Encrypting File System (EFS) permet aux utilisateurs de crypter des fichiers et des dossiers, et l'ensemble de données sur les lecteurs formatés NTFS volumes. NTFS permet de définir des permissions sur les fichiers et dossiers sur un volume formaté NTFS qui contrôle l'accès à ces fichiers et dossiers. EFS vous permet de crypter des fichiers et dossiers à améliorer la sécurité de ces fichiers et dossiers. Même quand une personne non autorisée d'accéder à la gestion des fichiers et des dossiers en raison d'une mauvaise configuration des autorisations NTFS, les fichiers et les dossiers seront cryptées! Seul le propriétaire des fichiers, les utilisateurs autorisés et les agents de recouvrement sont précisés en mesure de déchiffrer les fichiers chiffrés. De cette manière, EFS assure la confidentialité des données d'entreprise contre les accès non autorisés.

EFS se sert de norme de l'industrie et des algorithmes de cryptographie à clé publique pour assurer un solide cryptage. Les fichiers qui sont cryptés sont toujours confidentielles. Même si l'ouverture de session d'authentification et les autorisations de fichiers NTFS sont destinés à protéger les données confidentielles, vous pouvez utiliser EFS pour ajouter une couche supplémentaire de sécurité. Cela permettrait de garantir que, lorsque les pirates d'un plein accès à la banque de données d'un ordinateur, les données se trouvant dans les fichiers sont protégés en raison de cryptage EFS. Une personne non autorisée ne serait pas en mesure d'ouvrir un fichier chiffré.

EFS dans Windows Server 2003 améliore encore les capacités d'EFS dans Windows 2000. Les utilisateurs qui utilisent EFS peuvent partager des fichiers cryptés avec d'autres utilisateurs sur les partages de fichiers et même des dossiers Web. Vous pouvez configurer les fonctionnalités grâce à EFS Groupe des politiques et outils de ligne de commande. EFS est bien adapté pour sécuriser les données sensibles sur les ordinateurs portables. Il travaille aussi bien pour la sécurisation des données lorsque les ordinateurs sont partagés par plusieurs utilisateurs.

Comment fonctionne EFS

EFS est solidement intégré à NTFS, et de son fichier de processus de cryptage et de décryptage sont transparents pour les utilisateurs. Qu'est-ce que cela signifie, c'est que lorsque les utilisateurs d'enregistrer un fichier, EFS crypte les données que les données sont écrites sur le disque, et lorsque les utilisateurs ouvrent un fichier, il est décrypté par EFS que les données sont lues à partir du disque. Les utilisateurs sont pour l'essentiel pas au courant de ce processus, et la nécessité de ne prendre aucune action à engager le cryptage et le décryptage EFS. Il y mai la troisième partie des technologies qui peuvent fournir des fonctionnalités de cryptage des fichiers, mais ces programmes ne sont pas complètement transparente pour les utilisateurs. Avec ces programmes, la responsabilité serait mis sur les utilisateurs de se souvenir d'utiliser le programme de cryptage. Cela conduit à la faiblesse des processus de sécurité, et pourrait créer des failles de sécurité pour les produits sensibles, des données confidentielles.

EFS utilise des clés pour chiffrer et déchiffrer les données, la cryptographie et interface de programmation d'application (CryptoAPI) architecture de fournir des fonctions cryptographiques. Même si elle peut utiliser l'entreprise autorité de certification (CA) des certificats, ce qui n'est pas une exigence. En l'absence de CA existe, EFS signe un certificat qui peut être utilisé avec le cryptage des fichiers. En raison de cette caractéristique, EFS peut fonctionner sur des ordinateurs qui sont membres d'un domaine, et sur les ordinateurs autonomes.

Les touches qui utilise EFS pour crypter et décrypter les données, est un établissement public ou privé paire de clés, et une clé de chiffrement par fichier. EFS génère une clé de chiffrement de fichier (FEK), qui est une clé de chiffrement symétrique pour chiffrer les données. La clé de chiffrement de fichier (FEK) suivant est crypté au moyen de chiffrement asymétrique à l'utilisateur en utilisant la clé publique. Chiffrement asymétrique utilise une paire de clés privées et de renforcer la sécurité. La FEK cryptée est ensuite stocké avec le fichier chiffré. Lorsque le fichier doit être déchiffré, la FEK doit être décrypté. L'utilisateur de la clé privée est utilisée pour déchiffrer le FEK. La FEK est ensuite utilisée pour déchiffrer les données du fichier.

