Séquence du processus de cryptage des fichiers. Contrôle du système de fichiers de chiffrement (EFS) à l'aide de la stratégie de groupe

Supposons que vous ayez un ordinateur en marche Contrôle Windows la version la plus récente. Vous y jouez à des jeux de tir, rédigez votre mémoire, faites la comptabilité des entrepreneurs individuels selon un système simplifié et, en général, vous amusez du mieux que vous pouvez. Mais soudain, de manière totalement déraisonnable, vous commencez à sentir que quelque chose de l'extérieur menace la sécurité de certaines des données stockées sur votre ordinateur. ordinateur personnel. Avec un regard brûlant, vous lisez de nombreux cyber-forums et réalisez avec horreur que toutes vos données sur votre disque dur ne sont en aucun cas protégées. Et si votre ordinateur bien-aimé est volé et que le risque de vol d'équipement portable n'est pas si faible, alors l'attaquant pourra accéder à tout le contenu. disque dur! Oh, ma thèse inestimable !

Essayons de déterminer s'il est vraiment possible d'obtenir un accès non autorisé aux fichiers si l'ordinateur est en cours d'exécution système opérateur Windows 10. Les ingénieurs d'IBM, puis de Microsoft, ont consacré beaucoup d'efforts à la mise en œuvre d'un système de séparation des droits sur les fichiers Systèmes NTFS(quand IBM était là, c'était HPFS). Et si Win10 fonctionne sur un ordinateur, il est alors très, très difficile d'accéder aux fichiers d'autres personnes sans autorisation, et si l'accès est bloqué, c'est totalement impossible. Windows est fiable protège les fichiers des utilisateurs.

Mais dès que vous démarrez sur un autre système d'exploitation, par exemple Linux Mint, tous les fichiers utilisateur seront à portée de main. Téléchargez ce que vous voulez. Et vous pouvez démarrer Mint soit à partir d'un lecteur flash, soit à partir d'un CD-ROM, il vous suffit d'accéder à l'UEFI (BIOS) et d'activer le démarrage à partir de lecteurs amovibles, s'il n'a pas été activé auparavant, ou d'utiliser le menu de démarrage. En supposant que vous définissiez un mot de passe pour vous connecter à UEFI et désactiviez la sélection d'un lecteur pour démarrer en tant que classe, vos fichiers sont alors un peu plus protégés. Et un attaquant peut simplement dévisser votre ordinateur, retirer disque dur et connectez-le à votre ordinateur, puis téléchargez tout ce qui est nécessaire. Après tout, les données sous forme de fichiers seront entre ses mains comme un cahier ouvert.

Les informaticiens savent que vous pouvez sécuriser dans une certaine mesure les données de votre ordinateur grâce à la technologie BitLocker. BitLocker est une bonne chose, mais il vous permet uniquement de chiffrer des partitions entières sur des disques, physiques ou virtuels. Dans le même temps, la sécurité des clés est assurée, y compris le stockage dans les modules TPM. Ce qui est très pratique. Cependant, chiffrer tout et tout le monde n'est pas toujours pratique, même si, bien sûr, l'utilisation du chiffrement complet du disque a du sens. Mais pour une raison quelconque, tout le monde oublie le cryptage partiel des fichiers et des répertoires.

Dans Windows 10, comme dans ses réincarnations précédentes, il existe un système de fichiers crypté, ce qui signifie système de fichiers crypté (EFS). Cette fonction est disponible à partir de l'édition Pro et supérieure, donc si vous disposez de la version Windows Home, vous devez effectuer une mise à niveau vers au moins Pro. Wikipédia a beaucoup écrit sur comment et ce qui est crypté dans EFS. Je vais juste essayer de tout expliquer le plus simplement possible et de donner le maximum instructions détaillées pour activer la protection de vos fichiers.

En plus d'avoir un minimum Vue professionnelleéditeurs, il est nécessaire que vous travailliez sous un utilisateur disposant d'un mot de passe. Le mot de passe doit être présent, que ce soit un lien vers le cloud Service Microsoft, ou un mot de passe complètement autonome. Que vous vous connectiez au système en utilisant un code PIN ou en utilisant un modèle n'a pas d'importance, ce qui est important est qu'un mot de passe soit associé à votre compte. En plus d'avoir un mot de passe dans le compte actif, il est nécessaire que les fichiers et répertoires protégés se trouvent sur un disque ou une partition avec le système de fichiers NTFS. Très probablement, c'est exactement ce que système de fichiers et s'applique à vous.

Le cryptage des données s'effectue de manière absolument transparente pour les utilisateurs et pour la grande majorité des utilisateurs. produits logiciels, parce que le chiffrement s'effectue au niveau du système de fichiers NTFS. Vous pouvez chiffrer un fichier ou un dossier entier à la fois. Vous pouvez le crypter en tant que dossier vide, puis y ajouter de nouveaux fichiers et ils seront également cryptés, ou vous pouvez crypter un dossier contenant des fichiers et des répertoires. Tout est votre choix.

Lorsque vous travaillez avec des dossiers et des fichiers chiffrés, tenez compte des points suivants :

1. Les fichiers sont cryptés jusqu'à ce qu'ils soient transférés vers un autre système de fichiers autre que NTFS. Par exemple, vous copiez un fichier crypté sur un lecteur flash. S'il s'agit de FAT32, et il est fort probable qu'il soit là, le fichier sera déchiffré. Au dixième Versions Windows Microsoft a néanmoins implémenté une fonctionnalité grâce à laquelle le fichier reste crypté même si vous l'avez transféré sur une clé USB avec FAT. Vous devez donc être vigilant si vous divulguez des fichiers à votre ami. Pourra-t-il les ouvrir plus tard sans jurer ? Si vous envoyez un fichier via e-mail- il sera décrypté (sinon cela ne sert à rien de l'envoyer par mail). Lors du transfert d'un fichier sur le réseau, un décryptage aura également lieu.
2. Lors du déplacement entre les partitions NTFS, le fichier reste crypté. Lors du déplacement d'un fichier d'un disque NTFS vers un autre disque NTFS, le fichier sera crypté. Lorsque vous copiez un fichier sur un disque dur amovible avec le système de fichiers NTFS, il sera crypté dans un nouvel emplacement.
3. Si le mot de passe du compte est modifié de force par un tiers, par exemple un administrateur, ou si le mot de passe d'un compte de domaine lié ou d'un service cloud est modifié de force, l'accès aux fichiers sans certificat de sauvegarde (généré lors du premier cryptage) ne sera plus possible. être possible.

