La possibilité de chiffrer des données - à la fois les données en transit (avec IPSec) et les données stockées sur le disque (avec le système de chiffrement) sans avoir recours à un logiciel tiers est l’un des principaux avantages de Windows 2000 et XP / 2003 par rapport aux versions antérieures de Microsoft. systèmes d'exploitation. Malheureusement, de nombreux utilisateurs Windows ne profitent pas de ces nouvelles fonctionnalités de sécurité ou, s’ils les utilisent, ne comprennent pas tout à fait ce qu’ils font, comment ils fonctionnent et quelles sont les meilleures pratiques pour en tirer le meilleur parti. Dans cet article, nous aborderons EFS: son utilisation, ses vulnérabilités et son intégration possible dans votre plan de sécurité réseau global.
La possibilité de chiffrer des données - à la fois les données en transit (avec IPSec) et les données stockées sur le disque (avec le système de chiffrement) sans avoir recours à un logiciel tiers est l’un des principaux avantages de Windows 2000 et XP / 2003 par rapport aux versions antérieures de Microsoft. systèmes d'exploitation. Malheureusement, de nombreux utilisateurs Windows ne profitent pas de ces nouvelles fonctionnalités de sécurité ou, s’ils les utilisent, ne comprennent pas tout à fait ce qu’ils font, comment ils fonctionnent et quelles sont les meilleures pratiques pour en tirer le meilleur parti.
J'ai discuté de l'utilisation d'IPSec dans un article précédent; Dans cet article, je veux parler d'EFS: son utilisation, ses vulnérabilités et son intégration possible dans votre plan de sécurité réseau global.
Le but de EFS
Microsoft a conçu EFS pour fournir une technologie basée sur une clé publique qui agirait comme une sorte de "dernière ligne de défense" pour protéger vos données stockées des intrus. Si un pirate informatique intelligent passe outre à d’autres mesures de sécurité - passe au travers de votre pare-feu (ou obtient un accès physique à l’ordinateur), annule les autorisations d’accès pour obtenir des privilèges d’administrateur - EFS peut toujours l’empêcher de lire les données dans le répertoire. document crypté. Cela est vrai à moins que l'intrus ne puisse se connecter en tant qu'utilisateur ayant chiffré le document (ou, sous Windows XP / 2000, un autre utilisateur avec lequel cet utilisateur a un accès partagé).
Il existe d'autres moyens de chiffrer les données sur le disque. De nombreux éditeurs de logiciels proposent des produits de chiffrement de données compatibles avec diverses versions de Windows. Ceux-ci incluent ScramDisk, SafeDisk et PGPDisk. Certaines utilisent le chiffrement au niveau de la partition ou créent un lecteur virtuel chiffré, dans lequel toutes les données stockées dans cette partition ou sur ce lecteur virtuel seront chiffrées. D'autres utilisent le chiffrement au niveau des fichiers, ce qui vous permet de chiffrer vos données fichier par fichier, quel que soit leur lieu de résidence. Certaines de ces méthodes utilisent un mot de passe pour protéger les données; Ce mot de passe est entré lors du cryptage du fichier et doit être saisi à nouveau pour le décrypter. EFS utilise des certificats numériques liés à un compte d'utilisateur spécifique pour déterminer le moment où un fichier peut être déchiffré.
Microsoft a conçu EFS pour qu'il soit convivial, et il est en effet pratiquement transparent pour l'utilisateur. Crypter un fichier - ou un dossier entier - est aussi simple que de cocher une case dans les paramètres de propriétés avancées du fichier ou du dossier.
Notez que le cryptage EFS n'est disponible que pour les fichiers et les dossiers stockés sur des lecteurs au format NTFS. Si le lecteur est formaté en FAT ou FAT32, il n'y aura pas de Avancée bouton sur la feuille de propriétés. Notez également que même si les options de compression ou de cryptage d'un fichier / dossier sont présentées dans l'interface sous forme de cases à cocher, elles fonctionnent plutôt comme des boutons d'option. c'est-à-dire que si vous cochez l'une, l'autre est automatiquement décochée. Un fichier ou un dossier ne peut pas être crypté et compressé en même temps.
Une fois le fichier ou le dossier crypté, la seule différence visible est que les fichiers / dossiers cryptés s'affichent dans l'explorateur dans une couleur différente, si la case correspondante est cochée. Afficher les fichiers NTFS chiffrés ou compressés en couleur est sélectionné dans les Options des dossiers (configuré via Outils | Options des dossiers | Onglet Affichage dans l'explorateur Windows).
L'utilisateur qui a chiffré le document n'a jamais à s'inquiéter de le déchiffrer pour y accéder. Lorsqu’il / elle l’ouvre, il est automatiquement et de manière transparente déchiffré - à condition que l’utilisateur soit connecté avec le même compte utilisateur que lorsqu’il a été crypté. Si quelqu'un d'autre tente d'y accéder, le document ne s'ouvrira pas et un message informera l'utilisateur que l'accès est refusé.
Que se passe-t-il sous le capot?
Bien que l’EFS semble incroyablement simple à l’utilisateur, il ya beaucoup à faire pour que cela se produise. Le chiffrement symétrique (clé secrète) et asymétrique (clé publique) sont utilisés conjointement pour tirer parti des avantages et des inconvénients de chacun.
Lorsqu'un utilisateur utilise initialement EFS pour chiffrer un fichier, le compte d'utilisateur est attribué à une paire de clés (clé publique et clé privée correspondante), générée par les services de certificat - si une autorité de certification est installée sur le réseau - ou auto-signée par EFS. La clé publique sert au chiffrement et la clé privée au déchiffrement …
Pour lire l'article complet et voir les images en taille réelle des figures, cliquez ici: Où EFS s'intègre-t-il dans votre plan de sécurité?