Caractéristiques clés EFS

• EFS est activé par défaut. Cependant les utilisateurs ont besoin d'un public et privé paire de clés, et l'autorisation d'utiliser EFS.
• EFS a besoin d'un certificat d'agent de récupération pour que cela fonctionne. Il va générer le certificat si vous n'en avez pas.
• EFS ne peut crypter des fichiers lorsque le système de fichiers NTFS est utilisé.
• Le chiffrement n'a pas d'impact sur les autorisations de fichiers et de dossiers
• Vous pouvez autoriser plusieurs utilisateurs de partager des fichiers cryptés
• Lorsque vous déplacez des fichiers EFS dans un autre système de fichiers, le cryptage est supprimée.
• Lorsque vous déplacez des fichiers dans un dossier qui est chiffré, le fichier reste dans sa forme originale. Il reste, soit en clair ou cryptées.
• Lorsque vous copiez un fichier dans un dossier crypté, le fichier est crypté.
• Quand un dossier est chiffré, tous les fichiers temporaires dans ce dossier sont cryptés ainsi.
• Le cryptage est répertorié comme un attribut de fichier, et est donc affichée avec le reste des attributs du fichier.
• EFS peuvent crypter et décrypter des fichiers sur un ordinateur distant
• Fichiers hors connexion peut aussi être crypté par EFS
• Les fichiers qui sont cryptés peuvent être stockés dans des dossiers Web
• EFS précédemment utilisé Extended Data Encryption Standard (DESX) pour le chiffrement. Avec Windows Server 2003, le triple-DES (3DES) algorithme de chiffrement peut être utilisé pour améliorer la sécurité de l'EFS.
• Vous pouvez sauvegarder des fichiers cryptés.
• Toute compression des fichiers et des dossiers doivent être décompressé avant de pouvoir être chiffré
• Système de fichiers et de dossiers ne peut pas être cryptée.
• Les fichiers ou dossiers dans un profil utilisateur itinérant ne peut pas être cryptée

Les composantes de l'EFS

EFS utilise les éléments suivants pour s'acquitter de ses fonctions:

• EFS: La AEF communique avec le service EFS par l'intermédiaire du conducteur d'appel de procédure local (LPC) port. L'EFS et le service Microsoft Cryptographic Application Programming Interface (CryptoAPI) de communiquer, avec le service de réception de fichiers EFS clés de chiffrement de la CryptoAPI. Il utilise ces touches pour générer des données de décryptage des champs (DDFs) et la récupération des données des champs (DRFs). La clé de chiffrement de fichier (FEK) est utilisée pour les données des fichiers. Le service transmet les EFS FEK, DRF, et à la DDF EFS conducteur par l'intermédiaire du système de fichiers EFS Run-Time Library (FSRTL).
• EFS conducteur: EFS Le pilote demande les clés de chiffrement de fichier, DDFs et DRFs de l'EFS service. Ensuite, ces relais de l'EFS FSRTL.
• Système de fichiers EFS Run-Time Library (FSRTL): L'EFS FSRTL existe dans l'AEF conducteur, et fonctionne avec l'EFS comme un élément conducteur. Contrôle d'appels de fichiers NTFS sont utilisés en tant que mécanisme de communication entre les deux. L'EFS FSRTL effectue une série de système de fichiers qui incluent des fonctions de cryptage, décryptage, et de récupérer les données d'un fichier quand il est lu à partir du disque ou écrites sur le disque.
• Microsoft Cryptographic Application Programming Interface (CryptoAPI): CryptoAPI est utilisé par EFS de fonctions cryptographiques. CryptoAPI prend en charge le cryptage, le décryptage, le hachage, les signatures numériques et la vérification de celle-ci, la gestion des clés, le stockage sécurisé, et les principales opérations de change.

Comment les fichiers sont cryptés et décryptés

Comme mentionné précédemment, EFS utilise la clé publique et clé symétrique de chiffrement pour garantir le contenu des fichiers et des dossiers. Les algorithmes de chiffrement à clé publique asymétrique utilisent des clés pour le chiffrement et le déchiffrement. Qu'est-ce que cela signifie, c'est que les clés utilisées pour chiffrer et déchiffrer les données sont différentes car une clé privée et une clé publique est utilisée. La clé privée est gardée par le propriétaire de la clé. La clé publique peut être utilisé sur le réseau.

Lorsque les données sont cryptées, EFS génère un unique FEK pour crypter le fichier. Il crypte les FEK puis en utilisant la clé publique du certificat de l'utilisateur. FEK EFS utilise le cryptage pour veiller à ce que se produit rapidement. La clé privée de l'utilisateur est utilisé pour déchiffrer les FEK.