Le dernier point est très important, en particulier pour les personnes ayant une mémoire peu fiable et qui réinitialisent constamment leurs mots de passe. Ici, une telle astuce peut aboutir à des fichiers cryptés de manière permanente, à moins, bien sûr, que vous n'importiez le certificat enregistré dans le système. Toutefois, lorsque le changement de mot de passe est volontaire, par exemple conformément à une politique de changement de mot de passe, aucune perte intempestive de fichiers cryptés ne se produira.

Les sceptiques noteront à juste titre qu'une telle protection, comme BitLocker, n'est cependant pas très fiable, disent-ils, les pirates peuvent deviner le mot de passe s'il est faible, et les services de renseignement déchiffreront tout. En effet, ils peuvent simplement deviner votre mot de passe s’il est court et simple. Et c’est pour cela que les services spéciaux sont des services spéciaux, pour avoir faisabilité technique accéder au contenu des fichiers d'utilisateurs trop suspects. De plus, une fois connecté, vous avez immédiatement un accès transparent à tous vos fichiers cryptés EFS. Et s'il y a un cheval de Troie ou un virus sur votre ordinateur, il aura accès aux fichiers précieux exactement de la même manière. L'hygiène informatique doit être strictement respectée.

Instructions détaillées pour activer le cryptage à l'aide d'EFS sous Win10 Pro sur un dossier

Ci-dessous, je propose des instructions précises, étape par étape, sur la façon de crypter un dossier contenant des fichiers. Un fichier individuel est crypté de la même manière.

Étape 1. Créons un dossier. Qu'il s'appelle « Mes images ».

Création d'un répertoire

Étape 2. Cliquez sur le dossier clic droit des souris et menu contextuel sélectionnez « Propriétés ».

Faites un clic droit sur le dossier et obtenez ceci

Étape 3. Dans le menu « Propriétés », accédez aux attributs étendus du dossier en cliquant sur le bouton « Autre... ».

Propriétés du dossier

Étape 4. Cochez la case à côté de « Chiffrer le contenu pour protéger les données » et cliquez sur OK. Si vous devez annuler le cryptage, décochez la même case et le fichier sera déchiffré.

Dans les propriétés du dossier, attributs étendus

Étape 5. Terminez par « Propriétés » et cliquez sur OK ou « Appliquer ».

Étape 6. Nous répondons dans la boîte de dialogue quoi « appliquer » à notre dossier et à tout son contenu.

Sélectionnez l'élément de cryptage souhaité

Ça y est, notre dossier et tout son contenu sont cryptés grâce à EFS. Si vous le souhaitez, vous pouvez vérifier que notre dossier et tous les fichiers qu'il contient sont bien fermés aux étrangers.

Étape 7. Nous passons par les étapes 1 à 3 et constatons que la case « chiffrer » est active. Et à côté, le bouton « Détails » est actif. Cliquez sur « détails ».

Vérifier ce qui est crypté

Étape 8. Dans la fenêtre qui apparaît, nous voyons que ce fichier n'a qu'un seul certificat pour l'accès par un seul utilisateur, et aucun certificat pour restaurer l'accès n'est installé.

Le dossier est chiffré avec un certificat

Vous pouvez également comprendre qu'un fichier particulier est crypté dans l'Explorateur Windows ; une icône de verrouillage apparaît sur le fichier.

Galerie avec des images cryptées. Seul le propriétaire du compte peut les consulter.

L'icône apparaît dans toutes les autres vues de fichiers et vues de l'Explorateur. Certes, sur certains pictogrammes, ils sont très difficiles à voir et il faut bien regarder.

La même galerie, uniquement sous forme de tableau. Verrouille dans le coin supérieur droit de l’icône.

Une fois les premiers fichiers chiffrés, Windows vous propose de faire une copie du certificat. Le même certificat qui vous permettra de décrypter les fichiers si soudainement quelque chose ne va pas avec votre ordinateur (réinstallation du système, réinitialisation du mot de passe, transfert du disque sur un autre ordinateur, etc.).

Étape 9. Pour enregistrer le certificat de récupération de sauvegarde, cliquez sur l'icône d'archivage de la clé.

Icône de la barre d'état appelant à l'archivage du certificat de sauvegarde pour restaurer le cryptage

Étape 10. Dans la fenêtre qui apparaît, sélectionnez « Archiver maintenant ».

Choisir quand archiver

Étape 11. Dans la boîte de dialogue de l'assistant d'activation, cliquez sur « Suivant ».

Fenêtre Assistant d'exportation de certificat

Étape 12. Si vous utilisez uniquement le cryptage EFS, vous pouvez conserver les valeurs par défaut. Et cliquez sur « Suivant ».

Paramètres d'exportation du certificat de sauvegarde

Étape 13. Il est logique de protéger le certificat exporté par un mot de passe. Nous entrons un mot de passe, cela peut être n'importe quoi, pas nécessairement de votre email ou pour vous connecter à Windows. Et cliquez sur « Suivant ».

Entrez un mot de passe pour protéger davantage le certificat de récupération

Étape 15. Confirmez le résultat en cliquant sur OK.

Fin de l'assistant d'exportation

Et c'est tout. Le certificat téléchargé doit être copié dans un endroit sûr. Par exemple, sur une disquette, une clé USB ou dans un cloud sécurisé. Laisser un certificat de récupération sur votre ordinateur est une mauvaise idée, donc après l'avoir enregistré dans un « endroit sûr », nous supprimons le fichier de l'ordinateur et vidons en même temps la corbeille.

D'ailleurs, vous pouvez également chiffrer les répertoires dans lesquels vous synchronisez fichiers cloud sur votre ordinateur, par exemple OneDrive, DropBox, Yandex Disk et bien d'autres. Si vous souhaitez chiffrer un tel dossier, vous devez d'abord désactiver l'application de synchronisation cloud ou suspendre la synchronisation. Il vaut également la peine de fermer tous les fichiers ouverts du répertoire qui seront soumis au cryptage, par exemple en fermant Word, Excel ou d'autres programmes. Après cela, vous pouvez activer le cryptage sur le dossier sélectionné. Une fois la procédure de cryptage terminée, vous pouvez réactiver la synchronisation. DANS sinon, le chiffrement peut ne pas affecter tous les fichiers du dossier, car Le système embarqué ne peut chiffrer que les fichiers inscriptibles. Oui, lors de la synchronisation avec le cloud, les fichiers seront décryptés et dans le cloud ils ne seront plus cryptés.

Vous devez vous déconnecter de OneDrive avant que le chiffrement puisse commencer.

Il est maintenant temps de tester le fonctionnement du cryptage EFS. J'ai créé un fichier avec du texte dans un répertoire crypté. Et puis j'ai démarré Linux Mint à partir d'un lecteur flash. Ce Version Linux peut facilement fonctionner avec des disques durs NTFS, donc accéder au contenu de mon disque dur n'a pas été difficile.

