Utilisation du système de fichiers de cryptage dans Windows Server 2003

Paru le 17-09-2004

Ce document fournit des exemples de procédure permettant de montrer les capacités, en termes d'utilisateurs finaux et d'administration, du système de fichiers de cryptage (EFS, Encrypting File System) compris dans le système d'exploitation Windows Server 2003.

Sur cette page

Introduction
Présentation
Scénarios utilisateur
Scénarios d'administration
Autres ressources

Introduction

Guides pas à pas

Les guides pas à pas pour le déploiement de Windows Server 2003 fournissent une expérience pratique pour de nombreuses configurations de système d'exploitation courantes. Les guides commencent par établir une infrastructure réseau commune via l'installation de Windows Server 2003, la configuration d'Active Directory®, l'installation d'une station de travail Windows XP Professionnel et l'ajout de cette station de travail à un domaine. Les guides pas à pas ultérieurs partent du principe que vous avez déjà mis en place cette infrastructure réseau commune. Si vous ne souhaitez pas suivre cette infrastructure réseau commune, vous devez apporter les modifications appropriées lors de l'utilisation de ces guides.

La mise en place de l'infrastructure réseau commune nécessite que vous ayez lu et appliqué les guides suivants :

• 1ère partie : Installation de Windows Server 2003 en tant que contrôleur de domaine

• 2ème partie : Installation d'une station de travail Windows XP Professionnel et connexion à un domaine

Une fois que vous avez configuré l'infrastructure réseau commune, vous pouvez vous reporter à n'importe quel guide pas à pas supplémentaire. Notez que, dans certains guides pas à pas, d'autres conditions préalables peuvent venir s'ajouter à celles déjà mentionnées pour la mise en place de l'infrastructure réseau commune. Toute condition préalable supplémentaire sera indiquée dans le guide pas à pas correspondant.

Microsoft Virtual PC

Les guides pas à pas pour le déploiement de Windows Server 2003 peuvent être implémentés dans un environnement de laboratoire ou à l'aide de technologies de virtualisation telles que Microsoft Virtual PC 2004 ou Microsoft Virtual Server 2005. La technologie de la machine virtuelle permet aux clients d'exécuter simultanément plusieurs systèmes d'exploitation sur un seul serveur physique. Virtual PC 2004 et Virtual Server 2005 sont conçus pour offrir un meilleur rendement d'exécution en termes de test et développement de logiciels, migration d'applications héritées et scénarios de consolidation de serveur.

Bien que les guides pas à pas de déploiement de Windows Server 2003 supposent que toutes les configurations ont lieu dans un environnement de laboratoire, la plupart des configurations peuvent s'appliquer dans un environnement virtuel sans modification.

L'application des concepts présentés dans ces guides pas à pas dans un environnement virtuel dépasse le cadre de ce document.

Remarques importantes

Les exemples de sociétés, organisations, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et événements décrits ici relèvent de la fiction, et aucun lien avec une société, organisation, produit, nom de domaine, adresse de messagerie, logo, personne, lieu ou événement réel n'en peut être déduit.

Cette infrastructure commune répond à des objectifs d'utilisation sur un réseau privé. Le nom de société fictif et le nom DNS (Domain Name System) utilisés dans l'infrastructure commune ne sont pas enregistrés et ne peuvent donc pas être utilisés sur Internet. Vous ne devez pas utiliser ce nom sur un réseau public ou sur Internet.

La structure du service Active Directory pour cette infrastructure commune est conçue pour illustrer la gestion des modifications et de la configuration de Windows Server 2003 et son interaction avec Active Directory. Elle n'a pas été conçue comme modèle de configuration d'Active Directory pour une organisation.

Présentation

Le système de fichiers EFS inclus dans le système d'exploitation Windows Server 2003 se base sur le cryptage par clé publique et tire parti de l'architecture CryptoAPI de Windows Server 2003. Chaque fichier est crypté à l'aide d'une clé de cryptage de fichier générée de façon aléatoire, indépendante de la paire de clés publique/privée d'un utilisateur.

Le cryptage des fichiers peut utiliser tous les algorithmes symétriques. La version du système de fichiers EFS utilise la norme de cryptage des données X ou DESX (128 bits en Amérique du Nord, 40 bits dans le reste du monde) comme algorithme de cryptage. Les versions futures permettront d'autres schémas de cryptage. Le système de fichiers EFS prend en charge le cryptage et le décryptage des fichiers stockés sur des lecteurs locaux et des serveurs de fichiers distants.

