'onglet Général, cliquez sur Options avancées.
.jpg)
Activez la case à cocher Crypter le contenu pour sécuriser les données et cliquez sur OK.
.jpg)
Dans la boîte de dialogue Propriétés, cliquez sur OK puis réalisez l'une des opérations suivantes :
Pour crypter un fichier et le dossier parent, dans la boîte de dialogue Avertissement concernant le cryptage, cliquez sur Crypter le fichier et le dossier parent.
Pour crypter seulement un fichier, dans la boîte de dialogue Avertissement concernant le cryptage, cliquez sur Crypter le fichier uniquement.
Pour crypter seulement un dossier, dans la boîte de dialogue Confirmer les changements d'attribut, cliquez sur Appliquer les changement seulement à ce dossier.
Pour crypter un dossier et ses sous-dossiers et fichiers, dans la boîte de dialogue Confirmer les changements d'attribut, cliquez sur Appliquer les changements à ce dossier, aux sous-dossiers et fichiers.
Cliquez sur OK pour accepter et appliquer vos choix de cryptage.
Activation des options de cryptage/décryptage dans le menu de l'Explorateur Windows
Dans certains cas, il peut être plus simple d'implémenter EFS en configurant l'Explorateur Windows pour qu'il affiche « Crypter » et « Décrypter » dans le menu de raccourcis proposé en effectuant un clic droit sur un fichier. Pour cela, il est nécessaire de modifier le Registre Windows pour créer une nouvelle valeur n'existant pas par défaut.
ATTENTION : toute modification incorrecte du Registre peut très sérieusement endommager votre système. Avant tout changement, effectuez une sauvegarde de toutes les données importantes enregistrées sur l'ordinateur.
Configuration requise
Autorisations : Administrateur ayant l'expérience de la modification du Registre et comprenant les dangers de cette opération.
Outils : Éditeur du Registre.
Pour activer des options Crypter/Décrypter dans le menu de l'Explorateur Windows
Ouvrez l'Éditeur du Registre et naviguez jusqu'au dossier suivant :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
.jpg)
Cliquez avec le bouton droit dans le volet de détails (à droite), cliquez sur Nouveau puis sur Valeur DWORD.
Tapez MenuContextuelCryptage comme nom de la valeur DWORD puis appuyez sur Entrée.
Cliquez avec le bouton droit sur la valeur DWORD que vous venez de créer et cliquez sur Modifier.
Dans la boîte de dialogue Edition de la valeur DWORD et dans la zone Données de la valeur, saisissez une valeur de et cliquez sur OK.
Cliquez sur Fichier puis sur Quitter pour fermer l'Éditeur du Registre.
Remarque : avec Windows Server 2003, vous pouvez également ajouter le bouton Détails de cryptage au menu de l'Explorateur en créant un fichier de commandes (*.reg) avec les informations suivantes et en l'exécutant pour chaque utilisateur :
[HKEY_CLASSES_ROOT\*\Shell\Encrypt To User...\Command]
@="rundll32 efsadu.dll,AddUserToObject %1"
Activation du partage de fichier EFS
Les entreprises veulent simultanément protéger leurs données sensibles par cryptage et permettre des accès multiples. Avec EFS, un utilisateur peut crypter un fichier et donner à d'autres la possibilité d'y accéder. Pour cela, il doit indiquer que le fichier crypté est partagé et activer l'accès partagé en ajoutant les certificats de cryptage EFS de tous les utilisateurs autorisés à y accéder. Il est ainsi possible d'améliorer la sécurité sans compromettre la disponibilité des données.
Cependant, le partage de données cryptées est soumis à certaines contraintes et limitations :
Il est impossible d'ajouter des groupes d'utilisateurs aux fichiers cryptés ni d'ajouter des utilisateurs aux dossiers cryptés.
Tous les utilisateurs ajoutés à un fichier crypté doivent disposer d'un certificat de cryptage EFS sur l'ordinateur où se trouve le fichier. Généralement, les certificats sont émis par une autorité de certification (comme Verisign). Si un utilisateur s'est connecté sur l'ordinateur et y a crypté un fichier, il dispose d'un certificat de cryptage EFS sur cet ordinateur.