Créez un fichier avec du texte dans un dossier crypté.

Cependant, lorsque j'ai essayé d'ouvrir des fichiers à partir d'un dossier crypté, j'ai été déçu. Aucun fichier n'a pu être ouvert. Les téléspectateurs de Linux Mint ont courageusement signalé que l'accès à fichiers spécifiés ils n'en ont pas. Mais tous les autres se sont ouverts sans accroc.

Les fichiers cryptés dans Win10 sont visibles depuis Mint, mais ne peuvent pas être ouverts.

"Ouais!" - dirent les sévères hommes sibériens. Mais si vous écrivez un fichier crypté sur une clé USB, il restera probablement crypté. Et puis le transférer sur un autre ordinateur, sous un autre système d'exploitation, et du coup il s'ouvrira ? Non, il ne s'ouvrira pas. Ou plutôt, il s'ouvrira, mais son contenu sera totalement illisible. C'est crypté.

Une tentative d'ouvrir un fichier texte crypté enregistré sur un lecteur flash.

En général, il est possible d’utiliser EFS, et dans certains cas c’est même nécessaire. Par conséquent, si vous utilisez Windows 10 à partir de l'édition Pro et supérieure, évaluez les risques que des inconnus accèdent à votre PC ou ordinateur portable et s'ils pourront obtenir vos fichiers confidentiels. Peut-être que quelque chose devrait être crypté aujourd’hui ?

Il y a beaucoup de rumeurs sur les objectifs Canon sur Internet, je l'avoue honnêtement, jusqu'à récemment, je me trompais moi-même sur la différence entre les objectifs EF et EF-S. Dans cet article, j'ai essayé de recueillir quelques informations à leur sujet, qui permettront de faire un choix en faveur de telle ou telle modification, de mettre fin aux controverses et de dissiper certains mythes.

Décryptons d'abord l'abréviation EF - elle vient de l'expression Electro-Focus (« Electrofocus »). La monture EF était dotée d'un système de mise au point automatique intégré à l'optique, c'est-à-dire Il n'y a aucune pièce mobile entre l'objectif et l'appareil photo, seulement des contacts, et le moteur électrique de l'objectif est responsable de la mise au point et de l'ouverture. À propos, le premier objectif de la série EF est apparu en 1987.

EF-S est une modification de la monture pour appareils photo dotés d'une matrice au format APS-C, développée en 2003. Le « S » signifie Short Back Focus. Le dernier élément optique de ces objectifs est situé plus près de la matrice que dans les objectifs EF. À titre de comparaison, je vais donner une photo de deux objectifs avec des modifications de monture différentes.

Objectif gauche EF, droit EF-S

Comme vous pouvez le voir, sur l'objectif droit, le dernier objectif est situé après le filetage de la monture, c'est-à-dire une fois installé sur la caméra, il sera sensiblement plus proche de la matrice. En fait, c'est la seule différence, mais très importante. Le fait est que l'optique EF-S ne peut pas être utilisée avec des appareils photo plein format. Malgré la compatibilité de la monture, un objectif dépassant peut endommager le miroir de la caméra. De plus, les objectifs EF sont compatibles et peuvent être utilisés avec tous les appareils photo Canon EOS (DSLR).

Pour les appareils photo au format APS-C, les focales des objectifs doivent être ajustées. Pour calculer la focale équivalente à celle obtenue sur un capteur plein format, il faut multiplier les valeurs indiquées sur l'objectif par 1,6. Il existe une opinion répandue sur Internet selon laquelle pour la série EF-S, cela n'est pas nécessaire et les valeurs réelles sont indiquées sur l'optique, en tenant déjà compte du recalcul. C'est faux. À titre d'exemple, je vais donner une description du nouvel objectif Canon EF-S 18-55mm f/3.5-5.6 IS II sur le site officiel de la société :

L'EF-S 18-55 mm f/3,5-5,6 IS II est un objectif zoom standard de haute qualité qui séduira les photographes qui préfèrent voyager léger. Avec une focale équivalente à 29-88 mm au format 35 mm…

Comme vous pouvez le constater, pour ces objectifs, la conversion standard des focales est utilisée et 18-55 se transforme en 29-88 mm. Une question tout à fait logique se pose : pourquoi s’embêter avec tout ce jardin ? Le fait est que cette conception a permis de fabriquer des objectifs plus légers et plus petits. C'est selon Canon, mais en fait, il est fort possible que cela soit fait pour que des objectifs bon marché ne soient pas utilisés avec des équipements plein format coûteux.

Autre détail intéressant : ni l'EF ni l'EF-S n'ont été concédés sous licence à des fabricants d'optique tiers tels que Sigma ou Tamron. Malgré les affirmations de compatibilité à 100 % de ces fabricants, Canon ne fournit pas une telle garantie. Par conséquent, lors de l’achat de lentilles sans marque, elles doivent être testées avec une attention particulière.

Tirons des conclusions sur les objectifs Canon :

• la distance focale des appareils photo APS-C est recalculée pour tous les types d'objectifs ;
• l'ultra grand angle sur les appareils photo recadrés n'est disponible qu'avec l'objectif EF-S 10-22 mm ;
• Malheureusement, le fisheye sur les caméras recadrées n'est pas du tout disponible ;
• Les objectifs EF conviennent à tous les appareils photo Canon ;
• Lors de la mise à niveau d'un appareil photo APS-C vers le plein format, les objectifs EF-S ne peuvent pas être utilisés.

Si vous envisagez de passer à un appareil photo plein format à l'avenir, envisagez d'acheter des objectifs à l'avance.

Il existe probablement quelques dossiers sur l’ordinateur de chaque utilisateur, dont le contenu n’est clairement pas destiné au public. Ce contenu peut être n'importe quoi, par exemple des chiffres cartes bancaires ou des photographies personnelles, ce n’est pas la question, la seule chose importante est que ces données soient protégées de manière fiable. Usage mot de passe standard Windows ne constitue pas un obstacle sérieux au piratage ; le cryptage doit être utilisé pour empêcher l'accès aux données. L'exemple le plus simple d'une telle protection est l'archivage avec installation bon mot de passe. Toutefois, cette méthode n’est pas sans inconvénients.

Premièrement, cela n'est pas pratique, car l'utilisateur sera obligé de crypter et déchiffrer l'archive à chaque fois, et deuxièmement, une telle archive peut être facilement copiée puis soumise à un décryptage par force brute. Plus de manière efficace la protection des fichiers est le cryptage à l'aide de la technologie EFS, également connue sous le nom de Encrypting File System, utilisée dans Windows depuis la version 2000. Contrairement à la technologie BitLocker, apparue pour la première fois dans Vista, EFS ne nécessite pas de module matériel TPM, mais en même temps, EFS ne le fait pas. prend en charge le cryptage de la partition entière.