Interaction utilisateur

La configuration par défaut du système de fichiers EFS permet aux utilisateurs de crypter des fichiers sans aucun effort administratif. Ce système génère une paire de clés publiques et un certificat de cryptage de fichier au premier cryptage d'un fichier par un utilisateur.

Le cryptage et le décryptage de fichiers peut s'effectuer pour des fichiers individuels ou pour un dossier entier, sous-dossiers compris. Le cryptage des dossiers s'effectue de façon transparente. Tous les objets créés dans un dossier marqué pour être crypté sont automatiquement cryptés. Chaque fichier possède une clé de cryptage de fichier unique, ce qui sécurise le processus de changement de nom des fichiers. Lorsque vous renommez un fichier d'un dossier crypté dans un dossier non crypté d'un même volume, le fichier reste crypté. Cependant, si vous copiez un fichier non crypté dans un dossier crypté, l'état du fichier sera modifié : il sera alors crypté. Des outils de ligne de commande et des interfaces d'administration sont fournis pour les utilisateurs expérimentés et les agents de récupération.

Récupération des données

Le système de fichiers EFS comporte un système de récupération des données intégré. L'infrastructure de sécurité de Windows Server 2003 implique la configuration des clés de récupération de données. Vous ne pouvez utiliser le cryptage des fichiers que si le système est configuré avec une ou plusieurs clés de récupération. Le système de fichiers EFS permet aux agents de récupération de configurer les clés publiques utilisées pour récupérer des données cryptées lorsqu'un utilisateur quitte l'entreprise. La clé de récupération ne permet de retrouver que la clé de cryptage de fichier, mais en aucun cas la clé privée d'un utilisateur. L'agent de récupération ne peut donc récupérer aucune autre information privée. La récupération des données est destinée aux organisations souhaitant pouvoir récupérer des données cryptées par un employé.

Une stratégie de récupération peut être définie via une stratégie de groupe dans un domaine Windows Server 2003. La stratégie est appliquée à l'ensemble des ordinateurs du domaine et contrôlée par les administrateurs de domaines qui délèguent généralement le contrôle à des comptes administrateurs de sécurité des données définis. Le contrôle des personnes autorisées à récupérer des données cryptées s'en trouve ainsi renforcé et bénéficie d'une plus grande souplesse. Le système de fichiers EFS prend en charge plusieurs agents de récupération en acceptant plusieurs configurations de récupération des données. Ces fonctionnalités assurent la redondance et la souplesse nécessaires aux organisations pour mettre en place leurs procédures de récupération.

Conditions préalables

• 1ère partie : Installation de Windows Server 2003 en tant que contrôleur de domaine

• 2ème partie : Installation d'une station de travail Windows XP Professionnel et connexion à un domaine

• Guide pas à pas pour la gestion du service Active Directory

• Guide pas à pas de l'ensemble des fonctionnalités de stratégie de groupe

Scénarios utilisateur

Cryptage d'un dossier ou d'un fichier

Pour crypter un dossier ou un fichier, vous pouvez utiliser l'Explorateur Windows ou l'utilitaire de ligne de commande, Cipher.exe. Cette section décrit les deux procédures. Ce guide suppose que vous exécutez les exercices du scénario utilisateur sur un ordinateur exécutant Windows XP Professionnel.

Pour crypter un dossier ou un fichier à l'aide de l'Explorateur Windows

1. Sur HQ-CON-WRK-01, ouvrez une session en tant que mike@contoso.com. Si le système vous le demande, modifiez le mot de passe de Mike.

2. Cliquez sur le bouton Démarrer, pointez sur Programmes, Accessoires, puis cliquez sur Explorateur Windows.

3. Cliquez avec le bouton droit sur le dossier ou le fichier à crypter (dans cet exemple, un fichier créé sous Mes documents, nommé Fichiers cryptés), puis sélectionnez Propriétés.

4. Sous l'onglet Général de la boîte de dialogue Propriétés de Fichiers cryptés, cliquez sur Avancé.

5. Dans la boîte de dialogue Attributs avancés, activez la case à cocher Crypter le contenu pour sécuriser les données, comme indiqué dans la figure 1, puis cliquez sur OK.

   
   Figure 1.  Attributs avancés

6. Dans la boîte de dialogue Propriétés de Fichiers cryptés, cliquez sur OK.

7. Le système vous demandera peut-être si vous souhaitez crypter le dossier et son contenu ou uniquement le dossier. Si le dossier est vide, aucun message ne s'affichera. S'il contient des objets, optez pour le cryptage du dossier et de son contenu, puis cliquez sur OK.

