DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 223316 - Dernière mise à jour: vendredi 26 octobre 2007 - Version: 12.2

Ancien nº de publication de cet article : F223316
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).

Sommaire

Résumé

Microsoft Windows permet de chiffrer des données directement sur les volumes qui utilisent le système de fichiers NTFS afin qu'aucun autre utilisateur ne puisse les utiliser. Vous pouvez chiffrer des fichiers et des dossiers en définissant un attribut dans la boîte de dialogue Propriétés de l'objet.

Le processus de chiffrement/déchiffrement étant transparent pour les utilisateurs, il est important que les organisations qui souhaitent utiliser le chiffrement de fichiers encouragent le respect de directives strictes relatives à son utilisation.

Plus d'informations

Voici une liste de pratiques standard :
  • Incitez les utilisateurs à exporter leurs certificats et leurs clés privées sur des supports amovibles et à conserver le support dans un lieu sûr lorsqu'ils ne s'en servent pas. Pour une sécurité maximale, la clé privée doit être retirée de l'ordinateur lorsque celui-ci n'est pas utilisé. Cela procure une protection contre les agresseurs qui obtiennent un accès physique à l'ordinateur et qui tentent d'accéder à la clé privée. Lorsque vous devez accéder aux fichiers chiffrés, il vous suffit d'importer la clé privée à partir du support amovible.
  • Chiffrez le dossier Mes documents pour tous les utilisateurs profil_utilisateur\Mes documents). Cela permet de garantir le chiffrement par défaut du dossier personnel, où sont stockés la plupart des documents.
  • Incitez les utilisateurs à ne jamais chiffrer de fichiers individuels, mais plutôt des dossiers. Les programmes travaillent sur les fichiers de différentes manières. Un chiffrement des fichiers au niveau des dossiers permet d'éviter tout déchiffrement de fichier inattendu.
  • Les clés privées associées aux certificats de récupération sont extrêmement sensibles. Elles doivent être générées sur un ordinateur sécurisé physiquement, ou leurs certificats doivent être exportés vers un fichier .pfx protégé par un mot de passe fort, puis enregistrées sur une disquette qui sera conservée en lieu sûr.
  • Les certificats d'agent de récupération doivent être affectés à des comptes d'agent de récupération utilisés exclusivement à cette fin.
  • Ne détruisez pas les certificats de récupération ni les clés privées lorsque vous modifiez des agents de récupération. (Les agents sont modifiés de manière périodique.) Conservez-les tous jusqu'à ce que tous les fichiers ayant pu être chiffrés avec eux aient été mis à jour.
  • Désignez un ou deux comptes d'agent de récupération par unité d'organisation, selon la taille de celles-ci. Désignez plusieurs ordinateurs pour la récupération, un pour chaque compte d'agent de récupération désigné. Accordez aux administrateurs appropriés l'autorisation d'utiliser les comptes d'agent de récupération. Il est conseillé de disposer de deux comptes d'agents de récupération afin d'assurer une redondance pour la récupération des fichiers. Le fait de posséder deux ordinateurs contenant ces clés permet d'accroître la redondance et les chances de récupération de données perdues.
  • Implémentez un programme d'archivage d'agents de récupération afin de vous assurer que les fichiers chiffrés peuvent être récupérés à l'aide de clés de récupération obsolètes. Les certificats de récupération et les clés privées doivent être exportés et stockés de manière sécurisée et contrôlée. Dans l'idéal, comme pour toutes les données sécurisées, les archives doivent être conservées dans une chambre forte et vous devez posséder deux archives : une maître et une de secours. L'archive maître est conservée sur site et l'archive de secours dans un lieu sécurisé hors site.
  • Évitez d'utiliser des fichiers spouleurs d'impression dans votre architecture de serveurs d'impression ou assurez-vous que les fichiers spouleurs d'impression sont générés dans un dossier chiffré.
  • Le système de fichiers EFS utilise des ressources de processeur à chaque fois qu'un utilisateur chiffre et déchiffre un fichier. Planifiez soigneusement l'utilisation de vos serveurs. Équilibrez la charge sur vos serveurs lorsque les clients qui utilisent le système de fichiers EFS sont nombreux.

Comment faire pour activer le partage de fichiers EFS

Dans Microsoft Windows XP, le système de fichiers EFS prend en charge le partage des fichiers chiffrés parmi plusieurs utilisateurs. Grâce à cette prise en charge, vous pouvez accorder à des utilisateurs spécifiques l'autorisation d'accéder à un fichier chiffré. La possibilité d'ajouter des utilisateurs supplémentaires est cependant limitée aux fichiers individuels. Windows 2000 et Windows XP n'offrent pas de prise en charge du partage de dossiers par plusieurs utilisateurs. En outre, le système de fichiers EFS n'autorise pas l'utilisation des groupes sur les fichiers chiffrés.

