Partager via

Sauvegarder la clé privée EFS (Encrypting File System) de l’agent de récupération dans Windows

Cet article explique comment sauvegarder la clé privée EFS (Recovery Agent Encrypting File System) sur un ordinateur.

Numéro de base de connaissances d’origine : 241201

Résumé

Utilisez la clé privée de l’agent de récupération pour récupérer des données dans des situations où la copie de la clé privée EFS située sur l’ordinateur local est perdue. Cet article contient des informations sur l’utilisation de l’Assistant Exportation de certificat pour exporter la clé privée de l’agent de récupération à partir d’un ordinateur membre d’un groupe de travail et d’un contrôleur de domaine Windows Server 2003, Windows 2000 basé sur Windows Server 2008 ou Windows Server 2008 R2.

Introduction

Cet article explique comment sauvegarder la clé privée EFS (Encrypting File System) de l’agent de récupération dans Windows Server 2003, dans Windows 2000, dans Windows XP, dans Windows Vista, dans Windows 7, dans Windows Server 2008 et dans Windows Server 2008 R2. Vous pouvez utiliser la clé privée de l’agent de récupération pour récupérer des données dans des situations où la copie de la clé privée EFS située sur l’ordinateur local est perdue.

Vous pouvez utiliser EFS pour chiffrer les fichiers de données afin d’empêcher l’accès non autorisé. EFS utilise une clé de chiffrement générée dynamiquement pour chiffrer le fichier. La clé de chiffrement de fichier (FEK) est chiffrée avec la clé publique EFS et est ajoutée au fichier en tant qu’attribut EFS nommé Champ de déchiffrement des données (DDF). Pour déchiffrer le FEK, vous devez disposer de la clé privée EFS correspondante à partir de la paire de clés publique-privée. Après avoir déchiffré le FEK, vous pouvez utiliser le FEK pour déchiffrer le fichier.

Si votre clé privée EFS est perdue, vous pouvez utiliser un agent de récupération pour récupérer des fichiers chiffrés. Chaque fois qu’un fichier est chiffré, le FEK est également chiffré avec la clé publique de l’Agent de récupération. Le FEK chiffré est attaché au fichier avec la copie chiffrée avec votre clé publique EFS dans le champ de récupération de données (DRF). Si vous utilisez la clé privée de l’agent de récupération, vous pouvez déchiffrer le FEK, puis déchiffrer le fichier.

Par défaut, si un ordinateur exécutant Microsoft Windows 2000 Professionnel est membre d’un groupe de travail ou membre d’un domaine Microsoft Windows NT 4.0, l’administrateur local qui se connecte d’abord à l’ordinateur est désigné comme agent de récupération par défaut. Par défaut, si un ordinateur exécutant Windows XP ou Windows 2000 est membre d’un domaine Windows Server 2003 ou d’un domaine Windows 2000, le compte Administrateur intégré sur le premier contrôleur de domaine du domaine est désigné comme agent de récupération par défaut.

Un ordinateur exécutant Windows XP et qui est membre d’un groupe de travail n’a pas d’agent de récupération par défaut. Vous devez créer manuellement un agent de récupération local.

Important

Après avoir exporté la clé privée vers un disque de floppy ou un autre média amovible, stockez le disque ou le support de floppy dans un emplacement sécurisé. Si quelqu’un accède à votre clé privée EFS, cette personne peut accéder à vos données chiffrées.

Exporter la clé privée de l’agent de récupération à partir d’un ordinateur membre d’un groupe de travail

Pour exporter la clé privée de l’agent de récupération à partir d’un ordinateur membre d’un groupe de travail, procédez comme suit :

  1. Connectez-vous à l’ordinateur à l’aide du compte d’utilisateur local de l’agent de récupération.

  2. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.

  3. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable. Cliquez ensuite sur Ajouter dans Windows Server 2003, dans Windows XP ou dans Windows 2000. Ou cliquez sur OK dans Windows Vista, dans Windows 7, dans Windows Server 2008 ou dans Windows Server 2008 R2.

  4. Sous Composants logiciels enfichables autonomes disponibles, cliquez sur Certificats, puis sur Ajouter.

  5. Cliquez sur Mon compte d’utilisateur, puis sur Terminer.

  6. Cliquez sur Fermer, puis sur OK dans Windows Server 2003, dans Windows XP ou dans Windows 2000. Ou cliquez sur OK dans Windows Vista, dans Windows 7, dans Windows Server 2008 ou dans Windows Server 2008 R2.

  7. Double-cliquez sur Certificats - Utilisateur actuel, double-cliquez sur Personnel, puis double-cliquez sur Certificats.

  8. Recherchez le certificat qui affiche les mots « Récupération de fichiers » (sans guillemets) dans la colonne Objectifs prévus .

  9. Cliquez avec le bouton droit sur le certificat que vous avez situé à l’étape 8, pointez sur Toutes les tâches, puis cliquez sur Exporter. L’Assistant Exportation de certificat démarre.