8. Une boîte de dialogue s'affiche et vous indique l'état de cryptage du dossier ou du fichier. Cliquez sur OK.

Pour crypter un dossier ou un fichier à l'aide de la ligne de commande

1. Pour crypter un dossier, cliquez sur le bouton Démarrer, puis sur Exécuter. Tapez cmd, puis cliquez sur OK. Par exemple, à l'invite de commandes, tapez :

   cipher /e /s:"C:\Documents and Settings\Mike\Mes documents\Fichiers cryptés"

2. Appuyez sur Entrée. Vous devez obtenir des résultats similaires à ceux indiqués dans la figure 2.

   
   Figure 2.  Cryptage à partir de la ligne de commande

Décryptage d'un dossier ou d'un fichier

Comme pour le cryptage, vous pouvez utiliser l'Explorateur Windows ou un utilitaire de ligne de commande pour décrypter un dossier ou un fichier. Cette section décrit les deux procédures. Notez que vous n'avez pas besoin de décrypter un fichier pour l'ouvrir et le modifier. Le décryptage d'un fichier permet à d'autres utilisateurs d'accéder à ce fichier.

Pour décrypter un dossier ou un fichier à l'aide de l'Explorateur Windows

1. Cliquez sur le bouton Démarrer, pointez sur Programmes, Accessoires, puis cliquez sur Explorateur Windows.

2. Cliquez avec le bouton droit sur le dossier ou le fichier souhaité, puis sélectionnez Propriétés.

3. Sous l'onglet Général de la boîte de dialogue Propriétés, cliquez sur Avancé.

4. Dans la boîte de dialogue Attributs avancés, désactivez la case à cocher Crypter le contenu pour sécuriser les données, puis cliquez sur OK.

5. Dans la boîte de dialogue Propriétés de Fichiers cryptés, cliquez sur OK.

6. Le système vous demande si vous souhaitez décrypter le dossier et son contenu ou uniquement le dossier. Activez la case à cocher Appliquer les modifications à ce dossier et à tous les sous-dossiers et fichiers, puis cliquez sur OK.

   Remarque :  Il est recommandé de crypter les dossiers et non des fichiers individuels, car de nombreuses applications ignorent le cryptage et ne peuvent donc afficher le fichier en texte clair.

Pour décrypter un dossier ou un fichier à l'aide de la ligne de commande

1. Pour décrypter un dossier, cliquez sur le bouton Démarrer, puis sur Exécuter. Tapez cmd, puis cliquez sur OK. Par exemple, à l'invite de commandes, tapez :

   cipher /d /s:"C:\Documents and Settings\Mike\Mes documents\Fichiers cryptés"

2. Appuyez sur Entrée.

3. Fermez la fenêtre Invite de commandes.

Copie d'un dossier ou d'un fichier crypté

Cette section détaille les procédures et les limitations propres à la copie de dossiers ou de fichiers cryptés sur le même volume et d'un volume à un autre.

• Pour copier un fichier ou un dossier sur le même ordinateur à partir d'une partition de système de fichiers de Windows NT (NTFS, NT File System) d'un emplacement de Windows Server 2003 vers une autre partition NTFS d'un emplacement de Windows Server 2003. Copiez le fichier ou le dossier comme vous le feriez pour un fichier non crypté. Utilisez l'Explorateur Windows ou l'invite de commandes. La copie est cryptée.

• Pour copier un fichier ou un dossier sur le même ordinateur à partir d'une partition NTFS d'un volume Windows Server 2003 vers une partition de table d'allocation des fichiers (FAT, File Allocation Table). Copiez le fichier ou le dossier comme vous le feriez pour un fichier non crypté. Utilisez l'Explorateur Windows ou l'invite de commandes. Le système de fichiers de destination ne prenant pas en charge le cryptage, la copie est en texte clair.

• Pour copier un fichier ou un dossier sur un ordinateur différent si tous deux utilisent les partitions NTFS dans Windows Server 2003. Copiez le fichier ou le dossier comme vous le feriez pour un fichier non crypté. Utilisez l'Explorateur Windows ou l'invite de commandes. Si l'ordinateur distant vous permet de crypter les fichiers, la copie est cryptée ; dans le cas contraire, elle est en texte clair. Notez que l'ordinateur distant doit être approuvé pour la délégation ; dans un environnement de domaine, le cryptage à distance n'est pas activé par défaut.

• Pour copier un fichier ou un dossier sur un ordinateur différent à partir d'une partition NTFS d'un emplacement de Windows Server 2003 vers une partition FAT ou NTFS d'un emplacement de Microsoft Windows NT ® 4.0. Copiez le fichier ou le dossier comme vous le feriez pour un fichier non crypté. Utilisez l'Explorateur Windows ou l'invite de commandes. Le système de fichiers de destination ne prenant pas en charge le cryptage, la copie est en texte clair.

