Encrypted Files System - Windows 2000



Documents pareils
Gestion des certificats en Internet Explorer

Chiffrement du système de fichiers EFS (Encrypting File System)

Date : juin 2009 AIDE SUR LES CERTIFICATS. Comment sauvegarder et installer son certificat

Manuel de la sécurité intégrée HP ProtectTools Ordinateurs d entreprise HP modèle dx5150

Signature électronique sécurisée. Manuel d installation

Archivage de courriels avec Outlook ( )

Sécurisation de Windows NT 4.0. et Windows 2000

Configuration du serveur FTP sécurisé (Microsoft)

Note Technique. 1. Objectif. 2. Prérequis. 3. Installation

vcenter Server 1. Interface Lancez le vsphere Client et connectez vous à vcenter Server. Voici la page d accueil de vcenter Server.

VAMT 2.0. Activation de Windows 7 en collège

CSI351 Systèmes d exploitation Instructions pour rouler Linux avec Virtual PC dans la salle de labo 2052

Le Centre de sauvegarde et de Restauration est capable d effectuer deux types de sauvegarde

Gestion des sauvegardes

TESIAL sprl. Aide pour l installation et la gestion du backup. 27 novembre 2009

PROCEDURE D EXPORT-IMPORT DU CERTIFICAT InVS INTERNET EXPLORER

CREATION DMP En Accès Web

Guide de démarrage IKEY 2032 / Vigifoncia

Transport Layer Security (TLS) Guide de mise en œuvre. Version: 1.0

J'ai changé d'ordinateur, comment sauvegarder mon certificat?

ScTools Outil de personnalisation de carte

Copie de sauvegarde de votre disque dur

Manuel BlueFolder ADMINISTRATION

2 - VMWARE SERVER.doc

Installation d un poste i. Partage et Portage & permissions NTFS

OUTIL DE CRYPTAGE ET DE COMPRESSION

1 ) INSTALLATION DE LA CONSOLE 2 2 ) PREMIER DÉMARRAGE DE LA CONSOLE 3 3 ) LES JOBS 4 4 ) LES ORDINATEURS 6

Service Informatique et Télématique (SITEL), Emile-Argand 11, 2009 Neuchâtel, Tél ,

Connecteur Zimbra pour Outlook 2007 et 2010 (ZCO) w

Certificats de signature de code (CodeSigning)

Manuel d utilisation du logiciel Signexpert Paraph

Cliquez sur le site que vous souhaitez consulter, il s affichera directement dans le navigateur.

WebSpy Analyzer Giga 2.1 Guide de démarrage

Installation d un ordinateur avec reprise des données

Configuration de GFI MailArchiver

Initiation à Mendeley AUT2012

Procédure d installation de mexi backup

Créer et partager des fichiers

Microsoft Windows XP. Movie Maker 2

Chapitre 3. Sécurité des Objets

ALLIANZ MODE OPERATOIRE DE MIGRATION D UNE AGENCE WINDOWS Août Version du document : 010

Logiciel de sauvegarde Echo


Certificats Electroniques sur Clé USB

Installation SQL Server 2005 Express sur le serveur

J ai chargé l ensemble des données d archivage Outlook (.pst) nécessaire 0. Je sais ou/comment je peux commander des logiciels en option

Quelques outils pour le logiciel «Tux Paint»

LaCieSync. Synchronization Software. getting started guide. Guide de démarrage. Guida introduttiva. Erste Schritte. Guía de inicio.

Introduction à Eclipse

NetBak Replicator 4.0 Manuel de l utilisateur Version 1.0

Méthode de préparation du fichier texte d import depuis Excel, via Access jusqu à Drupal.

