Cryptage avec EFS
Ecrit par Pierre dans Active directory avec les tags Cryptage, EFS, Encrypted file system, TuXwin Magazine Actualités IT et Web
Le système EFS est une technologie Microsoft permettant de crypter les données et de contrôler qui peut les décrypter ou les récupérer. Lorsque des fichiers sont cryptés, les données utilisateur ne peuvent pas être lues – même par un pirate disposant d’un accès physique au système de stockage de l’ordinateur. Pour utiliser EFS, il est nécessaire de disposer de certificats, qui sont des documents numériques permettant à leur titulaire de crypter et décrypter les données. Il est également nécessaire de disposer d’autorisations NTFS pour modifier les fichiers.
Introduction à EFS
Tout d’abord la sécurisation des données passe par trois points distincts
- la mise en place de mots de passes sécurisés (stratégies de mot de passe)
- ne jamais laisser sa session non verrouillé en cas d’absence (écran de veille avec reprise par mot de passe…)
- le cryptage (EFS, Bitlocker …)
Windows XP Professionnel et VISTA permettent de limiter l’accès à un fichier ou un dossier en le sécurisant par une méthode de cryptage en mode natif. Nous verrons ici comment utiliser pleinement cette fonctionnalité. Nous aborderons par la suite une modification de la base de registre permettant d’ajouter une option de cryptage/décryptage dans le menu contextuel.
Ce système est très sûr et très fonctionnel. Le mécanisme de chiffrement est totalement transparent pour l’utilisateur et pour les applications. Ainsi, le fichier est automatiquement déchiffré lorsque l’utilisateur y accède, et il est à nouveau chiffré lors de son ré enregistrement sur le disque. A aucun moment l’utilisateur ne doit fournir un mot de passe, un fichier clef, …
Mise en place sur un domaine AD
Prérequis:PKI
Tout d’abord il faut créer une stratégie de récupération pour que les utilisateurs est accès à ce chiffrement.
Si on veut créer un certificat d’agent de récupération pour le compte Administrateur, il suffit d’ouvrir GPMC
Paramètres de sécurité du domaine par défaut
Sélectionner
Paramètres Windows
Paramètres de sécurité
Stratégie de clé publique
Système de fichiers EFS
Afficher le menu contextuel et sélectionner
Créer un agent de récupération de données
Immédiatement un certificat d’agent DRA (agent de récupération) est créé, et le compte est enregistré automatiquement comme DRA.
Ensuite au niveau utilisateur maintenant il est très simple de crypter des dossiers ou fichiers
Cryptage d’un dossier
Faites un clic droit sur le dossier, sélectionnez Propriétés puis Avancé.
Cochez ensuite la case Crypter le contenu pour sécuriser les données puis cliquez sur le bouton OK.
Enfin, cliquez sur le bouton Appliquer.
Laisser l’option Appliquer les modifications à ce dossier et à tous les sous-dossiers et fichiers sélectionnée afin de crypter également le contenu du dossier puis cliquez sur OK.
A noter qu’un fichier qui sera copié ou déplacé dans ce répertoire sera crypté à son tour.
Pour le cryptage d’un fichier ce sera le même principe
Ajout de la fonction « Crypter/Décrypter » dans le menu contextuel
Afin de simplifier les opérations de Cryptage/Décryptage des fichiers et dossiers, nous allons effectuer une modification dans la base de registre afin d’ajouter une nouvelle option dans le menu contextuel (accessible par clic droit).
Ouvrez regedit (Démarrer, Exécuter… puis tapez regedit).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Créez une valeur DWORD nommée EncryptionContextMenu et donnez lui la valeur 1.
Note : le système de cryptage EFS ne fonctionne que sur une partition NTFS. Ainsi, si vous copiez des données cryptées sur une clé USB (qui est formatée en FAT), les fichiers seront copiés sans le cryptage.
Important : Bien qu’il y ai un agent de récupération il faut bien pensez à sauvegarder son certificat Utilisateur avec sa clé privée.
Sauvegarde du certificat
L’outil le plus simple à utiliser pour cette tâche est Internet Explorer, avec son interface relative aux certificats (tous confondus).
On y accède depuis le menu Outils / Options Internet, onglet Contenu.
Appuyer sur le bouton Certificats
On sélectionne alors ce certificat, puis on appuie Exporter
Cocher le bouton Oui, exporter la clef privée
Laisser les options par défaut
Un mot de passe est demandé, que l’on doit confirmer.
Ce mot de passe n’a aucun rapport avec celui du compte utilisateur (mais ce peut être le même)
Il sera demandé uniquement si on doit réinstaller le certificat et la clef à partir du fichier de sauvegarde.
Indiquer un chemin et un nom de fichier (arbitraires). Seule l’extension .PFX doit être respectée.
On aura intérêt à déplacer ou copier ce fichier sur un support amovible (disquette, clef USB, …) que l’on gardera en lieu sûr.
L’état récapitulatif des opérations s’affiche.
Si aucune erreur ne s’est produite, un message le confirme
[...] a vu dans cet article comment crypter les données avec EFS mais c’est à l’initiative de l’utilisateur [...]