Tous les utilisateurs qui peuvent décrypter le fichier doivent aussi y avoir accès en lecture. Pour cela, les autorisations NTFS doivent être paramétrées correctement. Si un utilisateur se voit refuser l'accès en raison d'autorisations NTFS insuffisantes, il ne peut pas lire le fichier crypté ni décrypter les données.
Configuration requise
Autorisations : Certificat EFS et propriété du fichier.
Outils : Explorateur Windows.
Tous les utilisateurs ajoutés au fichier doivent disposer d'un certificat situé sur l'ordinateur.
Pour permettre à un utilisateur de crypter ou décrypter un fichier
Ouvrez l'Explorateur Windows.
Cliquez avec le bouton droit sur le fichier crypté que vous désirez modifier et choisissez Propriétés.
Dans l'onglet Général, cliquez sur Options avancées.
Dans Attributs avancés, cliquez sur Détails.
Pour ajouter un utilisateur à ce fichier, cliquez sur Ajouter puis réalisez l'une des opérations suivantes :
Pour ajouter un utilisateur disposant d'un certificat de cryptage EFS sur l'ordinateur, cliquez sur le certificat puis cliquez sur OK.
Pour afficher un certificat sur cet ordinateur avant de l'ajouter au fichier, cliquez sur le certificat puis cliquez sur Afficher le certificat.
Pour ajouter un utilisateur depuis Active Directory, cliquez sur Rechercher un utilisateur, localisez-le dans la liste et cliquez sur OK.
Pour supprimer un utilisateur du fichier, cliquez sur son nom et sur Supprimer.
Remarque : Lorsqu'un utilisateur est ajouté au fichier et que son certificat de cryptage EFS est importé, il est validé auprès d'une autorité de certification racine de confiance. Le certificat est ensuite enregistré dans le magasin contenant les certificats d'autres personnes de cet utilisateur.
Exportation et importation des clés de récupération de données
Les clés de récupération de données doivent être à la disposition de l'agent de récupération pour qu'il puisse récupérer les données cryptées lorsque les modalités normales de décryptage sont impossibles. Par conséquent, il est important de sauvegarder ces clés de récupération. Pour cela, il est souhaitable d'exporter les certificats de récupération et les clés privées des agents de récupération des données sur un support amovible et fiable au format .pfx. Les données perdues pourront alors être récupérées en les réimportant.
Les procédures suivantes indiquent les méthodes pour exporter et importer des clés de récupération des données.
Configuration requise
Autorisations : Être connecté avec le compte administrateur du premier contrôleur du domaine.
Outils : Composant enfichable Certificats MMC
Exportation de clés de récupération
Pour exporter le certificat et la clé privée de l'agent de récupération des données par défaut du domaine
Connectez-vous au domaine avec le compte administrateur du premier contrôleur de domaine.
Cliquez sur Démarrer et sur Exécuter.
Saisissez mmc.exe et appuyez sur Entrée.
.jpg)
Cliquez sur Fichier puis sur Ajouter/Supprimer un composant logiciel enfichable.
Cliquez sur Ajouter pour afficher la liste des composants enfichables enregistrés sur l'ordinateur.
Double-cliquez sur le composant enfichable Certificats, cliquez sur Mon compte d'utilisateur et sur Terminer.
.jpg)
Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Fermer puis cliquez sur OK dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable. La console MMC affiche alors les certificats personnels du compte Administrateur.
Naviguez jusqu'au dossier Certificats\Utilisateur actuel\Personnel\Certificats. Le volet de détails (à droite) affiche une liste de tous les certificats du compte administrateur. Par défaut, il y a deux certificats. Localisez le certificat de récupération domaine par défaut.
Cliquez avec le bouton droit sur ce certificat, choisissez Toutes les tâches puis cliquez sur Exporter pour lancer l'Assistant Exportation de certificat.
.jpg)
IMPORTANT : il est crucial de choisir la bonne clé lors de l'exportation car, après cette opération, la clé privée originale et le certificat correspondant seront effacés de l'ordinateur. Si la clé ne peut pas être récupérée sur l'ordinateur, la récupération de fichier sera impossible avec ce certificat de récupération.