Déplacement ou modification du nom d'un dossier ou d'un fichier crypté

Cette section détaille les procédures et les limitations propres au déplacement de dossiers ou de fichiers cryptés sur le même volume et d'un volume à un autre.

• Pour déplacer ou modifier le nom d'un fichier ou d'un dossier au sein d'un même volume. Déplacez le fichier comme s'il s'agissait d'un fichier non crypté. Utilisez l'Explorateur Windows, le menu contextuel ou l'invite de commandes. Le fichier ou le dossier de destination reste crypté.

• Pour déplacer un fichier ou un dossier d'un volume à un autre. Il s'agit essentiellement d'une opération de copie. Utilisez la section précédente, Copie d'un dossier ou d'un fichier crypté.

Suppression d'un dossier ou d'un fichier crypté

Si vous disposez d'un accès permettant de supprimer le fichier ou le dossier, vous pouvez le faire comme vous le feriez s'il n'était pas crypté. La suppression d'un dossier ou d'un fichier crypté n'est pas limitée à l'utilisateur qui a effectué le cryptage initial.

Sauvegarde d'un dossier ou d'un fichier crypté

• Sauvegarde par copie. Une sauvegarde créée à l'aide de la commande ou de l'option de menu Copier peut générer des fichiers en texte clair, comme expliqué précédemment dans la section Copie d'un dossier ou d'un fichier crypté.

• Sauvegarde à l'aide de l'utilitaire de sauvegarde de Windows Server 2003 ou de tout autre utilitaire de sauvegarde prenant en charge les fonctionnalités de Windows Server 2003. Cette méthode est recommandée pour la sauvegarde de fichiers cryptés. La sauvegarde conserve le cryptage des fichiers, et la personne opérant la sauvegarde n'a pas besoin d'accéder à des clés privées pour mener l'opération à bien ; il lui suffit de pouvoir accéder au fichier ou au dossier.

Restauration d'un dossier ou d'un fichier crypté

Les opérations de restauration sont semblables à celles utilisées pour la sauvegarde de fichiers cryptés. Cette section détaille les procédures et les limitations propres à la restauration de fichiers cryptés sauvegardés sur l'ordinateur sur lequel la sauvegarde a été effectuée et sur un autre ordinateur.

• Restauration par copie. Une restauration effectuée à l'aide de la commande ou de l'option de menu Copier peut générer des fichiers en texte clair, comme expliqué précédemment dans la section Copie d'un dossier ou d'un fichier crypté.

• Restauration à l'aide de l'utilitaire de sauvegarde de Windows Server 2003 ou de tout autre utilitaire de sauvegarde prenant en charge les fonctionnalités de Windows Server 2003. Cette méthode est recommandée pour la restauration de fichiers cryptés. L'opération de restauration conserve le cryptage des fichiers, et l'agent de restauration n'a pas besoin d'accéder aux clés privées pour restaurer les fichiers. Une fois la restauration terminée, l'utilisateur détenant la clé privée peut utiliser le fichier normalement.

Restauration de fichiers sur un autre ordinateur

Si vous souhaitez pouvoir utiliser des fichiers cryptés sur un ordinateur autre que celui sur lequel les fichiers ont été cryptés, vous devez vérifier que votre certificat de cryptage et la clé privée associée sont disponibles sur l'autre système. Vous pouvez, pour ce faire, utiliser un profil itinérant ou déplacer manuellement vos clés.

• Utilisation d'un profil itinérant. Demandez à votre administrateur de vous définir un profil itinérant si vous n'en avez pas encore. Une fois que vous disposez d'un profil itinérant, les clés de cryptage que vous utilisez sont les mêmes sur tous les ordinateurs sur lesquels vous ouvrez une session en utilisant le compte d'utilisateur correspondant. Même si vous utilisez des profils itinérants, il se peut que vous souhaitiez sauvegarder votre certificat de cryptage et la clé privée. Cependant, si vous perdez les clés vous permettant de décrypter un fichier, vous pouvez demander à l'agent de récupération défini (par défaut, l'administrateur local ou de domaine) de récupérer vos fichiers cryptés.

• Déplacement manuel de clés. Avant de déplacer vos clés manuellement, vous devez sauvegarder votre certificat de cryptage et la clé privée. Vous pouvez ensuite les restaurer sur un autre système.

Pour sauvegarder votre certificat de cryptage et la clé privée

1. Pour démarrer la console Microsoft Management Console (MMC), cliquez sur le bouton Démarrer, puis sur Exécuter. Tapez mmc dans la zone Ouvrir, puis cliquez sur OK.

