Les agents de récupération de données

Généralités Schémas Pratiques
courantes Sauvegarde
et restauration Techniques
avancées Les agents de
récupération En cas de
problème

Rôles
Ajout d'un agent de récupération de données
- Ordinateur isolé (ou dans un groupe de travail)
- Ordinateur appartenant à un domaine
Utilisation d'un agent de récupération de données

Rôles

Un agent de récupération de données (DRA = Data Recovery Agent) :

est un compte utilisateur (local ou de domaine) possèdant un certificat désigné pour ce rôle (avec clef privée et clef publique),

a la possibilité d'accéder à n'importe quel fichier ou dossier chiffré, quel que soit l'utilisateur d'origine.

On définit un tel agent à l'aide d'une stratégie de sécurité (globale ou locale, suivant que l'on est ou non dans un domaine).

On peut en définir autant que l'on veut.

Si un DRA existe :

lors du chiffrement d'un fichier, un enregistrement supplémentaire DRF (Data Recovery Field) est intégré au fichier chiffré par l'utilisateur.
Cet enregistrement est le résultat du chiffrement de la clef symétrique (générée aléatoirement au début du processus) par la clef publique du certificat de l'agent, via un algorithme RSA 1024 bits.
il est possible de déchiffrer n'importe quel fichier chiffré si une session est ouverte sous un compte DRA.
Pour cela, EFS déchiffre le DRF, contenu dans le fichier chiffré, à l'aide de la clef privée du certificat de l'agent, via un algorithme RSA 1024 bits.
Cela fournit la clef symétrique, qui va servir alors à déchiffrer le fichier via l'algorithme DESX (ou 3DES ou AES).

La présence PAR DÉFAUT d'un DRA diffère suivant les versions de Windows :

Sous Windows 2000, est désigné DRA par défaut :
- l'administrateur local (ordinateur n'appartenant pas à un domaine)
- l'administrateur du domaine (ordinateur dans un domaine)
Donc lorsque tout utilisateur chiffre un fichier, le DRF de l'administrateur est systématiquement ajouté au DDF.

En contrepartie, si on vient à supprimer la stratégie de récupération de données, EFS est désactivé dans son ensemble.
Il est désormais impossible de chiffrer le moindre fichier.
Sous Windows XP, membre d'un domaine est désigné DRA par défaut :
- l'administrateur du domaine

Sous Windows XP, membre d'un groupe de travail ou isolé, aucun DRA n'est désigné par défaut.
Aucune stratégie de récupération de données n'est définie par défaut, il n'y a donc pas de DRA.
Donc lorsqu'un utilisateur chiffre un fichier, seul le DDF est créé.

Ce mode de fonctionnement est très dangereux, puisque si un compte est supprimé (par exemple), il n'y a aucune possibilité pour récupérer les éventuels fichiers chiffrés sous ce compte.
(même un compte administrateur ne pourra pas y accéder).

On aura donc vivement intérêt à :

Ajout d'un agent de récupération de données

La procédure diffère suivant que l'ordinateur est :

isolé (ou dans un groupe de travail)
membre d'un domaine (géré par un serveur Windows 2000 ou Windows 2003).

Dans le cas d'un domaine géré par un serveur NT4, vu que ce système ignore tout du chiffrement EFS, les stations clientes sous Windows 2000 ou Windows XP doivent être considérées comme isolées en ce qui concerne le chiffrement.
En particulier, la notion d'agent de récupération au niveau du domaine n'existe pas (et ne peut pas exister) dans ce cas précis.

N'importe quel compte utilisateur peut être désigné comme DRA, mais on aura intérêt à choisir un compte appartenant au groupe des administrateurs afin de faciliter les accès (NTFS) aux fichiers.

Ordinateur isolé (ou dans un groupe de travail)

Il faut tour d'abord posséder un certificat ayant le rôle de DRA.
Si ce n'est pas le cas, on peut le créer à l'aide de la commande CIPHER /R

La commande CIPHER /R n'existe pas dans la version de CIPHER fournie avec Windows 2000.
Cependant, la version fournie avec Windows XP ou Windows 2003 fonctionne sans problème sous Windows 2000.

Il faut ouvrir une session sous le compte que l'on veut qualifier comme agent de récupération de données.
Puis on ouvre une fenêtre de commandes et on se place dans un dossier quelconque, accessible au compte.
On exécute alors la commande suivante :
    cipher /R:nom-de-fichier
     nom-de-fichier est un nom arbitraire, mais sans extension Dans l'exemple ci-dessous, on veut créer un certificat pour le compte BART

C:\Documents and Settings\BART>cipher /R:bart
Entrez le mot de passe protégeant votre fichier .PFX :
Entrez à nouveau le mot de passe pour confirmation :

Votre fichier .CER a été créé.
Votre fichier .PFX a été créé.