Mise à jour d avast! et de vos logiciels Ciel

MANUEL D INSTALLATION Sous WINDOWS

Protéger ses données dans le cloud

WinReporter Guide de démarrage rapide. Version 4

SOMMAIRE ÉTAPES OBLIGATOIRES. Récupérer le connecteur... 3

sommaire ÉTAPES OBLIGATOIRES Récupérer le connecteur... 3

Installation-Lancement

Début de la procédure

Les sauvegardes de l ordinateur

Quelques outils pour le logiciel «Tuxpaint»

PROCÉDURE D AIDE AU PARAMÉTRAGE

Guide d installation CLX.PayMaker Office (3PC)

COURS 5 Mettre son site en ligne! Exporter son site avec WordPress Duplicator Installer un logiciel FTP Faire le suivi des visites de son site avec

Mise en route et support Envision 10 SQL server (Avril 2015) A l'intention de l'administrateur SQL Server et de l administrateur Envision

Les différentes méthodes pour se connecter

Exporter des écritures. Importer des écritures. Depuis EBP Comptabilité.

Installer Enterprise Miner 5.1 en SAS environnement Windows

VXPERT SYSTEMES. CITRIX NETSCALER 10.1 et SMS PASSCODE 6.2. Guide d installation et de configuration pour Xenapp 6.5 avec SMS PASSCODE 6.

Table des matières...2 Introduction...4 Terminologie...4

XP_Downgrade_JDS.book Page 1 Monday, August 31, :57 PM. Guide de l utilisateur du disque d installation de Windows XP

Importation de fichiers Eagle

Campagnes d ings v.1.6

Installation d'un TSE (Terminal Serveur Edition)

MISE A JOUR : 04 FEVRIER 2011 PROCÉDURE D INSTALLATION. Cegid Business COMMENT INSTALLER CEGID BUSINESS V9 SOUS WINDOWS XP, VISTA ET 7

Guide d installation de MySQL

Installation de GFI FAXmaker

Acronymes et abréviations. Acronymes / Abbréviations. Signification

SimpleOCR, un logiciel gratuit de reconnaissance de caractères

Installation ou mise à jour du logiciel système Fiery

Mode d emploi Télésauvegarde de données SecureSafe

Migration a Outlook Guide

Guide d installation des licences Solid Edge-NB RB

INITIATION A L INFORMATIQUE. MODULE : Initiation à l'environnement Windows XP. Table des matières :

SAUVEGARDER SES DONNEES PERSONNELLES

TrueCrypt : installation et paramétrage

Sauvegarde d'une base de données SQL Server Express 2005

IP Remote Controller

Réglages du module de sauvegarde de Biblionet (Monoposte)

TUTORIEL D INSTALLATION D ORACLE ET DE SQL DEVELOPPER TUTORIEL D INSTALLATION D ORACLE...1 ET DE SQL DEVELOPPER...1

MANUEL UTILISATEUR SOPISAFE V 3.5

1) Sauvegarde à froid de l'ordinateur à partir du Symantec Recovery Disk (SRD) sur un disque dur externe raccordé en USB :

PROCÉDURE DE RÉCUPÉRATION DES CLÉS ET DES CERTIFICATS (SIGNATURE NUMÉRIQUE)

esms Desktop Guide de l utilisateur

- Visioconférence - Utiliser NetMeeting au quotidien. Richard BONMARIN DSO/DSI/EMC-EBZ

Installation de GFI Network Server Monitor

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

FAQ pour tablette Windows 8 (NS-15MS0832 et NS-15MS0832B) Avril 2015

Server 2008 Active Directory Délégation de contrôle

Installation du transfert de fichier sécurisé sur le serveur orphanet

Transcription:

Encrypted Files System - Windows 2000 white paper Snoop 5 octobre 2001 Copyright 2002. All Right Reserved

Tables des matières Tables des matières...2 Introduction...2 1. Fonctionnement...3 3. Utilisation de EFS...3 4. Recommandations générales...4 5. Définitions des comptes d agent de récupération...5 6. Export du certificat EFS et de la clé privée...6 Introduction EFS est un système de fichiers crypté, fourni en standard avec Windows 2000. Il n est toutefois pas activé par défaut. EFS ne nécessite pas la connaissance de mots de passe supplémentaires, en revanche le niveau de sécurité des fichiers chiffrés est fortement dépendant des mots de passe employés par les utilisateurs. Encrypted Files System Windows 2000 2