2. Dans le menu Console, cliquez sur Fichier, sur Ajouter/Supprimer un composant logiciel enfichable, puis sur Ajouter.

3. Localisez et cliquez sur le composant logiciel enfichable Certificats, puis cliquez sur Ajouter. Cliquez sur Fermer, puis sur OK.

4. Localisez les certificats EFS dans votre magasin de certificats Personnel. Cliquez sur le signe plus (+) en regard de Certificats - Utilisateur actuel. Développez le dossier Personnel, puis cliquez sur Certificats.

   Remarque :  La colonne Rôles prévus du certificat approprié affichera Système de fichiers EFS (Encrypting File System) comme indiqué dans la figure 3.

   
   Figure 3.  Localisation des certificats EFS

5. Cliquez avec le bouton droit sur votre certificat, cliquez sur Toutes les tâches, puis sur Exporter. L'Assistant Exportation de certificat démarre. Cliquez sur Suivant.

6. Activez la case à cocher Oui, exporter la clé privée, puis cliquez sur Suivant.

7. Le format d'exportation disponible est Échange d'informations personnelles - PKCS #12 (.pfx). Vérifiez que la case à cocher Activer la protection renforcée est activée, puis cliquez sur Suivant.

8. Entrez et confirmez un mot de passe pour protéger le certificat exporté, puis cliquez sur Suivant.

9. Indiquez le chemin d'accès et le nom du fichier dans lequel le certificat exporté doit être stocké. Cliquez sur Suivant, puis sur Terminer pour achever l'exportation du certificat. Cliquez sur OK pour valider le message vous indiquant que l'exportation s'est déroulée avec succès.

10. Fermez la console MMC.

Pour restaurer votre certificat de cryptage et la clé privée sur un autre système

1. Copiez, sur une disquette ou un partage réseau, le fichier .pfx créé précédemment.

2. Sur un autre système, cliquez sur le bouton Démarrer pour démarrer le composant logiciel enfichable Certificats. Cliquez sur Exécuter, tapez mmc, puis cliquez sur OK.

3. Dans le menu Console, cliquez sur Fichier, sur Ajouter/Supprimer un composant logiciel enfichable, puis sur Ajouter.

4. Localisez et cliquez sur le composant logiciel enfichable Certificats, puis cliquez sur Ajouter. Si vous y êtes invité, activez la case à cocher Mon compte d'utilisateur, puis cliquez sur Terminer.

5. Cliquez sur Fermer, puis sur OK.

6. Cliquez sur le signe plus (+) pour développer Certificats - Utilisateur actuel.

7. Cliquez avec le bouton droit sur le dossier Personnel, cliquez sur Toutes les tâches, puis sur Importer.

8. Cliquez sur Suivant. L'Assistant Importation de certificat démarre.

9. Indiquez le chemin d'accès du fichier .pfx créé précédemment, puis cliquez sur Suivant. Indiquez le mot de passe d'accès aux données du certificat, puis cliquez sur Suivant.

10. Activez la case à cocher Placer tous les certificats dans le magasin suivant (par défaut), puis cliquez sur Suivant.

11. Cliquez sur Terminer. Une fois l'importation terminée, cliquez sur OK pour fermer l'Assistant.

Lorsque vous disposez des mêmes clés, vous pouvez utiliser, de façon transparente, des fichiers cryptés sauvegardés sur un autre ordinateur.

Fichiers et dossiers sur un serveur distant

Vous pouvez crypter et décrypter des fichiers et utiliser des fichiers cryptés stockés sur un autre ordinateur, de façon transparente, et ce, que vous y accédiez à distance ou que vous ouvriez une session sur l'ordinateur concerné, en local. Cependant, rappelez-vous que, lorsque vous déplacez des fichiers cryptés à l'aide de mécanismes de sauvegarde et de restauration, vous devez vous assurer de déplacer également le certificat de cryptage et les clés privées correspondants afin de pouvoir utiliser les fichiers à leur nouvel emplacement. Sans les clés privées appropriées, vous ne pourrez pas ouvrir ni décrypter les fichiers.

Remarque :  Si vous ouvrez un fichier crypté sur le réseau, les données transmises sur le réseau via ce processus ne sont pas cryptées. Le cryptage de ces données doit donc être assuré par d'autres protocoles, tels que SSL/PCT (Secure Sockets Layer/Private Communication Technology) ou IPSec (Internet Protocol Security).