Le processus décrit ci-dessous se produit quand un utilisateur de crypter un fichier:

• Le fichier est ouvert par le service EFS
• Le flux de données du fichier sont ensuite copiées sur un texte en clair de fichier temporaire situé dans le répertoire temporaire du système
• EFS génère la FEK unique.
• La FEK est utilisée pour crypter le fichier, soit par DESX ou 3DES.
• Le décryptage de données terrain (DDF) est créé. Le DDF détient la FEK cryptée par le biais de la clé publique de l'utilisateur.
• Si un agent de récupération est défini par la stratégie de groupe, les données de récupération des champs (DRFs) est créé.
• Les données chiffrées, DDF, DRF et sont stockés dans le fichier.
• Le clair de fichier temporaire situé dans le répertoire temporaire du système est supprimé.

Le processus décrit ci-dessous se produit quand un fichier est déchiffré:

• NTFS identifie comme étant des fichiers cryptés, puis dépose une demande pour le décryptage par le biais de l'EFS conducteur.
• L'EFS conducteur obtient le prochain champ de décryptage de données (FDD) et l'envoie à l'EFS service.
• Le service EFS obtient la clé privée de l'utilisateur. Il utilise cette clé pour déchiffrer le DDF.
• Une fois le service EFS a décrypté le DDF et obtenu le FEK, il envoie la FEK à l'EFS conducteur.
• Le pilote utilise la EFS FEK qu'il a reçu du service EFS pour déchiffrer les données dans le fichier.
• L'EFS conducteur passe ensuite déchiffré les données au format NTFS.

EFS et certificats

Dès qu'un utilisateur permet le cryptage d'un dossier ou des fichiers, EFS vérifie si l'utilisateur dispose d'un certificat de l'entreprise stockées dans le magasin de certificats personnels. EFS demande un certificat pour l'utilisateur quand il ne peut pas trouver un certificat dans le magasin de certificats personnels, à partir d'une autorité de certification (CA). EFS procède pour créer un certificat auto signé pour l'utilisateur s'il n'ya pas d'entreprise de CA. Le certificat EFS de l'utilisateur est accessible lorsque les besoins EFS pour crypter et décrypter le FEK. EFS EFS renouvelle également que les certificats ont expiré.

Les certificats qui sont obtenues à partir de l'entreprise CA certificat d'utilisation de modèles qui sont stockés dans Active Directory. Modèles de certificats détail les attributs du type de certificat peut être délivré que pour les utilisateurs et les ordinateurs. Les modèles de certificats à l'appui sont EFS utilisateur, administrateur, et de base EFS. Enterprise. CA utilise les Access Control Lists (ACL) quand ils ont besoin pour déterminer si les demandes de certificat doit être approuvé. L'utilisateur doit donc avoir la permission Enroll d'un certificat de modèle d'un certificat délivré. Les membres du groupe Admins du domaine et Utilisateurs du domaine groupe ont cette autorisation. Les utilisateurs peuvent utiliser le composant logiciel enfichable Certificats pour demander des certificats.

Utilisez les étapes ci-dessous pour demander un certificat d'un CA via le composant logiciel enfichable Certificats

1. Ouvrez le composant logiciel enfichable Certificats
2. Continuez à élargir le dossier personnel.
3. Cliquez avec le bouton droit et choisissez Certificats Toutes les tâches, puis demande de nouveau certificat à partir du menu
4. La demande de certificat d'assistant de New lance.
5. Choisissez l'option de base EFS sur le certificat Types écran. Cliquez sur Suivant
6. Fournir des informations pour Friendly nom et la description. Cliquez sur Suivant
7. Cliquez sur Terminer pour quitter l'assistant.
8. Le nouveau certificat est stocké dans le dossier Certificats.

Vous pouvez utiliser le composant logiciel enfichable Certificats pour vérifier si vous avez déjà un certificat

1. Passer à la navigation et à ouvrir le composant logiciel enfichable Certificats pour la mise en place Mon compte
2. Développez le dossier personnel
3. Droit-cliquez sur Certificats pour voir si un certificat existe

Chiffrement / Déchiffrement de fichiers à l'aide EFS

Il est recommandé d'activer le cryptage EFS pour les dossiers au lieu de lui permettre de fichiers individuels. En faisant cela, vous n'auriez pas besoin de crypter chaque fichier lors de l'enregistrement du fichier.