Une fois un fichier chiffré, le partage de fichiers est activé par le biais d'un nouveau bouton dans l'interface utilisateur. Pour que des utilisateurs supplémentaires puissent être ajoutés, le fichier doit être d'abord chiffré, puis enregistré. Il est possible d'ajouter des utilisateurs à partir de l'ordinateur local ou à partir du service d'annuaire Active Directory si l'utilisateur possède un certificat valide pour le système de fichiers EFS. La possibilité d'ajouter des utilisateurs supplémentaires est cependant limitée aux fichiers individuels. Le système de fichiers EFS n'offre pas la prise en charge d'utilisateurs multiples sur les dossiers chiffrés EFS. De plus, seuls des utilisateurs individuels peuvent être ajoutés à des fichiers. Le système de fichiers EFS n'autorise pas l'utilisation des groupes sur les fichiers chiffrés.

Pour plus d'informations sur la façon d'activer le chiffrement EFS sur des dossiers et des fichiers, consultez la section « Comment faire pour chiffrer et déchiffrer à l'aide du système de fichiers EFS » de cet article.

Comment faire pour chiffrer un fichier pour plusieurs utilisateurs

Remarque Cette procédure s'applique uniquement à Windows XP. Il est impossible de chiffrer un fichier pour plusieurs utilisateurs dans Windows 2000.

Pour cela, procédez comme suit :
  1. Ouvrez l'Explorateur Microsoft Windows, puis sélectionnez le fichier chiffré auquel vous souhaitez ajouter des utilisateurs.
  2. Cliquez avec le bouton droit sur le fichier chiffré, puis cliquez sur Propriétés.
  3. Cliquez sur Avancé pour accéder aux paramètres EFS.
  4. Cliquez sur Détails pour ajouter des utilisateurs.
  5. Cliquez sur Ajouter. La boîte de dialogue Ajouter répertorie tous les autres certificats compatibles EFS contenus dans votre magasin personnel ou ceux des autres utilisateurs présents dans vos magasins de certificats "Autres personnes" et "Personnes autorisées".

    Si l'utilisateur à ajouter n'est pas répertorié, cliquez sur Rechercher un utilisateur pour effectuer une recherche dans Active Directory. La fenêtre Sélectionner un utilisateur s'affiche. Une boîte de dialogue répertorie les certificats EFS valides contenus dans Active Directory qui satisfont à vos critères de recherche. Si aucun certificat valide n'est trouvé pour cet utilisateur, un message signale l'absence de certificats appropriés pour l'utilisateur sélectionné. Dans ce cas, celui-ci doit vous envoyer une copie de son certificat pour que vous puissiez l'importer. Vous pourrez ensuite ajouter l'utilisateur à votre fichier chiffré.
  6. Sélectionnez le certificat de l'utilisateur à ajouter, puis cliquez sur OK. L'onglet Détails réapparaît et répertorie les différents utilisateurs ayant accès au fichier chiffré ainsi que leurs certificats EFS.
  7. Répétez ce processus jusqu'à ce que vous ayez ajouté tous les utilisateurs souhaités. Cliquez sur OK pour enregistrer les modifications et continuer.
Remarque Tout utilisateur en mesure de déchiffrer un fichier peut également supprimer d'autres utilisateurs s'il possède des autorisations en écriture sur le fichier.

Comment faire pour chiffrer et déchiffrer à l'aide du système de fichiers EFS

Les étapes suivantes permettent de chiffrer et de déchiffrer un fichier ou un dossier à l'aide du système EFS.

Remarque Ces instructions s'appliquent à Windows 2000 et Windows XP.

Chiffrement d'un dossier

Bien qu'il soit possible de chiffrer des fichiers individuellement, Microsoft recommande vivement de désigner un dossier spécifique pour le stockage des données chiffrées.

Chiffrement d'un dossier et de son contenu


Bien qu'il soit possible de chiffrer des fichiers individuellement, il est généralement préférable de désigner un dossier spécifique (dans lequel vous stockerez vos fichiers chiffrés) et de chiffrer ce dossier. Ainsi, tous les fichiers créés dans ou déplacés vers ce dossier obtiendront automatiquement l'attribut chiffré.

Pour chiffrer un dossier et son contenu actuel, procédez comme suit :
  1. Cliquez avec le bouton droit sur le dossier à chiffrer, puis cliquez sur Propriétés.
  2. Dans la boîte de dialogue Propriétés, cliquez sur Avancé.
  3. La boîte de dialogue Attributs avancés affiche les options d'attributs de compression et de chiffrement. Elle contient également des attributs d'archivage et d'indexation.

    Remarque Bien que le système de fichiers NTFS prenne en charge la compression et le chiffrement, l'utilisation simultanée de ces deux fonctionnalités est impossible. Vous ne pouvez sélectionner que l'une ou l'autre. Un fichier ou dossier ne peut être à la fois chiffré et compressé.