Chiffrement Le chiffrement du système de fichiers est effectué à l'aide de clés publiques et privées générées automatiquement par le système la première fois que vous utilisez les outils EFS intégrés. Lors du chiffrement d'un répertoire ou d'un fichier, EFS crée numéro unique(FEK), qui est crypté avec la clé principale. À son tour, la clé principale est chiffrée avec la clé utilisateur. Quant à la clé privée de l'utilisateur, elle est également protégée, mais cette fois par un hash du mot de passe système de l'utilisateur.

Il s'avère que les fichiers cryptés par le système EFS ne peuvent être ouverts qu'en utilisant le compte dans lequel ils ont été cryptés. Même si le disque dur contenant les données protégées est retiré et connecté à un autre ordinateur, il ne sera toujours pas possible de le lire. En revanche, si l'utilisateur perd le mot de passe de son compte, un endommagement ou une réinstallation du système d'exploitation entraînera l'inaccessibilité des fichiers précédemment cryptés. Heureusement, les développeurs Windows ont anticipé ce scénario et ont proposé une solution simple, à savoir enregistrer les certificats de chiffrement sur un support amovible.

Aucun préréglages Le cryptage à l'aide d'EFS sous Windows n'est pas requis. Disons que nous devons protéger un dossier contenant des images. Dans les propriétés du dossier, sélectionnez Autre

puis cochez la case dans les attributs supplémentaires Chiffrer le contenu pour protéger les données.

Cliquez Appliquer et confirmez la demande de modification des attributs.

À propos, vous ne pouvez appliquer le cryptage qu'à un seul répertoire ou à un répertoire et à tous les fichiers et dossiers qu'il contient.

Comme vous pouvez le voir sur la capture d'écran, le texte du nom du dossier Photos au lieu du noir habituel, il est devenu vert, c'est ainsi que les objets protégés par EFS sont marqués dans Windows.

Les noms de tous les fichiers et dossiers joints seront indiqués dans la même couleur.

Travailler avec des fichiers cryptés n'est pratiquement pas différent de travailler avec d'autres objets du système de fichiers. Vous pouvez afficher, modifier, copier, supprimer, etc., pendant que le cryptage et le décryptage seront effectués à la volée, invisible pour l'utilisateur. Cependant, toutes ces actions ne seront disponibles que pour compte spécifique. En principe, vous pouvez crypter n'importe quel fichier ou dossier de cette manière, à l'exception de ceux du système. De plus, il est strictement déconseillé de chiffrer ce dernier, car cela pourrait rendre impossible le démarrage de Windows.

Si vous chiffrez des données pour la première fois, le système vous demandera de créer une copie de sauvegarde de la clé de chiffrement et du certificat. Ne négligez pas ce conseil, car dommages accidentels au système d'exploitation ou perte du mot de passe de votre compte Entrées Windows personne n’est à l’abri. Cliquez sur le message qui apparaît dans la barre d'état système et ouvrez l'assistant sauvegarde certificats. Si le message n'apparaît pas ou si vous fermez accidentellement la fenêtre de l'assistant, vous pouvez y accéder via la console mmc, même si vous devrez bricoler un peu.

Alors, dans la fenêtre de l'assistant, cliquez sur Archiver maintenant et suivez strictement les instructions.

Les paramètres d'exportation peuvent rester inchangés (PKCS #12 .PFX).

Si vous le souhaitez, vous pouvez activer les propriétés avancées.

Comme prévu, définissez le mot de passe aussi complexe que possible.

Il est nécessaire de conserver les certificats et les mots de passe dans un endroit sûr, par exemple dans un tiroir de bureau verrouillé.

La prochaine fois, nous examinerons la procédure de restauration de l'accès aux fichiers cryptés et apprendrons également comment accéder à l'assistant de réservation de certificat si sa fenêtre a été accidentellement fermée.

Pour protéger les données potentiellement sensibles contre tout accès non autorisé lorsque accès physiqueà l'ordinateur et aux disques.

L'authentification des utilisateurs et les droits d'accès aux ressources dans NT fonctionnent pendant le démarrage du système d'exploitation, mais lors de l'accès physique au système, il est possible de démarrer un autre système d'exploitation pour contourner ces restrictions. EFS utilise le cryptage symétrique pour protéger les fichiers, ainsi que le cryptage par paire de clés publique/privée pour protéger une clé de cryptage générée aléatoirement pour chaque fichier. Par défaut, la clé privée de l'utilisateur est protégée par le cryptage du mot de passe utilisateur et la sécurité des données dépend de la force du mot de passe de l'utilisateur.

Description de l'emploi

EFS fonctionne en cryptant chaque fichier à l'aide d'un algorithme de cryptage symétrique, en fonction de la version et des paramètres du système d'exploitation (à partir de Windows XP, il est théoriquement possible d'utiliser des bibliothèques tierces pour crypter les données). Cela utilise une clé générée aléatoirement pour chaque fichier, appelée Clé de chiffrement de fichiers(FEK), le choix du chiffrement symétrique à ce stade s'explique par sa rapidité et sa plus grande fiabilité par rapport au chiffrement asymétrique.

FEK (une clé de chiffrement symétrique aléatoire pour chaque fichier) est protégé par un chiffrement asymétrique utilisant la clé publique de l'utilisateur chiffrant le fichier et l'algorithme RSA (en théorie, il est possible d'utiliser d'autres algorithmes de chiffrement asymétrique). Le FEK chiffré de cette manière est stocké dans le flux alternatif $EFS du système de fichiers NTFS. Pour décrypter les données, le pilote du système de fichiers chiffré déchiffre de manière transparente la FEK à l'aide de la clé privée de l'utilisateur, puis fichier requis en utilisant la clé du fichier déchiffré.

Étant donné que le cryptage/déchiffrement des fichiers s'effectue à l'aide du pilote du système de fichiers (essentiellement un module complémentaire de NTFS), il s'effectue de manière transparente pour l'utilisateur et les applications. Il convient de noter qu'EFS ne crypte pas les fichiers transférés sur le réseau, donc pour protéger les données transférées, vous devez utiliser d'autres protocoles de protection des données (IPSec ou WebDAV).

Interfaces pour interagir avec EFS

Pour travailler avec EFS, l'utilisateur a la possibilité d'utiliser Interface graphique explorateur ou utilitaire ligne de commande.