Utilisez les étapes ci-dessous pour crypter un dossier

1. Ouvrez le Poste de travail
2. Cliquez-droit sur le dossier que vous souhaitez crypter, puis sélectionnez Propriétés dans le menu de raccourci.
3. Lorsque la boîte de dialogue Propriétés du dossier s'ouvre, cliquez sur le bouton Avancé sous l'onglet Général.
4. La boîte de dialogue Attributs avancés s'affiche.
5. Dans le Comprimez Encrypt ou attributs de la boîte de dialogue Attributs avancés, activez la Crypter le contenu pour sécuriser les données checkbox.
6. Cliquez sur OK pour activer le cryptage pour le dossier et tous les fichiers inclus dans le dossier.
7. Un autre message est affiché dans une boîte de dialogue lorsque le dossier comporte des sous-dossiers et fichiers qui ne sont pas cryptées. Le message vous invite à vérifier si vos paramètres doivent être appliqués uniquement sur le dossier ou le dossier de la sous-dossiers et fichiers.
8. Si vous choisissez l'option Appliquer les modifications à ce dossier unique, le texte suivant apparaît:
• Les fichiers déjà enregistrés dans le dossier et toutes les sous-dossiers restent dans leur état d'origine
• Les fichiers que vous créez dans le dossier sont cryptés
• Les fichiers copiés dans le dossier par vous et par d'autres utilisateurs sont cryptés
• Les fichiers créés dans, copiés ou déplacés à des sous-dossiers restent dans leur état d'origine.
9. Si vous choisissez l'option Appliquer les modifications à ce dossier, les sous-dossiers et fichiers option, le texte suivant apparaît:
• Les fichiers déjà enregistrés dans le dossier et toutes les sous-dossiers sont cryptés, si vous avez l'écriture.
• Les fichiers créés dans, copiés ou déplacés à des sous-dossiers sont cryptées, qu'il s'agisse de vous ou d'autres utilisateurs

Utilisez les étapes ci-dessous pour déchiffrer un dossier

1. Cliquez-droit sur le dossier que vous voulez décrypter, et sélectionnez Propriétés dans le menu de raccourci.
2. Lorsque la boîte de dialogue Propriétés du dossier s'ouvre, cliquez sur le bouton Avancé sous l'onglet Général
3. Lorsque la boîte de dialogue Attributs avancés est affiché, clair Crypter le contenu pour sécuriser les données checkbox.

Comment crypter des fichiers hors connexion

1. Ouvrez le Poste de travail
2. Utilisez le menu Outils choisir Options des dossiers point
3. Utilisez l'onglet Fichiers hors connexion pour:
• Activer les fichiers hors connexion
• Crypter les fichiers hors connexion
4. Cliquez sur OK

Comment faire pour afficher le statut de chiffrement EFS

1. Ouvrez le Poste de travail
2. Utilisez le menu Outils choisir Options des dossiers point
3. Cliquez sur l'onglet Affichage
4. Voir Activer le système de fichiers NTFS cryptés ou compressés en couleur case à cocher des fichiers.
5. Cliquez sur OK
6. Dossier crypté et les noms de fichiers sont affichés en vert.

Comment faire pour activer EFS options dans le menu

Si EFS options sont activées dans le menu, l'utilisateur a simplement à cliquer droit sur le dossier ou le fichier à crypter ou décrypter le dossier ou le fichier.

1. Cliquez sur Démarrer, sur Exécuter, puis saisissez regedit.exe dans la boîte de dialogue Exécuter. Cliquez sur OK
2. L'Éditeur du Registre s'ouvre
3. Recherchez la sous-clé suivante:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced

4. Utilisez le menu Edition pour sélectionner Nouveau, puis sur Valeur DWORD
5. Passer à préciser EncryptionContextMenu de nom de valeur, et 1 pour les données de la valeur.
6. Registre des modifications sont en vigueur immédiatement.

Comment utiliser Cipher.exe pour voir, créer ou modifier le cryptage sur les dossiers et fichiers

Cipher.exe est un outil en ligne de commande qui peut être utilisée pour crypter et décrypter des dossiers ou des fichiers. Utilisation de l'algorithme de chiffrement sans interrupteurs de commande affiche le statut de cryptage sur le dossier et les fichiers qui se trouvent dans le dossier.