    Pour chiffrer le dossier, activez la case à cocher Crypter le contenu pour sécuriser les données, puis cliquez sur OK.
  4. Cliquez sur OK pour fermer la boîte de dialogue Attributs avancés.
  5. Si le dossier que vous avez choisi de chiffrer aux étapes 1 à 3 contient déjà des fichiers, une boîte de dialogue Confirmation des modifications d'attributs s'affiche.

    Vous pouvez choisir de chiffrer uniquement le dossier de sorte que tous les fichiers ultérieurement déplacés vers le dossier ou créés dans ce dossier soient chiffrés. Si vous souhaitez chiffrer également tout le contenu du dossier, cliquez sur Appliquer les modifications à ce dossier, à tous les sous-dossiers et fichiers, puis sur OK.

Déchiffrement d'un dossier

Pour déchiffrer un dossier, appliquez la même procédure en sens inverse :
  1. Cliquez avec le bouton droit sur le dossier à déchiffrer, puis cliquez sur Propriétés.
  2. Cliquez sur Options avancées.
  3. Désactivez la case à cocher Crypter le contenu pour sécuriser les données pour déchiffrer les données.
  4. Cliquez sur OK pour fermer la boîte de dialogue Attributs avancés.
  5. Cliquez sur OK pour fermer la boîte de dialogue Propriétés.
  6. Si le dossier contient des fichiers, la boîte de dialogue Confirmation des modifications d'attributs s'affiche. Vous pouvez choisir de déchiffrer uniquement le dossier, mais dans ce cas, les fichiers actuellement contenus dans le dossier ne seront pas déchiffrés.

    Si vous souhaitez déchiffrer tout le contenu du dossier, cliquez sur Appliquer les modifications à ce dossier, à tous les sous-dossiers et fichiers, puis sur OK.

Informations supplémentaires

Principe de chiffrement des fichiers

Les fichiers sont chiffrés grâce à l'utilisation d'algorithmes qui réorganisent et brouillent les données. Une paire de clés est générée de manière aléatoire lorsque vous chiffrez votre premier fichier. Cette paire de clés est constituée d'une clé privée et d'une clé publique. Elle sert à coder et à décoder les fichiers chiffrés.

Si vous perdez ou endommagez la paire de clés et que vous n'avez désigné aucun agent de récupération, il n'existe aucun moyen de récupérer les données.

Pourquoi est-il nécessaire de sauvegarder les certificats ?

Étant donné qu'il n'existe aucun moyen de récupérer des données chiffrées avec un certificat manquant ou endommagé, il est essentiel de sauvegarder les certificats et de les conserver en lieu sûr. Vous pouvez également spécifier un agent de récupération. Cet agent permet de restaurer les données. Le certificat de l'agent de récupération a un rôle différent de celui de l'utilisateur.

Comment faire pour sauvegarder des certificats

Pour sauvegarder vos certificats, procédez comme suit :
  1. Démarrez Microsoft Internet Explorer.
  2. Dans le menu Outils, cliquez sur Options Internet.
  3. Sous l'onglet Contenu, dans la section Certificats, cliquez sur Certificats.
  4. Cliquez sur l'onglet Personnel.

    Remarque Plusieurs certificats peuvent être répertoriés, selon que vous avez installé des certificats à d'autres fins.
  5. Sélectionnez un certificat à la fois jusqu'à ce que le champ Détails de certificat affiche Système de fichiers EFS (Encrypting File System). Il s'agit du certificat généré lorsque vous avez chiffré votre premier dossier.
  6. Cliquez sur Exporter pour démarrer l'Assistant Exportation de certificat, puis cliquez sur Suivant.
  7. Cliquez sur Oui, exporter la clé privée pour exporter la clé privée, puis sur Suivant.
  8. Cliquez sur Activer la protection renforcée, puis sur Suivant.
  9. Tapez votre mot de passe. (Vous devez posséder un mot de passe pour protéger la clé privée.)
  10. Spécifiez l'emplacement où vous voulez enregistrer la clé. Vous pouvez l'enregistrer sur une disquette, un autre emplacement du disque dur ou un CD. Si le disque dur tombe en panne ou est reformaté, la clé et la sauvegarde seront perdues. (Si vous sauvegardez la clé sur une disquette ou un CD, vous devez conserver cette disquette ou ce CD en lieu sûr.)
  11. Spécifiez la destination, puis cliquez sur Suivant.
Pour plus d'informations sur le système de fichiers EFS, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
Système de fichiers EFS dans Windows 2000
http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx (http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx)

Système de fichiers EFS dans Windows XP et Microsoft Windows Server 2003
http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx (http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx)

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
Mots-clés : 
kbhowto kbinfo kbenv kbproductlink KB223316
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store