Utilisation de l'interface graphique

Afin de crypter un fichier ou un dossier contenant un fichier, l'utilisateur peut utiliser la boîte de dialogue des propriétés du fichier ou du dossier correspondante en cochant ou en décochant la case « crypter le contenu pour protéger les données » pour les fichiers à partir de Windows XP, vous pouvez ajouter des clés publiques ; d'autres utilisateurs, qui pourront également décrypter ce fichier et travailler avec son contenu (si vous disposez des autorisations appropriées). Lors du cryptage d'un dossier, tous les fichiers qu'il contient sont cryptés, ainsi que ceux qui y seront placés ultérieurement.

Fondation Wikimédia.

2010.

Voyez ce qu'est « EFS » dans d'autres dictionnaires : EFS - notamment pour : EFS Flug Service, un deutsches Charterflugunternehmen EFS Hausgeräte, un Haushaltsgerätefirma Encrypting File System, System for Dateiverschlüssung unter EFS Euro Finanz Service Vermittlungs AG (EFS AG), ein… … Deutsch Wikipédia

Efs- juste pour : EFS Flugservice, un deutsches Charterflugunternehmen EFS Hausgeräte, un Haushaltsgerätefirma Encrypting File System, System for Dateiverschlüssung sous Microsoft Windows Error Free Second beim Betrieb von Netzelementen Euro Finanz… … Deutsch Wikipedia

Voyez ce qu'est « EFS » dans d'autres dictionnaires :- Lors de la navigation, recherchez Le Encrypting File System (EFS) est un système d'archives qui travaille sur NTFS, cifrez les archives au niveau du système. Est disponible pour Microsoft Windows 2000 et versions ultérieures. La technologie… … Wikipedia Español

Voyez ce qu'est « EFS » dans d'autres dictionnaires :- peut faire référence à l'un des éléments suivants : *Electronic Filing System, une plate-forme électronique du pouvoir judiciaire de Singapour *Emergency Fire Service, maintenant Country Fire Service (Australie) *Emperor of the Fading Suns, un jeu vidéo de stratégie au tour par tour… … Wikipedia

Voyez ce qu'est « EFS » dans d'autres dictionnaires :- , un système de mise à niveau de données et d'organisation sous les systèmes d'exploitation Windows NT et Windows 2000, donc sie vor dem Zugriff unberechtigter Benutzer geschützt… … Universal-Lexikon

Voyez ce qu'est « EFS » dans d'autres dictionnaires :- Cette page d'homonymie répertorie les différents sujets et articles partageant un même nom. Sigles d’une seule lettre Sigles de deux lettres > Sigles de trois lettres Sigles de quatre lettres … Wikipédia en Français

Voyez ce qu'est « EFS » dans d'autres dictionnaires :- ● fr sg. m. Système de fichiers de cryptage MS GESTFICH. système de fichiers crypté, intégré par Microsoft dans Windows 2000, et dont l'utilisation est optionnelle. Voir TCFS. Je ne sais pas il existe un lien avec efs... Dictionnaire d'informatique francophone

efs- nom le nom de la lettre F... Wiktionnaire

Voyez ce qu'est « EFS » dans d'autres dictionnaires :- Cryptage du système de fichiers (informatique » Sécurité) * Enhance Financial Services Group, Inc. (Entreprise » Symboles NYSE) * Sélection de fibres techniques (Divers » Vêtements) * État de financement efficace (Entreprise » Comptabilité) * Organigramme (EasyFlow)… Dictionnaire d'abréviations

Voyez ce qu'est « EFS » dans d'autres dictionnaires :- quart de fin le plus tôt possible ; stimulation par champ électrique ; Étude européenne sur la Fraxiparine ; survie sans événement … Dictionnaire médical

Sur diverses listes de diffusion de sécurité Internet, les administrateurs posent souvent des questions sur les produits de chiffrement de fichiers sécurisés et faciles à utiliser pour Windows. Tout aussi souvent, les managers s'intéressent aux moyens de prévenir administrateurs système examiner les dossiers confidentiels de l’entreprise. Lorsque je suggère d'utiliser le système de fichiers de cryptage (EFS) de Windows, la plupart des gens disent qu'ils veulent quelque chose de plus puissant et de plus sécurisé.

Mais contrairement à la croyance populaire, EFS est véritablement une solution de cryptage fiable, facile à utiliser et sécurisée qui peut faire honte même à l’administrateur réseau le plus curieux. EFS est un excellent outil pour protéger les fichiers confidentiels en ligne et sur ordinateurs portables qui sont souvent la cible de vols. Malheureusement, la réputation d'EFS a souffert injustement du refus des utilisateurs d'évaluer objectivement les produits de sécurité de Microsoft. En fait, EFS est l’un des meilleurs produits de sécurité jamais publiés par Microsoft, mais son utilisation nécessite des connaissances appropriées. Cet article couvre les bases d'EFS, son objectif et ses fonctionnalités, les opérations administratives de base et les erreurs possibles.

Principes de l'EFS

Microsoft a publié EFS avec Windows 2000 et a continuellement amélioré les versions du produit pour Windows XP et Serveur Windows 2003. Les utilisateurs EFS peuvent chiffrer n'importe quel fichier ou dossier sur lequel ils disposent d'autorisations de lecture et d'écriture. Après cryptage, la ressource est décryptée « à la volée » chaque fois que le propriétaire légitime y accède. Les utilisateurs qui tentent d'accéder à un fichier ou un dossier protégé sans les autorisations EFS appropriées verront le nom du fichier ou du dossier, mais ne pourront pas ouvrir, modifier, copier, imprimer, envoyer par courrier électronique ou déplacer le fichier ou le dossier. Il est intéressant de noter que les utilisateurs disposant de l'autorisation NTFS pour supprimer un fichier protégé par EFS peuvent le supprimer même s'ils ne disposent pas de l'autorisation de lecture. Comme la plupart des produits de cryptage, EFS est conçu pour protéger la confidentialité mais n'empêche pas la perte de données. La tâche EFS est considérée comme réussie si l'utilisateur non autorisé ne peut pas voir les données sous quelque forme que ce soit. Certains utilisateurs affirment que même le fait de pouvoir voir le nom d'un fichier ou d'un dossier protégé est un défaut impardonnable de Windows.

De plus, il n’est pas nécessaire d’être propriétaire ou d’avoir Pleine résolution Contrôlez un fichier ou un dossier pour le chiffrer. Pour ce faire, les autorisations de lecture et d'écriture suffisent - les mêmes qui sont nécessaires pour accéder à la ressource. Seul l'utilisateur qui l'a chiffré (et les autres avec lesquels le premier utilisateur accepte de partager la ressource) a accès au fichier ou au dossier. La seule exception générale concerne l'agent de récupération de données (DRA). Par défaut (dans la plupart des cas), Windows attribue à l'administrateur le rôle d'agent DRA afin que l'administrateur puisse accéder à n'importe quel fichier ou dossier chiffré par EFS. Dans un environnement de domaine, DRA est l'administrateur du domaine ; dans un environnement hors domaine, DRA est l'administrateur local.

