Exporter (0) Imprimer
Développer tout

Modifications apportées au système de fichiers EFS

Mis à jour: janvier 2010

S'applique à: Windows 7, Windows Server 2008 R2

Le système de fichiers EFS est une technologie de chiffrement de fichier importante utilisée pour stocker des fichiers chiffrés sur des volumes du système de fichiers NTFS. Les fichiers chiffrés ne peuvent pas être utilisés si l'utilisateur ne connaît pas les clés nécessaires au déchiffrement des informations. Le système de fichiers EFS prend en charge les algorithmes de chiffrement standard, notamment AES (Advanced Encryption Standard), SHA (Secure Hash Algorithm), le chiffrement à courbe elliptique (ECC), le chiffrement basé sur des cartes à puce et d'autres fonctionnalités. À mesure que les standards de chiffrement évoluent et que les anciens algorithmes deviennent moins sécurisés, les nouveaux algorithmes de chiffrement doivent être incorporés afin d'aider les utilisateurs à protéger leurs données.

Prise en charge EFS d'ECC

Dans Windows 7, l'architecture d'EFS a été modifiée pour incorporer ECC. Cela permet au système de fichiers EFS d'être compatible aux conditions de chiffrement Suite B tel que défini par la National Security Agency pour répondre aux besoins des agences gouvernementales américaines pour protéger les informations classées. La conformité à la Suite B exige l'utilisation des algorithmes de chiffrement AES, SHA et ECC pour la protection des données. La Suite B n'autorise pas le chiffrement RSA.

Le système de fichiers EFS dans Windows 7 prend en charge l'exploitation en mode mixte des algorithmes ECC et RSA. Cela permet la compatibilité descendante avec les fichiers EFS qui ont été créés à l'aide d'algorithmes pris en charge dans les versions antérieures de Windows. Cela peut être utile dans les organisations qui utilisent l'algorithme RSA et souhaitent aussi utiliser l'algorithme ECC pour se préparer à la mise en conformité à la Suite B.

Utilisation de certificats auto-signés

Le paramètre par défaut pour les stratégies de clé publique EFS autorise EFS à générer des certificats auto-signés lorsqu'aucune autorité de certification n'est disponible. Certaines organisations n'autorisent pas les certificats auto-signés en raison des incidences sur la sécurité des informations. Si vous désactivez ce paramètre, une autorité de certification de confiance doit affecter un certificat aux utilisateurs avant qu'ils puissent utiliser EFS.

Si vous autorisez les certificats auto-signés, vous pouvez spécifier la longueur de la clé de chiffrement utilisée lors du chiffrement des fichiers et dossiers. Par défaut, EFS utilise une clé de 2 048 bits pour les certificats RSA auto-signés et de 256 bits pour les certificats ECC. Les clés RSA et ECC suivantes sont disponibles :

  • RSA 1 024 bits

  • RSA 2 048 bits

  • RSA 4 096 bits

  • RSA 8 192 bits

  • RSA 16 384 bits

  • ECC 256 bits

  • ECC 384 bits

  • ECC 521 bits

Modifications apportées à la stratégie de groupe pour EFS

La procédure d'activation d'EFS est identique en raison de la prise en charge d'ECC. Cependant, des options d'administration associées à ECC ont été ajoutées. Spécifiquement, les paramètres de stratégie de groupe peuvent être utilisés par les administrateurs pour interdire la création de fichiers EFS à l'aide d'algorithmes qui ne sont pas compatibles Suite B. Le paramètre de stratégie pour EFS se trouve dans l'Éditeur de stratégie de groupe locale sous Stratégie de l'ordinateur local\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique\Système de fichiers EFS.

Une fois les paramètres de stratégie EFS activés et configurés, les paramètres de stratégie de groupe permettent de spécifier le mode de prise en charge d'ECC. Sous Stratégies de clé publique, ouvrez les propriétés Système de fichiers EFS (Encrypting File System). Ensuite, dans l'onglet Général, sous Chiffrement à courbe elliptique, sélectionnez l'option appropriée : Autoriser pour activer l'utilisation des algorithmes ECC et RSA, Exiger pour autoriser uniquement les algorithmes de chiffrement ECC ou Ne pas autoriser pour utiliser uniquement le chiffrement RSA.

noteRemarque
Ces paramètres de stratégie s'appliquent uniquement lorsqu'un fichier ou un dossier est chiffré initialement. Si un fichier ou dossier était chiffré avant que ce paramètre ne soit configuré, l'utilisateur a encore accès au contenu et il sera chiffré à l'aide de l'algorithme appliqué à ce moment là.

Sélectionner Exiger n'applique pas l'algorithme AES pour la clé de chiffrement de fichier ; seule l'utilisation d'un algorithme ECC est appliquée. Tous les algorithmes ECC ne sont pas compatibles Suite B.

Modifications apportées à l'outil en ligne de commande Cipher.exe

Les options /K et /R de Cipher.exe incluent un paramètre optionnel /ECC:length, qui permet de générer les clés ECC. La longueur des clés ECC peut être spécifiée (256, 384 ou 521 bits). Ce paramètre est ignoré sauf si un certificat auto-signé est créé.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft