Encrypted Files System - Windows 2000 white paper Snoop 5 octobre 2001 Copyright 2002. All Right Reserved
Tables des matières Tables des matières...2 Introduction...2 1. Fonctionnement...3 3. Utilisation de EFS...3 4. Recommandations générales...4 5. Définitions des comptes d agent de récupération...5 6. Export du certificat EFS et de la clé privée...6 Introduction EFS est un système de fichiers crypté, fourni en standard avec Windows 2000. Il n est toutefois pas activé par défaut. EFS ne nécessite pas la connaissance de mots de passe supplémentaires, en revanche le niveau de sécurité des fichiers chiffrés est fortement dépendant des mots de passe employés par les utilisateurs. Encrypted Files System Windows 2000 2
1. Fonctionnement Les données gardées par les utilisateurs sont parfois sensibles et nécessitent une sécurité supplémentaire comme du chiffrement, pour s assurer que ces dernières ne soient pas lues par des personnes non autorisées. Windows 2000 permet de chiffrer automatiquement des fichiers ou des répertoires, et donc de définir des zones protégées pour chaque utilisateur. Le chiffrement ou le déchiffrement s opère après vérification du certificat de l utilisateur. Ces certificats sont générés par Windows 2000 lui-même : lors du chiffrement, un générateur aléatoire produit une clé unique de chiffrement de fichier (clé symétrique), elle-même chiffrée avec la clé publique du propriétaire, et ajoutée à l en-tête du fichier chiffré. L en-tête contient aussi une ou plusieurs clés uniques de chiffrement de fichiers, chiffrées cette-fois ci avec chacune des clés publiques des agents de récupération. Toutefois le système a des limites : o il n est pas possible de générer des clés de groupe, de façon à pouvoir chiffrer un répertoire pour un groupe d utilisateurs. ο le certificat de l agent de récupération doit être généré avant les certificats utilisateurs, sinon il devient impossible à l opérateur de récupération de déchiffrer les répertoires chiffrés antérieurement à sa création (avec l outil cipher /D). ο les fichiers possédant l attribut «système», tous comme les fichiers de C:\WinNT ne peuvent être chiffrés. Il est, de plus, assez trivial de récupérer les fichiers en effaçant par exemple la base SAM et les clés stockées dans le répertoire \WinNT\System32\config. Pour éviter de laisser à l administrateur local les pouvoirs sur le déchiffrement, il est conseillé de choisir un autre utilisateur que l administrateur comme RA (Recuperation Agent) et de stocker la clé avec syskey. 3. Utilisation de EFS Pour activer les fonctions de chiffrement de répertoire, il suffit de cocher Encrypt contents to secure data dans les propriétés avancées du dossier à sécuriser (clic droit / Properties / onglet General / bouton Avanced) : Encrypted Files System Windows 2000 3
L opération est totalement transparente pour l utilisateur. Les fichiers chiffrés avec l outil sur Windows 2000 backup restent chiffrées, en revanche les copier sur une partition non NTFS renvoie le fichier à son format «normal».?? Il existe un agent de récupération qui a les permissions pour récupérer les fichiers chiffrés par les utilisateurs, de sorte qu il ne peut pas y avoir de perte de données. Cet agent de récupération peut être généralement l administrateur ou bien un utilisateur pour lequel on à généré un certificat de récupération (cf. paragraphe 4). 4. Recommandations générales Bien qu apportant un niveau de sécurité supplémentaire, EFS doit être utilisé en suivant les précautions suivantes : ο De nombreuses applications créent des fichiers temporaires, contenant des données potentiellement confidentielles. Il est donc préconisé de ne pas utiliser le chiffrement au niveau des fichiers, mais des répertoires. Ainsi, tout fichier temporaire créé dans un répertoire chiffré sera aussitôt protégé. ο Les nouveaux documents Microsoft Office sont, par défaut, créés dans le répertoire \Documents and Settings\User_name\My Documents. Il est recommandé de chiffrer ce répertoire et ce, pour chaque utilisateur, de manière à ce que les nouveaux documents soient automatiquement chiffrés. Encrypted Files System Windows 2000 4