Scénarios d'administration

Récupération des données sur un ordinateur autonome

Pour les exemples suivants, ouvrez une session en tant qu'Administrateur sur l'ordinateur local (HQ-CON-WRK-01, ici). Veillez à ouvrir une session localement (et non pas sur le domaine).

Pour créer un certificat de récupération par défaut (en l'absence d'autorité de certification)

1. Sur HQ-CON-WRK-01, cliquez sur le bouton Démarrer, puis sur Exécuter. Dans la zone Ouvrir, tapez cmd, puis cliquez sur OK.

2. Dans la fenêtre d'invite de commandes, tapez cipher.exe /r:dra, puis appuyez sur Entrée.

3. À l'invite, tapez un mot de passe pour sécuriser le fichier .PFX, puis tapez-le à nouveau pour le confirmer.

4. Fermez la fenêtre Invite de commandes.

Pour définir une stratégie de récupération des données

1. Cliquez sur le bouton Démarrer, puis sur Exécuter. Dans la zone Ouvrir, tapez MMC, puis cliquez sur OK.

2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

3. Cliquez sur Ajouter, accédez à Éditeur d'objets de stratégie de groupe, puis double-cliquez dessus.

4. Acceptez le paramètre par défaut Ordinateur local, cliquez sur Terminer, sur Fermer, puis sur OK.

5. Cliquez sur le signe plus (+) en regard de Stratégie de l'ordinateur local pour développer l'arborescence. Développez Configuration de l'ordinateur, Paramètres Windows, Paramètres de sécurité, puis Stratégies de clé publique. Cliquez sur Système de fichiers EFS (Encrypting File System).

6. Cliquez avec le bouton droit sur Système de fichiers EFS (Encrypting File System), puis cliquez sur Ajouter un agent de récupération de données.

7. Dans la fenêtre Assistant Ajout d'un agent de récupération, cliquez sur Suivant , sur Parcourir les dossiers, puis accédez au dossier Documents and Settings de l'administrateur. Double-cliquez sur le fichier DRA.CER, cliquez sur Suivant, puis sur Terminer. À la fin de la procédure, votre affichage doit être similaire à celui de la figure 4.

   
   Figure 4.  Agents de récupération par défaut

8. Fermez la console MMC.

   Remarque :  Pour créer une sauvegarde protégée (.PFX) du certificat de récupération, suivez les procédures détaillées dans la section Pour sauvegarder votre certificat de cryptage et la clé privée.

Sécurisation de la clé de récupération par défaut du domaine

Lors de la définition du premier contrôleur de domaine, une stratégie de récupération par défaut est configurée pour le domaine. Cette stratégie utilise un certificat auto-signé pour que l'administrateur de domaine prenne en compte l'agent de récupération.

Remarque :  Pour créer une sauvegarde protégée (.PFX) du certificat de récupération, suivez les procédures détaillées dans la section Pour sauvegarder votre certificat de cryptage et la clé privée.

Demande d'un certificat de récupération de fichier

Si vous choisissez d'utiliser les stratégies de récupération par défaut, vous n'avez pas besoin de demander de certificat de récupération de fichier. Dans certains cas, notamment lorsque le domaine requiert la présence de plusieurs agents de récupération ou lorsque la stratégie légale ou d'entreprise requiert que l'agent de récupération et l'administrateur de domaine soient deux personnes distinctes, vous pouvez avoir besoin d'identifier certains utilisateurs comme agents de récupération. Des certificats de récupération de fichiers doivent être délivrés à ces utilisateurs.

Pour ce faire, les conditions suivantes doivent être respectées :

• Une autorité de certification d'entreprise doit être disponible.

• La stratégie de l'autorité de certification d'entreprise doit permettre à l'utilisateur/agent désigné de demander et obtenir un certificat de récupération de fichier.

• Chaque utilisateur doit demander un certificat de récupération de fichier.

Pour définir une autorité de certification d'entreprise

1. Ouvrez une session sur HQ-CON-DC-01 en tant qu'administrateur de domaine.

2. Cliquez sur le bouton Démarrer, pointez sur Panneau de configuration, puis cliquez sur Ajout/Suppression de programmes.

3. Cliquez sur Ajouter/Supprimer des composants Windows.

4. Cliquez sur Services de certificats. Un message vous avertit qu'une fois les services de certificats installés, l'ordinateur ne pourra pas être renommé, ajouté à un domaine ni supprimé d'un domaine. Pour poursuivre, cliquez sur Oui, puis sur Suivant.

5. Vérifiez que le bouton radio Autorité racine d'entreprise est sélectionné, puis cliquez sur suivant.

6. Dans la fenêtre Information d'identification de l'Autorité de certification, tapez ContosoCA dans Nom commun, puis cliquez sur Suivant.