  10. Sélectionnez Suivant.

  11. Cliquez sur Oui, exportez la clé privée, puis cliquez sur Suivant.

  12. Cliquez sur Échange d’informations personnelles - PKCS #12 (. PFX).

    Note

    Nous vous recommandons vivement de cliquer pour activer la protection forte (nécessite IE 5.0, NT 4.0 SP4 ou version ultérieure pour protéger votre clé privée contre l’accès non autorisé.

    Si vous cliquez pour sélectionner la clé privée si l’exportation réussit , la clé privée est supprimée de l’ordinateur et vous ne pourrez pas déchiffrer les fichiers chiffrés.

  13. Sélectionnez Suivant.

  14. Spécifiez un mot de passe, puis cliquez sur Suivant.

  15. Spécifiez un nom de fichier et un emplacement où vous souhaitez exporter le certificat et la clé privée, puis cliquez sur Suivant.

    Note

    Nous vous recommandons de sauvegarder le fichier sur un disque ou sur un périphérique multimédia amovible, puis de stocker la sauvegarde dans un emplacement où vous pouvez confirmer la sécurité physique de la sauvegarde.

  16. Vérifiez les paramètres affichés dans la page Fin de l’Assistant Exportation de certificat, puis cliquez sur Terminer.

Exporter la clé privée de l’agent de récupération de domaine

Le premier contrôleur de domaine d’un domaine contient le profil Administrateur intégré qui contient le certificat public et la clé privée de l’agent de récupération par défaut du domaine. Le certificat public est importé dans la stratégie de domaine par défaut et est appliqué aux clients de domaine à l’aide de la stratégie de groupe. Si le profil Administrateur ou si le premier contrôleur de domaine n’est plus disponible, la clé privée utilisée pour déchiffrer les fichiers chiffrés est perdue et les fichiers ne peuvent pas être récupérés via cet agent de récupération.

Pour localiser la stratégie de récupération de données chiffrée, ouvrez la stratégie de domaine par défaut dans le composant logiciel enfichable Éditeur d’objets de stratégie de groupe, développez Configuration de l’ordinateur, développez Paramètres Windows, paramètres de sécurité, puis développez Stratégies de clé publique.

Pour exporter la clé privée de l’agent de récupération de domaine, procédez comme suit :

  1. Recherchez le premier contrôleur de domaine promu dans le domaine.

  2. Connectez-vous au contrôleur de domaine à l’aide du compte Administrateur intégré.

  3. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.

  4. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable. Cliquez ensuite sur Ajouter dans Windows Server 2003 ou dans Windows 2000. Ou cliquez sur OK dans Windows Server 2008 ou dans Windows Server 2008 R2.

  5. Sous Composants logiciels enfichables autonomes disponibles, cliquez sur Certificats, puis sur Ajouter.

  6. Cliquez sur Mon compte d’utilisateur, puis sur Terminer.

  7. Cliquez sur Fermer, puis sur OK dans Windows Server 2003 ou dans Windows 2000. Ou cliquez sur OK dans Windows Server 2008 ou dans Windows Server 2008 R2.

  8. Double-cliquez sur Certificats - Utilisateur actuel, double-cliquez sur Personnel, puis double-cliquez sur Certificats.

  9. Recherchez le certificat qui affiche les mots « Récupération de fichiers » (sans guillemets) dans la colonne Objectifs prévus .

  10. Cliquez avec le bouton droit sur le certificat que vous avez situé à l’étape 9, pointez sur Toutes les tâches, puis cliquez sur Exporter. L’Assistant Exportation de certificat démarre.

  11. Sélectionnez Suivant.

  12. Cliquez sur Oui, exportez la clé privée, puis cliquez sur Suivant.

  13. Cliquez sur Échange d’informations personnelles - PKCS #12 (. PFX).

    Note

    Nous vous recommandons vivement de cliquer pour activer la protection forte (nécessite IE 5.0, NT 4.0 SP4 ou version ultérieure pour protéger votre clé privée contre l’accès non autorisé.

    Si vous cliquez pour sélectionner la clé privée si l’exportation réussit , la clé privée est supprimée du contrôleur de domaine. Comme meilleure pratique, nous vous recommandons d’utiliser cette option. Installez la clé privée de l’agent de récupération uniquement dans les situations où vous en avez besoin pour récupérer des fichiers. À tous les autres moments, exportez, puis stockez la clé privée de l’agent de récupération hors connexion pour aider à maintenir sa sécurité.

  14. Sélectionnez Suivant.

  15. Spécifiez un mot de passe, puis cliquez sur Suivant.

  16. Spécifiez un nom de fichier et un emplacement où vous souhaitez exporter le certificat et la clé privée, puis cliquez sur Suivant.

    Note

    Nous vous recommandons de sauvegarder le fichier sur un disque ou sur un périphérique multimédia amovible, puis de stocker la sauvegarde dans un emplacement où vous pouvez confirmer la sécurité physique de la sauvegarde.

  17. Vérifiez les paramètres affichés dans la page Fin de l’Assistant Exportation de certificat, puis cliquez sur Terminer.