ο De même, il est recommandé de chiffrer tous les répertoires temporaires (C:\Temp, \Documents and Settings\User_name\LocalSettings\Temp) ο Les documents en attente d impression sont stockés dans un répertoire système, en clair, les dossiers système ne pouvant être chiffrés. Il est alors recommandé d imprimer tout document confidentiel en mesurant les risques. ο Ne détruisez pas les certificats de récupération ou les clés privées en cas de changement des agents de récupération (opération effectuée régulièrement). Conservez-les jusqu'à ce que tous les fichiers avec lesquels ils ont été cryptés soient mis à jour. ο Définissez au moins deux comptes d'agent de récupération par unité organisationnelle. Spécifiez deux ordinateurs ou plus pour la récupération (un pour chaque compte d'agent de récupération défini). ο Mettez en place un programme d'archivage des agents de récupération afin de garantir que les fichiers cryptés pourront être récupérés à l'aide de clés de récupération obsolètes. Les certificats de récupération et les clés privées doivent être exportés et stockés de manière fiable et contrôlée. Comme pour toutes les données sécurisées, l'idéal consiste à stocker les archives dans un coffre à accès contrôlé et à conserver deux types d'archives : une archive principale et une autre de secours. La première est conservée sur site, alors que la seconde est placée en sécurité à l'extérieur du site. ο Pour terminer, rappelons que la copie ou le déplacement de fichiers chiffrés vers un système de fichier ne supportant pas EFS rendra le chiffrement des données copiées inactif. De même, les fichiers transférés par le réseau perdent leur chiffrement. 5. Définitions des comptes d agent de récupération EFS ne fonctionne que si des comptes sont configurés en tant que Agents de Récupération. Ces comptes permettent de récupérer des données sensibles qui auraient été chiffrées par un employé parti de l entreprise avec sa clé privée. Par défaut le compte Administrateur est un agent de récupération. Il faut tout d abord créer un utilisateur Recovery Agent (un autre nom pourra bien sûr être utilisé). Cet utilisateur doit ensuite obtenir un certificat numérique lui permettant d effectuer la récupération de données (identificateur d objet : 1.3.6.1.4.1.311.10.3.4.1), par exemple au moyen du site web http://monserveur/certsrv. Encrypted Files System Windows 2000 5
Lancez ensuite l outil d administration des certificats (menu Start / Programs / Administrative Tools / Certification Authority), allez dans G et validez le certificat : Le certificat est maintenant dans la catégorie Issued certificates. Cliquez sur le certificat précédemment validé, ouvrez-le puis sur l onglet Details faites Copy to file pour exporter votre certificat. Démarrez la console d administration de la politique de sécurité : menu Start / Programs / Administrative tools / Local Security Policy, puis cliquez sur Encrypted data recovery agents dans Public Key Policies. Cliquez sur Add (accessible par un clic droit) et suivez les instructions. L agent de récupération est maintenant fonctionnel. Il est fortement recommandé que l agent de récupération ne soit pas la même personne que l administrateur système, et que le mot de passe du compte réponde à certains critères de complexité, et soit stocké dans un endroit sûr (un coffre-fort par exemple). 6. Export du certificat EFS et de la clé privée La compromission du compte de l agent de récupération met en péril la confidentialité des données chiffrées. Il est donc recommandé de stocker le certificat et la clé privée de l agent de récupération sur une disquette, stockée dans un endroit sûr, le certificat et la clé privée n étant pas nécessaires à l utilisation quotidienne de EFS. Pour cela : ο Dans le menu Start / Run lancez le programme mmc.exe ο Sélectionnez le menu Add / Remove snap-in ο Cliquez sur add, puis sélectionnez le snap-in Certificates ο Sélectionnez le bouton My user account ο Cliquez sur Add, puis Close. Validez par OK. ο Cliquez sur le répertoire Certificates, sous Personnal. Déroulez l arborescence si besoin est. ο Sélectionnez le certificat donc la fonction est Encrypting File System. ο Clic droit sur le certificat, puis choisissez All Tasks / Export. ο Cliquez sur Next. Sur l écran Export Private Key, sélectionnez Yes, export the private key. Cliquez sur Next ο Cochez Enable strong protection, puis Delete the private key if export successfull. La clé sera supprimée si l export s est déroulé correctement. Cliquez sur Next. ο Entrez un mot de passe, puis confirmez-le. Ce mot de passe sera utilisé pour ré-installer le certificat en cas d urgence. Cliquez sur Next. Encrypted Files System Windows 2000 6
ο Choisissez ensuite un emplacement puis un nom à donner à ce certificat. Cliquez sur Next. ο Vérifiez les options, validez par le bouton Finish. ο Cliquez sur Ok. Encrypted Files System Windows 2000 7