7. Cliquez sur Suivant pour accepter l'emplacement de stockage des données par défaut.

8. Si Internet Information Server (IIS) n'est pas installé, un message vous avertit que l'inscription de certificats via le Web ne sera pas disponible. Cliquez sur OK pour valider l'avertissement.

9. Si IIS est en cours d'exécution, un message vous invite à l'interrompre. Cliquez sur OK.

10. Une fois l'Assistant Composants de Windows terminé, cliquez sur Terminer. Fermez la fenêtre Ajout/Suppression de programmes.

Pour créer un groupe de sécurité pour les utilisateurs désignés comme agents de récupération

1. Cliquez sur le bouton Démarrer, pointez sur Tous les programmes, Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.

2. Cliquez avec le bouton droit sur Groupes, cliquez sur Nouveau, puis sur Groupe. Tapez Agents de récupération du domaine, puis cliquez sur OK.

3. Pour ajouter des utilisateurs à ce groupe, cliquez avec le bouton droit sur Agents de récupération du domaine sous l'unité d'organisation Groupes, cliquez sur Propriétés, puis sur l'onglet Membres.

4. Cliquez sur Ajouter, tapez Administrateur, puis cliquez deux fois sur OK. Fermez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

Pour ajouter le groupe Agents de récupération du domaine au modèle Récupération EFS

Cette procédure permet aux utilisateurs du groupe Agents de récupération du domaine de demander des certificats de récupération.

1. Cliquez sur le bouton Démarrer, pointez sur Tous les programmes, sur Outils d'administration, puis cliquez sur Sites et services Active Directory.

2. Cliquez sur Sites et services Active Directory, puis, dans le menu Affichage, cliquez sur Afficher le nœud des services.

3. Dans le volet gauche, cliquez sur le signe plus (+) en regard de Services. Répétez cette procédure pour le dossier Public Key Services.

4. Cliquez sur Certificate Templates dans le volet gauche, puis double-cliquez sur EFSRecovery dans le volet droit.

5. Cliquez sur l'onglet Sécurité, puis sur Ajouter.

6. Dans la boîte de dialogue Entrez les noms des objets à sélectionner, tapez Agents de récupération du domaine, puis cliquez sur OK.

7. Dans le volet de résultats Nom de groupe ou d'utilisateur, cliquez sur Agents de récupération du domaine. Dans le volet Autorisations pour Agents de récupération du domaine, activez les cases à cocher Autoriser en regard de Lecture et Inscrire, comme indiqué dans la figure 5.

   
   Figure 5.  Modèle de certificat Récupération EFS

8. Cliquez sur OK, puis fermez le composant logiciel enfichable Sites et services Active Directory.

Pour demander un certificat de récupération de fichier

1. Cliquez sur le bouton Démarrer, puis sur Exécuter. Tapez mmc, puis cliquez sur OK.

2. Dans le menu Fichier, sélectionnez Ajouter/Supprimer un composant logiciel enfichable, puis cliquez sur Ajouter.

3. Double-cliquez sur Certificats, sélectionnez Mon compte d'utilisateur, puis cliquez sur Terminer. Cliquez sur Fermer, puis sur OK.

4. Cliquez sur le signe plus (+) en regard du dossier Certificats - Utilisateur actuel pour le développer.

5. Dans le volet gauche, cliquez avec le bouton droit sur Personnel, cliquez sur Toutes les tâches, puis sur Demander un nouveau certificat. L'Assistant Demande de certificat démarre.

6. La première page de l'Assistant affiche des informations. Cliquez sur Suivant pour continuer.

7. La liste des modèles de certificats s'affiche. Cliquez sur Agent de récupération EFS, comme indiqué dans la figure 6, puis cliquez sur Suivant.

   
   Figure 6.  Sélection d'un type de certificat

8. Tapez un nom convivial pour distinguer ce certificat. Vous pouvez également ajouter une description. Cliquez sur Suivant, puis sur Terminer pour demander le certificat.

9. Cliquez sur OK pour valider le message vous indiquant que la demande de certificat s'est déroulée avec succès.

Pour pouvoir créer une stratégie Récupération EFS au niveau du domaine, vous devez exporter le certificat Agent de récupération EFS créé précédemment au format .CER. Vous devez également suivre les procédures détaillées à la section Pour sauvegarder votre certificat de cryptage et la clé privée afin de créer une sauvegarde protégée (.PFX) du certificat de récupération.