1. Fonctionnement Les données gardées par les utilisateurs sont parfois sensibles et nécessitent une sécurité supplémentaire comme du chiffrement, pour s assurer que ces dernières ne soient pas lues par des personnes non autorisées. Windows 2000 permet de chiffrer automatiquement des fichiers ou des répertoires, et donc de définir des zones protégées pour chaque utilisateur. Le chiffrement ou le déchiffrement s opère après vérification du certificat de l utilisateur. Ces certificats sont générés par Windows 2000 lui-même : lors du chiffrement, un générateur aléatoire produit une clé unique de chiffrement de fichier (clé symétrique), elle-même chiffrée avec la clé publique du propriétaire, et ajoutée à l en-tête du fichier chiffré. L en-tête contient aussi une ou plusieurs clés uniques de chiffrement de fichiers, chiffrées cette-fois ci avec chacune des clés publiques des agents de récupération. Toutefois le système a des limites : o il n est pas possible de générer des clés de groupe, de façon à pouvoir chiffrer un répertoire pour un groupe d utilisateurs. ο le certificat de l agent de récupération doit être généré avant les certificats utilisateurs, sinon il devient impossible à l opérateur de récupération de déchiffrer les répertoires chiffrés antérieurement à sa création (avec l outil cipher /D). ο les fichiers possédant l attribut «système», tous comme les fichiers de C:\WinNT ne peuvent être chiffrés. Il est, de plus, assez trivial de récupérer les fichiers en effaçant par exemple la base SAM et les clés stockées dans le répertoire \WinNT\System32\config. Pour éviter de laisser à l administrateur local les pouvoirs sur le déchiffrement, il est conseillé de choisir un autre utilisateur que l administrateur comme RA (Recuperation Agent) et de stocker la clé avec syskey. 3. Utilisation de EFS Pour activer les fonctions de chiffrement de répertoire, il suffit de cocher Encrypt contents to secure data dans les propriétés avancées du dossier à sécuriser (clic droit / Properties / onglet General / bouton Avanced) : Encrypted Files System Windows 2000 3

L opération est totalement transparente pour l utilisateur. Les fichiers chiffrés avec l outil sur Windows 2000 backup restent chiffrées, en revanche les copier sur une partition non NTFS renvoie le fichier à son format «normal».?? Il existe un agent de récupération qui a les permissions pour récupérer les fichiers chiffrés par les utilisateurs, de sorte qu il ne peut pas y avoir de perte de données. Cet agent de récupération peut être généralement l administrateur ou bien un utilisateur pour lequel on à généré un certificat de récupération (cf. paragraphe 4). 4. Recommandations générales Bien qu apportant un niveau de sécurité supplémentaire, EFS doit être utilisé en suivant les précautions suivantes : ο De nombreuses applications créent des fichiers temporaires, contenant des données potentiellement confidentielles. Il est donc préconisé de ne pas utiliser le chiffrement au niveau des fichiers, mais des répertoires. Ainsi, tout fichier temporaire créé dans un répertoire chiffré sera aussitôt protégé. ο Les nouveaux documents Microsoft Office sont, par défaut, créés dans le répertoire \Documents and Settings\User_name\My Documents. Il est recommandé de chiffrer ce répertoire et ce, pour chaque utilisateur, de manière à ce que les nouveaux documents soient automatiquement chiffrés. Encrypted Files System Windows 2000 4