Cliquez sur Oui, exporter la clé privée puis cliquez sur Suivant pour supprimer la clé privée après l'exportation.
.jpg)
Dans la page Format de fichier d'exportation, cliquez sur Echange d'informations personnelles- PKCS #12 (.PFX), activez les cases à cocher Activer la protection renforcée et Supprimer la clé privée si l'exportation s'est terminée correctement puis cliquez sur Suivant. Il est conseillé d'effacer la clé privée du système lorsque l'exportation réussit et d'utiliser la protection renforcée pour disposer d'un niveau de sécurisation supplémentaire sur la clé privée. Les exportations de clés privées font appel au format .pfx basé sur la norme PKCS #12 (un format portable pour stocker ou transporter des informations utilisateur telles que des clés privées, des certificats et diverses informations secrètes). Le format .pfx (PKCS #12) permet également de définir un mot de passe pour protéger la clé privée enregistrée dans le fichier.
.jpg)
Dans la page Mot de passe, saisissez un mot de passe sûr dans la zone Mot de passe, confirmez-le et cliquez sur Suivant.
.jpg)
La dernière étape consiste à enregistrer le fichier .pfx. Le certificat et la clé privée peuvent être exportés vers n'importe quel périphérique d'écriture (disque réseau ou disquette).
Dans la page Fichier à exporter saisissez ou recherchez le nom et le chemin d'accès puis cliquez sur Suivant.
.jpg)
Une notification vous indiquera si l'exportation a réussi.
.jpg)
Si le fichier et la clé privée associée sont perdus, il sera impossible de décrypter des fichiers existants ayant utilisé ce certificat de récupération comme agent de récupération des données. Lorsque le fichier .pfx et la clé privée ont été exportés, sécurisez le fichier sur un support amovible, fiable et stocké dans un endroit sûr conformément aux pratiques et grands principes de sécurité de votre entreprise. Par exemple, vous pouvez enregistrer le fichier .pfx sur un ou plusieurs CD-ROM gardés dans un coffre ou une zone à strict contrôle d'accès physique.
Importation de clés de récupération
Si vous devez récupérer des données cryptées avec une clé exportée, vous devrez d'abord l'importer. La procédure est plus simple que l'exportation. Pour importer une clé enregistrée au format PKCS #12 (fichier .pfx), double-cliquez sur le fichier pour ouvrir l'Assistant Importation de certificat, ou démarrez l'Assistant et importez la clé en suivant les étapes suivantes :
Configuration requise
Autorisations : Compte Administrateur domaine sur l'ordinateur.
Outils : Composant enfichable Certificats MMC
Pour importer une clé de récupération des données
Connectez-vous à l'ordinateur avec un compte valide.
Cliquez sur Démarrer et choisissez Exécuter.
.jpg)
Saisissez mmc.exe et appuyez sur Entrée.
Dans le menu Fichier de MMC, choisissez Ajouter/Supprimer un composant logiciel enfichable.
Cliquez sur Ajouter pour afficher la liste des composants enfichables enregistrés sur l'ordinateur.
Double-cliquez sur le composant enfichable Certificats, cliquez sur Mon compte d'utilisateur et sur Terminer.
Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Fermer puis cliquez sur OK dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable. La console MMC affiche alors le magasin de certificats personnels du compte Administrateur.
.jpg)
Naviguez jusqu'au dossier Certificats\Utilisateur actuel\Personnel\Certificats, cliquez dessus avec le bouton droit, choisissez Toutes les tâches puis cliquez sur Importer pour lancer l' Assistant Importation de certificat.
.jpg)
Cliquez sur Suivant, saisissez le nom et le chemin d'accès au fichier à importer et cliquez sur Suivant.
.jpg)
Dans la page Mot de passe, saisissez le mot de passe du fichier à importer dans la zone Mot de passe s'il s'agit d'un fichier PKCS #12. Il est recommandé de protéger les clés privées par un mot de passe sûr.
Si vous voulez réexporter la clé ultérieurement depuis cet ordinateur, il est important d'activer la case à cocher Marquer la clé comme exportable. Cliquez sur Suivant.