Pour exporter le certificat au format .CER à des fins d'attribution via une stratégie au niveau du domaine

1. Dans la console MMC, développez le dossier Personnel.

2. Dans le volet droit, cliquez avec le bouton droit sur le certificat que vous venez de créer, cliquez sur Toutes les tâches, puis sur Exporter. Cliquez sur Suivant pour commencer le processus d'exportation.

3. Activez la case à cocher Non, ne pas exporter la clé privée, puis cliquez sur Suivant.

4. Conservez le format de fichier .cer par défaut. Cliquez sur Suivant.

5. Indiquez un chemin d'accès et un nom de fichier, puis cliquez sur Suivant.

6. Pour réaliser l'exportation, cliquez sur Terminer, puis sur OK.

7. Fermez la console MMC.

Établissement d'une stratégie de récupération pour l'ensemble du domaine

Une fois que les agents de récupération ont été identifiés et que des certificats leur ont été délivrés, l'administrateur de domaine peut ajouter ces certificats à la stratégie de récupération.

Pour ajouter des certificats à la stratégie de récupération

1. Cliquez sur le bouton Démarrer, pointez sur Tous les programmes, Outils d'administration, puis sélectionnez Stratégie de sécurité du domaine.

2. Cliquez sur le signe plus (+) en regard de Stratégies de clé publique, puis cliquez sur Système de fichiers EFS (Encrypting File System).

3. Cliquez avec le bouton droit sur Système de fichiers EFS (Encrypting File System), puis cliquez sur Ajouter un agent de récupération de données. Au démarrage de l'Assistant, cliquez sur Suivant.

4. Cliquez sur Parcourir les dossiers, accédez au fichier .CER créé dans la section précédente et ouvrez-le.

5. Cliquez sur Suivant, puis sur Terminer.

Définition d'une stratégie de récupération pour une unité d'organisation spécifique

Vous pouvez avoir à établir une stratégie de récupération unique pour un sous-ensemble d'ordinateurs de votre domaine. Vous pouvez le faire à l'aide d'objets de stratégie de groupe (GPO, Group Policy Object) en répétant la procédure décrite précédemment non plus au niveau d'un domaine mais à celui d'une unité d'organisation.

Récupération d'un dossier ou d'un fichier

Les agents de récupération peuvent avoir à récupérer des fichiers ou des dossiers lorsqu'un utilisateur perd sa clé ou quitte l'entreprise, ou pour des exigences juridiques. Le processus de récupération est similaire à celui du décryptage, une fois la clé de récupération disponible sur le système.

Pour récupérer un fichier ou un dossier

1. Sauvegardez les fichiers ou le dossier dans un fichier .bkf à partir du système sur lequel ils se trouvent.

2. Copiez le fichier .bkf sur l'ordinateur sécurisé de l'agent de récupération.

3. L'agent de récupération doit restaurer localement les fichiers ou le dossier dans le fichier .bkf sur un système sécurisé.

4. Lorsqu'une clé de récupération est installée, il suffit à l'agent de récupération d'ouvrir chaque fichier ou d'utiliser la boîte de dialogue Propriétés de l'Explorateur Windows pour décrypter des fichiers individuels ou des dossiers entiers.

Désactivation du système de fichier EFS pour un ensemble d'ordinateurs spécifique

Dans certains cas, vous pouvez avoir à vous assurer de la désactivation du système de fichiers EFS pour un ordinateur autonome ou certains ordinateurs d'une unité d'organisation. La meilleure méthode de désactivation consiste à définir une stratégie de récupération vide. Vous pouvez le faire localement sur l'ordinateur à l'aide du composant logiciel enfichable Stratégie de groupe local ou en définissant un objet GPO, au niveau de l'unité d'organisation, avec une stratégie de récupération vide.

Remarque : Il existe une différence entre stratégie vide et non-stratégie. Dans Active Directory, où la stratégie actuelle est une accumulation d'objets GPO définis à différents niveaux dans l'arborescence du répertoire, l'absence de stratégie de récupération au niveau des nœuds supérieurs (nœud de domaine, par exemple) permet l'application des stratégies de niveau inférieur. Une stratégie de récupération vide au niveau des nœuds supérieurs désactive le système de fichiers EFS en ne fournissant pas de certificats de récupération valides. Sur un ordinateur donné (autonome ou faisant partie du domaine), la stratégie actuelle doit disposer d'au moins un certificat de récupération valide pour permettre l'activation du système de fichiers EFS sur l'ordinateur. Sur un ordinateur donné, l'absence de stratégie de récupération et la présence d'une stratégie de récupération vide ont donc le même effet : la désactivation du système de fichiers EFS.

Autres ressources

Pour obtenir les dernières informations concernant Windows Server 2003, consultez ce site Web