ο De même, il est recommandé de chiffrer tous les répertoires temporaires (C:\Temp, \Documents and Settings\User_name\LocalSettings\Temp) ο Les documents en attente d impression sont stockés dans un répertoire système, en clair, les dossiers système ne pouvant être chiffrés. Il est alors recommandé d imprimer tout document confidentiel en mesurant les risques. ο Ne détruisez pas les certificats de récupération ou les clés privées en cas de changement des agents de récupération (opération effectuée régulièrement). Conservez-les jusqu'à ce que tous les fichiers avec lesquels ils ont été cryptés soient mis à jour. ο Définissez au moins deux comptes d'agent de récupération par unité organisationnelle. Spécifiez deux ordinateurs ou plus pour la récupération (un pour chaque compte d'agent de récupération défini). ο Mettez en place un programme d'archivage des agents de récupération afin de garantir que les fichiers cryptés pourront être récupérés à l'aide de clés de récupération obsolètes. Les certificats de récupération et les clés privées doivent être exportés et stockés de manière fiable et contrôlée. Comme pour toutes les données sécurisées, l'idéal consiste à stocker les archives dans un coffre à accès contrôlé et à conserver deux types d'archives : une archive principale et une autre de secours. La première est conservée sur site, alors que la seconde est placée en sécurité à l'extérieur du site. ο Pour terminer, rappelons que la copie ou le déplacement de fichiers chiffrés vers un système de fichier ne supportant pas EFS rendra le chiffrement des données copiées inactif. De même, les fichiers transférés par le réseau perdent leur chiffrement. 5. Définitions des comptes d agent de récupération EFS ne fonctionne que si des comptes sont configurés en tant que Agents de Récupération. Ces comptes permettent de récupérer des données sensibles qui auraient été chiffrées par un employé parti de l entreprise avec sa clé privée. Par défaut le compte Administrateur est un agent de récupération. Il faut tout d abord créer un utilisateur Recovery Agent (un autre nom pourra bien sûr être utilisé). Cet utilisateur doit ensuite obtenir un certificat numérique lui permettant d effectuer la récupération de données (identificateur d objet : 1.3.6.1.4.1.311.10.3.4.1), par exemple au moyen du site web http://monserveur/certsrv. Encrypted Files System Windows 2000 5

Lancez ensuite l outil d administration des certificats (menu Start / Programs / Administrative Tools / Certification Authority), allez dans G et validez le certificat : Le certificat est maintenant dans la catégorie Issued certificates. Cliquez sur le certificat précédemment validé, ouvrez-le puis sur l onglet Details faites Copy to file pour exporter votre certificat. Démarrez la console d administration de la politique de sécurité : menu Start / Programs / Administrative tools / Local Security Policy, puis cliquez sur Encrypted data recovery agents dans Public Key Policies. Cliquez sur Add (accessible par un clic droit) et suivez les instructions. L agent de récupération est maintenant fonctionnel. Il est fortement recommandé que l agent de récupération ne soit pas la même personne que l administrateur système, et que le mot de passe du compte réponde à certains critères de complexité, et soit stocké dans un endroit sûr (un coffre-fort par exemple). 6. Export du certificat EFS et de la clé privée La compromission du compte de l agent de récupération met en péril la confidentialité des données chiffrées. Il est donc recommandé de stocker le certificat et la clé privée de l agent de récupération sur une disquette, stockée dans un endroit sûr, le certificat et la clé privée n étant pas nécessaires à l utilisation quotidienne de EFS. Pour cela : ο Dans le menu Start / Run lancez le programme mmc.exe ο Sélectionnez le menu Add / Remove snap-in ο Cliquez sur add, puis sélectionnez le snap-in Certificates ο Sélectionnez le bouton My user account ο Cliquez sur Add, puis Close. Validez par OK. ο Cliquez sur le répertoire Certificates, sous Personnal. Déroulez l arborescence si besoin est. ο Sélectionnez le certificat donc la fonction est Encrypting File System. ο Clic droit sur le certificat, puis choisissez All Tasks / Export. ο Cliquez sur Next. Sur l écran Export Private Key, sélectionnez Yes, export the private key. Cliquez sur Next ο Cochez Enable strong protection, puis Delete the private key if export successfull. La clé sera supprimée si l export s est déroulé correctement. Cliquez sur Next. ο Entrez un mot de passe, puis confirmez-le. Ce mot de passe sera utilisé pour ré-installer le certificat en cas d urgence. Cliquez sur Next. Encrypted Files System Windows 2000 6

ο Choisissez ensuite un emplacement puis un nom à donner à ce certificat. Cliquez sur Next. ο Vérifiez les options, validez par le bouton Finish. ο Cliquez sur Ok. Encrypted Files System Windows 2000 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back