Chiffrement d'un fichier
par EFS
Généralités Schémas Pratiques
courantesSauvegarde
et restaurationTechniques
avancéesLes agents de
récupérationEn cas de
problème
Chiffrement d'un fichier
par EFS
Pour pouvoir être chiffré, un fichier ou dossier doit :
- Appartenir à une partition NTFS.
- Ne pas avoir l'attribut lecture seule.
- Ne pas avoir l'attribut système.
- Être différent du répertoire racine de la partition (cas d'un dossier)
- Ne pas être déjà chiffré par un autre compte utilisateur.
Exemple :
L'utilisateur "Homer" (simple membre du groupe Utilisateurs du domaine) a créé un document texte, nommé "Document chiffré par Homer.txt" dans une partition de type NTFS. Dans l'explorateur de Windows, le fichier apparaît en noir, ce qui indique que c'est un fichier ni chiffré, ni compressé.
On décide alors de le chiffrer.
Depuis l'explorateur de Windows, sélectionner le fichier, clic droit, puis ouvrir les propriétés du fichier :
et appuyer sur le bouton Avancé
Une boite de dialogue apparaît :
Cocher la case "Crypter le contenu pour sécuriser les données"
et appuyer sur le bouton OK
Si le dossier contenant le fichier n'est pas lui-même chiffré, un avertissement apparaît, invitant à chiffrer le fichier et le dossier.
Explication :
Lors de l'ouverture d'un fichier chiffré, Windows commence par créer dans le dossier un fichier temporaire en clair, qui est chargé en mémoire par l'application, puis ce fichier est détruit.
Si le dossier n'est pas chiffré, il y a donc un risque (certes très faible) d'accès aux données en clair via ce fichier temporaire.
Si le dossier est lui-même chiffré, il n'y a aucun risque.
Dans la réalité, le dossier en tant que tel n'est pas réellement chiffré, mais si on y crée le moindre fichier, ce fichier sera automatiquement chiffré, sans qu'on le demande explicitement .
Dans cet exemple (pédagogique), on a décidé de ne chiffrer que le fichier.Appuyer sur le bouton OK
Dans l'explorateur de Windows, le fichier apparaît désormais en vert, ce qui indique que c'est un fichier chiffré.
(pour rappel, les fichiers compressés apparaissent en bleu)
Pour chiffrer ou déchiffrer plus rapidement un fichier, il est possible d'installer un menu contextuel dans l'explorateur en ajoutant dans la clef suivante :
HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced
entrée "EncryptionContextMenu"
de type REG_DWORD
valeur 1On peut réaliser simplement cette modification en fusionnant ce fichier .reg :
(fermer puis rouvrir la session)
Suivant que le fichier sélectionné est chiffré ou non chiffré, le menu contextuel est "Décrypter" ou "Crypter"
Désormais, seul Homer peut ouvrir ce fichier. Par exemple, si un autre utilisateur (ici un administrateur depuis un autre ordinateur) tente de l'ouvrir, quelle que soit l'application utilisée, un message d'erreur s'affiche :
Avec EditPlus :
Avec Hex Workshop (éditeur hexadécimal) :
Copie du fichier :
Ajout
d'autre(s) utilisateur(s) pouvant accéder à un fichier ou dossier chiffré
Cette fonctionnalité est apparue seulement avec Windows XP.
Elle n'est donc pas disponible sous Windows 2000
Il possible (en dehors du ou des agents de récupération)
d'ajouter un plusieurs autres utilisateurs capables d'accéder à des
fichiers chiffrés d'un utilisateur donné.
La procédure est la suivante :
Depuis l'explorateur, sélectionner le fichier déjà chiffré, afficher ses propriétés, appuyer sur le bouton avancé.
La boite de dialogue qui indique que ce fichier est chiffré fait apparaître un bouton Détails.
L'action sur ce bouton fait apparaître une nouvelle boite de dialogue, qui contient la liste actuelle des utilisateurs autorisés à accéder au fichier. La liste supérieure contient les noms des comptes utilisateurs ordinaires (pour lesquels un DDF est créé dans le fichier).
la liste inférieure contient les noms des comptes spéciaux désignés comme agents de récupération (pour lesquels un DRF est créé dans le fichier).
Pour ajouter un compte ordinaire, appuyer sur le bouton Ajouter
Une boite de dialogue s'ouvre alors : Un liste indique tous les comptes disponibles pour cette opération d'ajout.
- soit automatiquement lors du 1er chiffrement d'un fichier
- soit volontairement (voir plus loin).
On peut éventuellement effectuer une recherche d'un autre compte par action sur le bouton Rechercher un utilisateur.
L'action sur ce bouton ouvre une autre boite de dialogue standard de recherche d'un objet(compte, ordinateur, groupe, ...) dans un domaine ou groupe de travail. On peut soit saisir directement le nom du compte, soit appuyer sur le bouton Avancé qui ouvre une boite dialogue de recherche avancée.
L'action sur le bouton Rechercher remplit la liste située dans la partie inférieure de la boite dialogue.
On sélectionne alors le compte désiré, et on appuie sur OK.
Puis on appuie sur OK Si le compte sélectionné ne possède aucun certificat, un message d'erreur est affiché : On reprend alors la sélection dans la boite de dialogue initiale, et on choisit un des comptes affichés :
et on appuie sur OK
La liste des utilisateurs autorisés est alors actualisée :
Désormais, MARGE peut accéder au fichier bien qu'il soit chiffré au départ pour HOMER.
Cette autorisation porte uniquement sur le chiffrement !
Si le compte MARGE n'a pas reçu les droits NTFS nécessaires d'accès au fichier (lecture, écriture,..), l'ouverture du fichier sera refusée.
Donc il faudra veiller à accorder les droits NTFS si le compte ajouté n'est pas administrateur :
Cette opération d'ajout de compte ne peut être effectuée que sous le compte qui a chiffré le fichier la 1ère fois.
Par exemple, MARGE a chiffré un fichier, et a donné à HOMER le contrôle total NTFS sur ce fichier.
Malgré cela, HOMER ne peut l'ouvrir en raison du chiffrementSi HOMER veut s'ajouter lui-même dans la liste des comptes autorisés à accéder à ce fichier chiffré, l'appui sur le bouton Détails provoque un message d'erreur émis par EFS : Seule MARGE peut le faire (et elle seule).
Par exemple, même le compte administrateur, désigné comme agent de récupération, n'en a pas le pouvoir.
Il peut afficher la liste des comptes autorisés, mais il ne peut pas en ajouter, et dans ce cas, le message d'erreur est légèrement différent :