.jpg)
Il est possible que l'Assistant vous demande le nom du magasin dans lequel le certificat et la clé privée doivent être importés. Pour vous assurer que la clé privée est importée dans le magasin personnel, n'activez pas la case à cocher Sélectionner automatiquement le magasin en fonction du type de certificat, mais activez Placer tous les certificats dans le magasin suivant puis cliquez sur Suivant.
.jpg)
Sélectionnez le magasin Personnel puis cliquez sur OK.
.jpg)
Cliquez sur Suivant puis sur Terminer pour finir l'importation. Une notification vous indiquera si l'importation a réussi.
.jpg)
IMPORTANT : un compte domaine doit toujours être utilisé en association avec un agent de récupération des données dans la mesure où les comptes locaux peuvent subir des attaques physiques hors connexion.
Récupération des données
Lorsque des données cryptées ne peuvent pas être récupérées par l'utilisateur original (par exemple, s'il a quitté l'entreprise), il est nécessaire de bénéficier d'un moyen de les rendre accessibles. Cette section indique comment récupérer des fichiers ou dossiers cryptés. Pour cela, vous utiliserez l'Utilitaire de sauvegarde ou tout autre outil de sauvegarde pour récupérer les fichiers ou dossiers cryptés de l'utilisateur sur l'ordinateur où se situent le certificat et la clé de récupération de fichier de l'agent de récupération.
Pour réaliser cette procédure, vous devez être un agent de récupération désigné. En d'autres termes, vous devez disposer de la clé privée et du certificat de l'agent de récupération identifié pour le fichier ou dossier à récupérer.
Configuration requise
Autorisations : Agent de récupération des données.
Outils : Explorateur Windows.
Pour récupérer un fichier ou dossier crypté
Ouvrez l'Explorateur Windows.
.jpg)
Cliquez avec le bouton droit sur le fichier ou dossier crypté que vous désirez récupérer et choisissez Propriétés.
Dans l'onglet Général, cliquez sur Options avancées.
.jpg)
Désactivez la case à cocher Crypter le contenu pour sécuriser les données.
.jpg)
Réalisez une version de sauvegarde du fichier ou dossier décrypté et restituez la version de sauvegarde à l'utilisateur.
Remarque : vous pouvez retourner la version de sauvegarde du fichier ou dossier décrypté à l'utilisateur comme pièce jointe d'un e-mail, sur un disque ou sur un partage de fichiers en réseau.
Il est également possible de transporter physiquement la clé privée et le certificat de l'agent de récupération sur l'ordinateur contenant le fichier crypté, d'importer la clé privée et le certificat, de décrypter le fichier ou dossier puis d'effacer la clé privée et le certificat importés. Cette procédure donne une plus grande visibilité à la clé privée mais ne nécessite pas d'opérations de sauvegarde ou de récupération ni de transporter les fichiers.
Méthodes recommandées
Les méthodes recommandées qui suivent sont destinées à aider les entreprises à utiliser et gérer efficacement les fichiers et dossiers cryptés.
Les agents de récupération doivent sauvegarder leurs certificats de récupération de fichiers dans un emplacement sécurisé. Si vous êtes agent de récupération, utilisez la commande Exporter du composant enfichable Certificats de la console MMC pour exporter le certificat et la clé privée de récupération sur une disquette que vous conserverez dans un endroit sûr. Si le certificat ou la clé privée de récupération de l'ordinateur étaient endommagés ou effacés, il vous suffirait d'utiliser la commande Importer du composant Certificats de MMC pour remplacer le certificat ou la clé privée endommagé ou effacé par celui que vous avez sauvegardé sur disquette.
Utilisation de la configuration domaine par défaut. Par défaut, dans un domaine Windows 2000 ou Windows Server 2003, l'administrateur d'un domaine est son agent de récupération. Lorsque l'administrateur d'un domaine se connecte pour la première fois avec ce compte, un certificat auto-signé est généré, la clé privée est enregistrée dans le profil de cet ordinateur et la Stratégie de groupe par défaut du domaine contient la clé publique de ce certificat en tant qu'agent de récupération par défaut du domaine.