Les deux fichiers apparaissent dans le dossier choisi :

Il est vivement recommandé d'effectuer des copies de sauvegarde des deux fichiers xxxxx.pfx et xxxxx.cer

Ensuite, il faut ouvrir une session sous un compte administrateur afin d'ouvrir la MMC de Stratégie de Sécurité Locale.
Cela peut être effectué directement par la commande
     secpol.msc

On sélectionne "Système de fichiers EFS"

Pour l'instant, il n'y a aucun agent de récupération de données prévu.

On fait apparaître d'un clic droit le menu contextuel et on sélectionne :
"Ajouter un agent de récupération de données"

Un assistant démarre :

Appuyer sur Suivant

Appuyer sur le bouton Parcourir les dossiers afin de sélectionner le certificat.
Le bouton Parcourir l'annuaire n'est activé que sur les ordinateurs connectés à un domaine.

Il est désactivé dans les autres cas.

Sélectionner le fichier certificat (extension .CER) qui vient d'être créé.

Le certificat apparaît alors dans la liste des agents de récupération.

Le terme USER_UNKNOWN qui apparaît est dû au fait que le nom de l'utilisateur n'est pas stocké dans le fichier certificat.

Répéter éventuellement l'ajout d'autres certificats

Appuyer sur Suivant

Si tout est correct, appuyer sur Terminer

L'utilisateur BART est désormais DRA

Il peut accéder à n'importe quel document chiffré de n'importe quel compte.

Si le chiffrement d'un fichier a eu lieu avant l'ajout du DRA, le DRA ne peut pas accéder au fichier.

Mais il suffit à l'utilisateur qui a chiffré le fichier de l'ouvrir, puis le fermer.
Cela va mettre à jour automatiquement la liste des DRA.
Détails du chiffrement avant ajout du DRA

Détails du chiffrement après ajout du DRA

Ordinateur appartenant à un domaine

Il ne faut surtout pas utiliser la méthode précédente !

En effet, le certificat a été attribué localement.
Et l'utilisation de secpol.msc ne concerne que la stratégie de sécurité locale de l'ordinateur.

Dans le cas d'un domaine, le certificat va être établi par le contrôleur de domaine.
Cela impose que le service de certificats ait été installé sur ce serveur

Dans les exemples qui suivent, le service de certificats a été installé et démarré sur le serveur SEATTLE du domaine jcb.org.
Le certificat racine a reçu le nom (arbitraire) de DOMJCB

Plusieurs méthodes sont disponibles :

1) Depuis le serveur de domaine

Si on veut créer un certificat de DRA pour le compte Administrateur (ou autre compte administrateur, peu importe), il suffit d'ouvrir la MMC
Paramètres de sécurité du domaine par défaut
Sélectionner
Paramètres Windows
   Paramètres de sécurité
      Stratégie de clé publique
         Système de fichiers EFS

Afficher le menu contextuel et sélectionner
   Créer un agent de récupération de données

Immédiatement un certificat d'agent DRA est créé, et le compte est enregistré automatiquement comme DRA.

C'est la méthode la plus simple.

Les propriétés de ce certificat sont les suivantes :

On peut aussi vérifier la présence du certificat DRA ainsi créé dans la MMC Autorité de certification du serveur :

2) Depuis une station de travail

On peut aussi demander (à distance) un certificat au service de certificats installé sur un serveur du domaine.
Pour cela, il suffit, depuis un poste client, d'ouvrir avec Internet Explorer l'URL suivant :

http://nom-du-serveur/certsrv

(dans l'exemple qui suit, on a procédé depuis une station sous Windows 2000 Pro, dans un domaine géré par le serveur "Seattle" sous Windows 2003)

Sélectionner le lien :

Demander un certificat

Sélectionner le lien :

Demande de certificat avancée

Sélectionner le lien :

Créer et soumettre une demande de requête auprès de cette Autorité de certification.

Si c'est la 1ère fois qu'une telle connexion a lieu, un message avertit de l'installation d'un Contrôle ActiveX

Microsoft Certificates Enrollment Control

Accepter son téléchargement et installation.

Pour information, le CLSID de ce contrôle est
{127698e4-e730-4e5c-a2b1-21490a70c8a1}
et le fichier est %systemroot%\system32\xenroll.dll

Sélectionner le modèle de certificat

Agent de récupération EFS

Laisser les autres champs tels quels.