La fonction de cryptage des fichiers et dossiers est activée par défaut, mais l'utilisateur doit sélectionner chaque fichier ou dossier individuellement (ou indirectement via les règles d'héritage normales). EFS nécessite que le fichier ou le dossier soit situé sur une partition de disque NTFS. Ensuite, pour protéger un fichier ou un dossier, faites un clic droit sur la ressource dans Explorateur Windows, sélectionnez Propriétés, puis cliquez sur le bouton Avancé dans l'onglet Général. (Remarque : ne cliquez pas sur le bouton Avancé de l'onglet Sécurité.) Enfin, vous devez cocher la case Chiffrer le contenu pour sécuriser les données.

Si vous sélectionnez un ou plusieurs fichiers (par opposition à un dossier), EFS vous demande s'il faut chiffrer uniquement le(s) fichier(s) ou le dossier parent et le(s) fichier(s) actuel(s). Si ce dernier est sélectionné, EFS marque le dossier comme crypté. Tous les fichiers ajoutés au dossier seront chiffrés par défaut, bien que tous les fichiers qui se trouvaient dans le dossier mais non sélectionnés lors de l'opération de chiffrement EFS resteront non chiffrés. Dans de nombreux cas, il est préférable de chiffrer l’intégralité du dossier. fichiers séparés, notamment parce qu'un certain nombre de programmes (par ex. Microsoft Word) créez des fichiers temporaires dans le même dossier que ouvrir le fichier. Une fois le programme terminé (par exemple, en cas de redémarrage d'urgence), les fichiers temporaires restent souvent non supprimés et sont présentés sous une forme propre. format de texte, accessible pour restauration par un étranger.

Par défaut, dans les versions de XP Professionnel et versions ultérieures, EFS met en surbrillance les fichiers cryptés en vert, mais la surbrillance peut être désélectionnée en sélectionnant Options des dossiers dans le menu Outils de l'Explorateur Windows, puis en décochant la case Afficher les fichiers NTFS cryptés ou compressés en couleur. l'onglet Affichage. Dans la vue Détails Explorateur Windows Pour les fichiers compressés, la colonne Attributs contient, avec l'attribut Archive (A) habituel, l'attribut E. Par conséquent, l'ensemble des attributs ressemblera à AE. Il convient de noter que les mécanismes intégrés de Windows ne peuvent pas être utilisés pour crypter et compresser des fichiers en même temps, bien que vous puissiez compresser un fichier à l'aide d'un utilitaire tiers tel que WinZip ou PKZIP, puis crypter le fichier compressé.

Chiffre fort

EFS fournit un cryptage fort - si fort que si vous perdez la clé privée EFS (utilisée pour récupérer les fichiers protégés par le cryptage EFS), il est probable que les données ne soient plus lisibles. Si les paramètres EFS sont correctement configurés, même un administrateur ne peut pas accéder à un fichier ou un dossier chiffré à moins qu'il ne soit désigné comme agent DRA.

Il existe au moins un produit actuellement disponible dans le commerce, Advanced EFS Data Recovery (AEFSDR) d'ElcomSoft, qui prétend pouvoir récupérer des fichiers protégés par EFS. En fait, le programme récupère le mot de passe administrateur local(processus simple si Configuration Windows configuré sans succès), qui peut ensuite être utilisé pour récupérer la clé privée EFS de l'administrateur. Un utilisateur disposant d'un outil pour résoudre le mot de passe administrateur peut effectuer n'importe quelle action dans le système. L'accès d'un tel utilisateur aux fichiers protégés par EFS sera le moindre des problèmes menaçant l'entreprise. Le risque de récupération non autorisée de clé privée EFS est atténué en attribuant le rôle DRA dans le domaine au compte d'administrateur de domaine plutôt qu'au compte d'administrateur local, dont le mot de passe peut être deviné à l'aide de presque n'importe quel outil de craquage. XP a une nouvelle politique qui rend plus difficile la réalisation de ce type d'attaques. Si l'outil de récupération ne peut pas récupérer le mot de passe administrateur actuel - et correct - (de nombreux outils réinitialisent le mot de passe plutôt que de le récupérer), alors la protection EFS est toujours en vigueur.

Comment fonctionne l'EFS ?

EFS utilise une combinaison de cryptage symétrique et asymétrique. Avec la méthode symétrique, le fichier est crypté et récupéré à l'aide d'une seule clé. La méthode asymétrique utilise une clé publique pour le chiffrement et une seconde clé privée, mais associée, pour la récupération des données. Si l'utilisateur bénéficiant des droits de récupération de données ne divulgue la clé privée à personne, la ressource protégée ne court aucun risque.

EFS est activé par défaut sur tout le monde Systèmes Windows 2000 et après. Lorsqu'une personne utilise EFS pour la première fois pour protéger un fichier ou un dossier, Windows vérifie qu'un serveur PKI (infrastructure à clé publique) est disponible et peut générer des certificats numériques EFS. Les services de certificats dans Windows 2003 et Windows 2000 peuvent générer des certificats EFS, tout comme certains produits PKI tiers. Si Windows ne détecte pas de fournisseur PKI acceptable, le système d'exploitation génère et signe automatiquement un certificat EFS pour l'utilisateur (Figure 1). Les certificats EFS auto-signés ont une durée de vie de 100 ans, bien plus longue que la durée de vie de n'importe quel utilisateur.

Si Windows détecte un serveur de services de certificats, il génère et envoie automatiquement un certificat de deux ans à l'utilisateur. Cela est probablement dû au fait que si une organisation dispose d'un service PKI interne, le serveur PKI peut facilement émettre et renouveler les certificats EFS après l'expiration de l'original. Dans les deux cas, vous pouvez afficher les certificats EFS en étendant la console de gestion Microsoft (MMC) avec le composant logiciel enfichable Certificats et en recherchant dans le conteneur Personnel.

La clé privée de l'utilisateur EFS (qui ouvre les fichiers protégés par EFS) est cryptée avec la clé principale de l'utilisateur et est stockée dans le profil de l'utilisateur sous Documents et paramètres, Données d'application, Microsoft, Crypto, RSA. Si vous utilisez un profil itinérant, la clé privée se trouve dans le dossier RSA sur le contrôleur de domaine (DC) et est téléchargée sur l'ordinateur de l'utilisateur pendant le processus d'enregistrement. La clé principale est générée à l'aide du mot de passe de l'utilisateur actuel et de l'algorithme RC4 de 56, 128 ou 512 bits. La chose la plus importante à savoir sur EFS est probablement que la clé privée d'un utilisateur EFS se trouve dans son profil et est protégée par une clé principale dérivée du mot de passe actuel de l'utilisateur. Veuillez noter que la force du cryptage EFS est déterminée par la force du mot de passe de l'utilisateur. Si un attaquant devine le mot de passe d'un utilisateur EFS ou se connecte en tant qu'utilisateur légitime, une fissure apparaîtra dans la sécurité EFS.