Mise à jour rapide des clés privées d'agent de récupération perdues ou expirées Bien que l'expiration d'un certificat d'agent de récupération soit un événement mineur, la perte ou l'endommagement de clés privées appartenant à l'agent de récupération peuvent potentiellement avoir des effets catastrophiques sur le fonctionnement de l'entreprise. Un certificat d'agent de récupération expiré (clé privée) peut toujours être utilisé pour décrypter des fichiers précédemment cryptés mais les nouveaux fichiers cryptés et ceux mis à jour ne peuvent pas utiliser le certificat expiré (clé publique). Lorsqu'une entreprise perd les clés privées d'un agent de récupération ou que son certificat a expiré, il est recommandé de générer immédiatement un ou plusieurs nouveaux certificats d'agent de récupération et de mettre à jour la Stratégie de groupe pour qu'elle prenne en compte les nouveaux agents de récupération. Lorsque les utilisateurs cryptent de nouveaux fichiers ou mettent à jour des fichiers cryptés existants, les fichiers seront automatiquement mis à jour avec les nouvelles clés publiques de l'agent de récupération. Il peut s'avérer nécessaire d'encourager les utilisateurs à mettre à jour tous les fichiers existants pour qu'ils prennent en compte les nouveaux agents de récupération. Sous Windows XP, l'utilitaire de ligne de commande cipher.exe a été mis à jour avec un paramètre /U pour mettre à jour la clé de cryptage fichier ou les clés de l'agent de récupération sur tous les fichiers des disques locaux. L'exemple suivant met à jour deux fichiers cryptés sur le disque local où Cipher.exe est exécuté.
Cipher.exe /U C:\Temp\test.txt: Encryption updated. C:\My Documents\wordpad.doc: Encryption updated.Remarque : en utilisant le certificat auto-signé par défaut dans un domaine sans autorité de certification, la durée de vie du certificat est de 99 ans.
Les méthodes recommandées qui suivent peuvent aider les entreprises à protéger les données des utilisateurs mobiles contre la perte ou le vol.
La protection physique de l'ordinateur est essentielle et il n'existe aucune alternative technologique à la prise de toutes les précautions nécessaires pour s'assurer qu'un ordinateur ne puisse être ni volé, ni endommagé physiquement.
Les ordinateurs mobiles doivent toujours faire partie d'un domaine Active Directory.
Les clés privées des utilisateurs doivent être stockées séparément de l'ordinateur mobile et importées en cas de besoin.
Les dossiers communs (tels que Mes documents et les dossiers temporaires) doivent être cryptés de façon à ce que tous les fichiers nouveaux et temporaires soient cryptés à la création.
Les nouveaux fichiers et les fichiers existants en clair doivent être respectivement créés et copiés dans un dossier crypté lorsque les données sont extrêmement sensibles. Cette méthode garantit que les fichiers n'ont jamais existé en clair sur l'ordinateur et que les fichiers temporaires ne peuvent pas être récupérés même en cas d'attaques avec des outils sophistiqués d'analyse de disque.
Les dossiers cryptés peuvent être appliqués à un domaine à travers une combinaison de stratégie de groupe, de scripts de connexion et de modèles de sécurité pour assurer que les dossiers standards (comme Mes documents) sont configurés comme des dossiers cryptés.
Le système d'exploitation Windows XP prend en charge le cryptage des données des fichiers hors connexion. Les fichiers et dossiers hors connexion qui sont mis en cache localement doivent être cryptés lorsque des stratégies de mise en cache côté client sont utilisées.
Les ordinateurs portables doivent utiliser l'utilitaire de clé système SYSKEY en mode 2 ou 3 (démarrage disquette ou mot de passe) pour que le système ne puisse pas être démarré par un utilisateur malintentionné. L'utilitaire de clé système et ses options sont documentés dans l'aide en ligne de votre version de Windows.
Il est recommandé d'activer la signature SMB (Server Message Block) dans la Stratégie de groupe des serveurs de confiance pour la délégation utilisés pour stocker les fichiers cryptés. Ce paramétrage est indiqué dans la Stratégie de groupe à l'emplacement suivant : nom-GPO \Configuration de l'ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Serveur réseau Microsoft : Toujours signer numériquement les communications.
Assurez-vous que les données décryptées sont supprimées du disque dur après cryptage des fichiers et périodiquement par la suite.
Informations complémentaires
Pour plus d'informations sur EFS, consultez :