Suivant le niveau de sécurité en vigueur, il se peut qu'apparaisse le message suivant :
Répondre Oui

On peut alors installer le certificat en sélectionnant le lien correspondant :

Suivant le niveau de sécurité en vigueur, il se peut qu'apparaisse le message suivant :
Répondre Oui

Le certificat est à présent installé.

Les propriétés de ce certificat sont les suivantes :

Utilisation d'un agent de récupération de données

L'accès à un document chiffré est subordonné à :

l'existence sur le disque du certificat qui a servi à son chiffrement
la conformité du mot de passe de l'utilisateur, vu qu'il a servi à chiffrer la clef privée

Si au moins l'une de ces conditions n'est pas respectée, l'accès au document sera refusé à l'utilisateur qui l'a chiffré.

Ce genre de situation peut survenir par exemple dans le cas suivant :

Dans un environnement "Groupe de travail", l'utilisateur HOMER a oublié son mot de passe, et n'a pas de disquette de réinitialisation du mot passe.
Il ne peut donc plus ouvrir de session sur l'ordinateur.

La seule solution pour corriger ce problème est qu'un administrateur redéfinisse un nouveau mot de passe pour lui.
Pour cela un utilisateur appartenant au groupe des administrateurs ouvre la MMC Utilisateurs et Groupes locaux (commande lsurmgr.msc)

Après avoir sélectionné le compte HOMER, il choisit dans le menu contextuel "Définir le mot de passe"

Cela provoque l'apparition d'un message d'avertissement :

Appuyer sur Continuer

Une boite de dialogue permet la saisie du nouveau mot de passe :

Appuyer sur OK

Mais HOMER ne peut plus accéder à un de ses fichiers chiffré précédemment, car le système ne peut plus déchiffrer sa clef privée avec ce nouveau mot de passe.

Pour lui permettre à nouveau l'accès au fichier, un DRA ouvre une session.
Il ouvre les propriétés du fichier concerné, et désactive son chiffrement en décochant la case correspondante :

Puis HOMER ouvre une nouvelle session.
Comme le fichier n'est plus chiffré,il peut y accéder.

Il active le chiffrement, ce qui va générer automatiquement un nouveau certificat, avec une nouvelle clef privée chiffrée par son nouveau mot de passe.

Dans les détails du chiffrement, on constate en effet que l'empreinte numérique du certificat a changé : Détails du chiffrement avec l'ancien mot de passe Détails du chiffrement avec le nouveau mot de passe

Par contre, si un utilisateur modifie lui-même son mot de passe, à l'aide du panneau de configuration Comptes d'utilisateurs, cela n'a aucune influence sur le comportement de ses fichiers déjà chiffrés.
(son certificat est mis à jour automatiquement)

Dans un environnement "Groupe de travail", l'utilisateur HOMER a oublié son mot de passe, et n'a pas de disquette de réinitialisation du mot passe. Il ne peut donc plus ouvrir de session sur l'ordinateur.
La seule solution pour corriger ce problème est qu'un administrateur redéfinisse un nouveau mot de passe pour lui. Pour cela un utilisateur appartenant au groupe des administrateurs ouvre la MMC Utilisateurs et Groupes locaux (commande lsurmgr.msc) Après avoir sélectionné le compte HOMER, il choisit dans le menu contextuel "Définir le mot de passe" Cela provoque l'apparition d'un message d'avertissement : Appuyer sur Continuer
Une boite de dialogue permet la saisie du nouveau mot de passe : Appuyer sur OK
Mais HOMER ne peut plus accéder à un de ses fichiers chiffré précédemment, car le système ne peut plus déchiffrer sa clef privée avec ce nouveau mot de passe.
Pour lui permettre à nouveau l'accès au fichier, un DRA ouvre une session. Il ouvre les propriétés du fichier concerné, et désactive son chiffrement en décochant la case correspondante :
Puis HOMER ouvre une nouvelle session. Comme le fichier n'est plus chiffré,il peut y accéder. Il active le chiffrement, ce qui va générer automatiquement un nouveau certificat, avec une nouvelle clef privée chiffrée par son nouveau mot de passe.
Dans les détails du chiffrement, on constate en effet que l'empreinte numérique du certificat a changé :	Détails du chiffrement avec l'ancien mot de passe	Détails du chiffrement avec le nouveau mot de passe


Par contre, si un utilisateur modifie lui-même son mot de passe, à l'aide du panneau de configuration Comptes d'utilisateurs, cela n'a aucune influence sur le comportement de ses fichiers déjà chiffrés. (son certificat est mis à jour automatiquement)