Si le mot de passe d'un utilisateur est perdu ou réinitialisé (mais n'est pas modifié par l'utilisateur), l'accès à tous les fichiers protégés par EFS peut être perdu. Pour cette raison, les copies de la clé privée de l'utilisateur EFS doivent être stockées dans deux ou plusieurs emplacements sécurisés. stockages distants ou assignez un ou plusieurs agents DRA (et exportez leurs clés privées et faites sauvegardes dans deux ou plusieurs emplacements de stockage distants distincts et sécurisés). Le non-respect de ces règles peut entraîner une perte de données.

Lorsqu'un fichier ou un dossier est chiffré pour la première fois, Windows génère une clé symétrique aléatoire à l'aide de la norme Data Encryption Standard X 128 bits (DESX - par défaut sur XP et Windows 2000) ou de la norme Advanced Encryption Standard 256 bits (AES - sous Windows). 2003 XP) Service Pack Professionnel 1). Les deux algorithmes sont des normes gouvernementales généralement reconnues, bien que le second soit plus moderne et dont l’utilisation est recommandée. Vous pouvez également activer l'ancienne norme de chiffrement symétrique gouvernementale, Triple DES (3DES) 168 bits, si la politique de votre organisation exige son utilisation. Plus informations détaillées Consultez l'article Microsoft « Les fichiers du système de fichiers de cryptage (EFS) semblent corrompus lorsque vous les ouvrez » ( http://support.microsoft.com/default.aspx?scid=kb;en-us;329741&sd=tech). La clé symétrique générée aléatoirement est connue sous le nom de clé de chiffrement de fichier (FEK). Cette clé est la seule que Windows utilise pour chiffrer les fichiers et les dossiers, quel que soit le nombre de personnes accédant à la ressource protégée par EFS.

Une fois cela fait, Windows crypte le FEK à l'aide d'une clé publique RSA EFS de 1 024 bits et stocke le FEK dans les attributs étendus du fichier. Si des DRA sont attribués, le système d'exploitation stocke une autre copie chiffrée du FEK avec la clé EFS publique du DRA. Windows enregistre ensuite l'instance chiffrée du FEK dans un fichier. Dans XP et les versions ultérieures, plusieurs utilisateurs peuvent avoir accès EFS à un fichier ou un dossier spécifique. Chaque utilisateur autorisé aura son propre FEK, crypté avec une clé publique EFS unique. Sous Windows 2000, vous ne pouvez attribuer qu'un seul DRA.

Si un utilisateur autorisé accède à un fichier protégé, Windows restaure son instance du FEK chiffré à l'aide de la clé EFS privée associée à l'utilisateur. Ensuite, en utilisant FEK, le fichier crypté sera déverrouillé. Contrairement aux premières versions d'EFS dans Windows 2000, EFS gère désormais de manière sécurisée tous les fichiers et dossiers cryptés en mémoire, de sorte qu'il ne reste plus aucun fragment de texte pur sur le disque qui pourrait être récupéré illégalement.

Partage de fichiers EFS

Sous Windows 2000, un seul utilisateur à la fois peut protéger un fichier avec EFS, mais dans XP Pro et versions ultérieures, plusieurs utilisateurs peuvent partager un fichier EFS protégé. Lorsque vous travaillez ensemble, le premier utilisateur à protéger un fichier ou un dossier contrôle l'accès des autres. Après avoir initialement sécurisé un fichier ou un dossier, l'utilisateur peut spécifier des utilisateurs supplémentaires en cliquant sur le bouton Détails (Figure 2). Le nombre d'utilisateurs ajoutés n'est pas limité. Chaque utilisateur possède sa propre copie du FEK, cryptée avec sa clé EFS. Cette innovation XP est très pratique pour partager des fichiers protégés par EFS entre groupes d'utilisateurs. Malheureusement, la collaboration ne peut se faire qu'au niveau de fichiers individuels, pas de dossiers. Un utilisateur doit chiffrer un fichier ou un dossier ou obtenir un certificat EFS avant de pouvoir l'attribuer à des utilisateurs supplémentaires.

Agent DRA

Il est très facile de supprimer un profil utilisateur et les administrateurs réinitialisent souvent les mots de passe des utilisateurs. Les administrateurs réseau doivent donc sauvegarder les clés EFS ou attribuer un ou plusieurs DRA. Vous pouvez obtenir une copie de sauvegarde de la clé privée EFS d'un utilisateur en contactant certificat numérique EFS dans la console Certificats et en cochant la case Copier dans un fichier dans l'onglet Détails. Dans XP Pro et les versions ultérieures, vous pouvez également utiliser le bouton Clés de sauvegarde, situé sous le bouton Détails dans la section de partage de fichiers EFS. Les amateurs de ligne de commande peuvent utiliser la commande

Cipher.exe /x

pour obtenir des copies de sauvegarde des clés EFS sous Windows 2003, ainsi que dans XP Pro SP1 et versions ultérieures. Lorsque vous répondez aux invites suivantes, vous pouvez faire des copies et/ou exporter la clé privée correspondante. Vous ne devez jamais supprimer la clé privée d'un utilisateur EFS, comme Windows vous le demande lors de l'exportation, car cela empêcherait l'utilisateur de déchiffrer ses fichiers protégés. Après avoir exporté la clé privée, vous devez la stocker dans deux emplacements de stockage hors ligne distincts. Procédure de sauvegarde de clé privée EFS utilisateurs individuels diffère par l'intensité du travail. À partir de Windows 2000, Microsoft vous permet de sélectionner un agent DRA. Chaque fois que quelqu'un chiffre un fichier ou un dossier, DRA reçoit automatiquement une instance du FEK. Sous Windows 2000 (mode groupe de travail ou domaine), XP (mode domaine uniquement) et Windows 2003 (mode groupe de travail ou domaine), le DRA par défaut est défini sur un administrateur, bien que l'administrateur puisse modifier le compte utilisateur attribué au rôle DRA. Malheureusement, en mode groupe de travail XP, l'agent DRA n'est pas défini. Cette décision a été prise en réponse aux critiques selon lesquelles les fichiers protégés par EFS étaient vulnérables si le mot de passe de l'administrateur était compromis. Malheureusement, de nombreux systèmes XP Pro fonctionnent en mode groupe de travail et il suffit d'une réinitialisation du mot de passe ou d'une corruption du profil pour que tous les utilisateurs EFS perdent leurs fichiers. Lorsque vous utilisez EFS (rappelez-vous qu'il est actif par défaut et disponible pour les utilisateurs), vous devez vous assurer que les utilisateurs EFS ont fait des copies de clés privées ou se sont vu attribuer un ou plusieurs DRA.

Si vous envisagez d'attribuer le rôle DRA à un compte utilisateur autre que le compte administrateur par défaut, le successeur doit être certifié EFS Recovery Agent. Le certificat de l'agent de récupération EFS peut être demandé auprès des services de certificats ou installé à partir d'un autre produit PKI tiers. Si déployé Service Windows 2003 Certificate Services, vous pouvez alors implémenter des agents de récupération de clés au lieu des DRA. En fin de compte, les agents de récupération de clés restaureront clé perdue au lieu de restaurer directement le fichier.

Contrairement aux clés privées utilisateurs ordinaires EFS, les clés EFS privées des agents DRA doivent être exportées et supprimées des ordinateurs. Si les clés privées des agents DRA sont volées, tous les fichiers contenant des FEK protégés par la clé publique DRA peuvent devenir vulnérables. Par conséquent, les clés doivent être exportées et stockées en toute sécurité dans deux emplacements de stockage distants. Si vous avez besoin de clés pour récupérer des fichiers cryptés, vous pouvez facilement importer et utiliser des clés privées.

Bien que l'administrateur par défaut soit souvent désigné comme agent DRA, vous devez spécifiquement préparer un ou deux utilisateurs comptes, la probabilité d'être expulsé, quelles que soient les circonstances, est faible. Clé publique DRA copie et protège également chaque FEK, donc si un compte utilisateur DRA est accidentellement supprimé ou qu'un mot de passe est réinitialisé, il est difficile de récupérer une FEK protégée par DRA. Si les comptes d'utilisateurs ayant le statut DRA sont modifiés, il est possible que les fichiers protégés par EFS aient des FEK protégés par les anciennes clés DRA. Lorsque Windows accède aux fichiers, les FEK protégées par DRA sont mises à jour avec les dernières clés DRA ; cependant, vous pouvez utiliser la commande Cipher pour forcer une mise à jour groupée de toutes les FEK à l’aide des clés DRA actuelles. Que la clé privée DRA soit exportée ou supprimée du système, il est très important de stocker des copies du certificat de récupération DRA dans au moins deux emplacements de stockage sécurisés hors site.

Notes complémentaires

EFS ne protège pas les fichiers copiés sur le réseau. Windows copie tous les fichiers ouverts sur un partage réseau dans un format purement texte. Si vous devez chiffrer en temps réel des fichiers stockés sur disque et copiés sur un réseau, vous devez utiliser une autre méthode de sécurité, la sécurité IP (IPsec), Secure Sockets Layer (SSL) ou la création et la gestion de versions distribuées WWW (WebDAV). De plus, dans XP et les versions ultérieures, vous pouvez activer la protection EFS pour les fichiers hors ligne.

EFS est un mécanisme de sécurité local. Il a été conçu pour crypter des fichiers sur des disques locaux. Pour utiliser EFS pour protéger les fichiers stockés sur les disques ordinateurs distants, il doit y avoir une relation de confiance entre ces machines pour déléguer l'autorité. Les utilisateurs d'ordinateurs portables utilisent souvent EFS pour les ressources du serveur de fichiers. Pour utiliser EFS sur le serveur, vous devez cocher la case Faire confiance à cet ordinateur pour la délégation à n'importe quel service (Kerberos uniquement) ou Faire confiance à cet ordinateur pour la délégation aux services spécifiés uniquement dans le compte d'ordinateur du serveur (Figure 3).

Vous pouvez empêcher les utilisateurs d'utiliser EFS en le bloquant à l'aide de la stratégie de groupe. Vous devez sélectionner le conteneur Configuration de l'ordinateur, cliquer avec le bouton droit sur Paramètres Windows et sélectionner Paramètres de sécurité, Stratégies de clé publique, Système de fichiers de cryptage. Ensuite, vous pouvez décocher la case Autoriser les utilisateurs à chiffrer les fichiers à l’aide d’EFS. Vous pouvez activer ou désactiver EFS dans des unités organisationnelles (UO) individuelles.

Avant d'utiliser EFS, vous devez vous assurer que vos applications sont compatibles avec EFS et l'API EFS. Si les applications sont incompatibles, les fichiers protégés par EFS peuvent être corrompus ou, pire encore, ne pas être protégés sans autorisation appropriée. Par exemple, si vous enregistrez et modifiez un fichier protégé par EFS avec le programme edit.com (fichier exécutable 16 bits) inclus dans Windows, tous les utilisateurs supplémentaires perdront l'accès à ce fichier. La plupart des applications Microsoft (y compris Microsoft Office, Notepad et Wordpad) sont entièrement compatibles avec EFS.

Si un utilisateur autorisé copie des fichiers protégés par EFS sur une partition FAT, la protection EFS sera supprimée. Un utilisateur non autorisé ne doit pas être autorisé à déplacer ou copier des fichiers vers un Partitions Windows. Un utilisateur non autorisé peut démarrer en plus du système d'autorisation WindowsNTFS, en utilisant une disquette amorçable ou un programme de CD-ROM qui vous permet de monter un répertoire de partage NTFS (par exemple Knoppix, NTFSDOS, disquette amorçable Peter Nordahl-Hagen). De ce fait, il pourra copier ou déplacer le fichier, mais s'il ne dispose pas de la clé EFS de l'utilisateur autorisé, le fichier restera crypté.

Meilleures pratiques

Voici les meilleures pratiques pour travailler avec EFS.

1. Définissez le numéro et identifiez les comptes DRA.
2. Générez des certificats DRA pour les comptes DRA.
3. Importer les certificats DRA dans Annuaire actif(ANNONCE).
4. Exportez et supprimez les clés privées DRA, en les stockant dans deux coffres-forts distincts, sécurisés et hors ligne.
5. Présenter aux utilisateurs finaux les méthodes d’application et les fonctionnalités d’EFS.
6. Testez périodiquement la récupération des fichiers DRA.
7. Si nécessaire, exécutez périodiquement la commande Cipher avec le paramètre /u pour mettre à jour les FEK des DRA ajoutés ou supprimés.

EFS est une méthode fiable et sécurisée de cryptage de fichiers et de dossiers sur les systèmes Windows 2000 et versions ultérieures. Les administrateurs réseau doivent élaborer et appliquer des politiques DRA et informer les utilisateurs finaux sur les avantages et les limites d'EFS.

Roger Grimes - Éditeur Windows Professionnel de l'informatique et consultant en sécurité. Il possède les certificats CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE : Sécurité et Sécurité+.