La syntaxe de l'algorithme de chiffrement et de ses commutateurs de commande sont indiqués ci-dessous:

cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]

• /e crypte les dossiers et les fichiers sont cryptés ajoutée ainsi
• /d décrypte les dossiers. L'attribut de chiffrement est retiré du dossier.
• /s:Folder Le /s:Folder qui sert à indiquer le dossier et les sous-dossiers qui devraient être utilisés
• /a qui sert à crypter des fichiers dans le répertoire courant
• /i utilisé pour indiquer que le processus en cours devrait se poursuivre, même si des erreurs sont présentes.
• /f utilisé pour forcer le cryptage ou le décryptage de tous les fichiers et les dossiers définis
• /q les listes que les informations importantes
• /h la liste des fichiers qui ont caché les qualités et les attributs système
• /k génère un nouveau FEK pour l'utilisateur exécutant la commande
• /u les mises à jour de la FEK de l'utilisateur et la clé de l'agent de récupération. Utilisé avec / n
• /n les arrêts clés de mise à jour. Utilisé avec / u

Comment faire pour autoriser l'accès des utilisateurs à de multiples fichiers cryptés

Avant d'autoriser de multiples utilisateurs d'accéder à des fichiers cryptés, envisager les mesures suivantes:

• Un partage de fichiers, répertoire web ou session à distance est nécessaire pour les utilisateurs autorisés à partager des fichiers EFS sur le réseau.
• Les utilisateurs que vous allez autoriser l'accès à l'EFS fichiers doivent avoir les certificats EFS
• Lorsque vous autoriser un utilisateur à décrypter un fichier, l'utilisateur est automatiquement en mesure d'autoriser d'autres utilisateurs ayant accès au dossier

Utilisez les étapes ci-dessous pour partager un fichier avec EFS utilisateurs supplémentaires

1. Ouvrez le Poste de travail
2. Cliquez-droit sur le fichier crypté et sélectionnez Propriétés dans le menu de raccourci.
3. Lorsque la boîte de dialogue Attributs avancés s'ouvre, cliquez sur le bouton Détails
4. Le cryptage Détails boîte de dialogue s'ouvre.
5. Cliquez sur Ajouter pour ouvrir la boîte de dialogue Sélectionner un utilisateur.
6. Vous pouvez maintenant ajouter un utilisateur de l'ordinateur local, ou à partir d'Active Directory.
7. Cliquez sur le certificat de l'utilisateur à ajouter un utilisateur de l'ordinateur local. Cliquez sur OK
8. Cliquez sur le bouton Trouver l'utilisateur de trouver un utilisateur dans Active Directory.
9. Ensuite, cliquez sur Parcourir lorsque la Trouver les utilisateurs, les contacts et les groupes boîte de dialogue s'ouvre à l'utilisateur (s).
10. Cliquez sur le dossier ou d'un domaine qui devrait être recherchée dans le Parcourir pour Container boîte de dialogue.
11. Sélectionnez l'utilisateur (s), puis cliquez sur OK

File Recovery Agents

Être capable de récupérer des données devient importante lorsque les salariés de perdre leurs clés privées ou de quitter l'organisation sans décryptage de tous leurs fichiers. C'est à ce moment que l'agent de recouvrement est important. Afin d'utiliser le système EFS, un agent de récupération de données cryptées politique doit exister. EFS automatiquement par défaut utilise un compte d'agent de récupération de données cryptées lorsque aucun agent de récupération politique existe. Les membres du groupe Admins du domaine peuvent spécifier un compte à utiliser pour le compte de l'agent de récupération. La politique locale peut être utilisé sur des ordinateurs autonomes de préciser que les comptes des agents de récupération de données. Ces comptes sont généralement d'un compte Administrateur. DRA certificats sont stockés dans le magasin de certificats de l'ordinateur lorsque l'utilisateur accède à un domaine d'ordinateur qui est inclus dans la gamme de l'EFS de recouvrement. Cela rend possible pour chaque domaine d'ordinateur pour accéder à la clé publique de la DRA. Chiffré fichiers contiennent un domaine de récupération de données que détient à son tour le fichier crypté FEK. Une DRA peut décrypter un fichier crypté qui est de l'ordre de l'EFS de récupération politique par l'utilisation de la clé privée.
Vous devez définir plusieurs ARMs EFS par la politique de recouvrement, si vous voulez que plusieurs utilisateurs d'être en mesure de déchiffrer les fichiers. Les fichiers sont généralement plus en sécurité si une seule personne est capable de décrypter le fichier. L'inconvénient est que le fichier est moins récupérables.

Utilisez les étapes ci-dessous pour ajouter un agent de récupération pour l'ordinateur local

1. Cliquez sur Démarrer, sur Exécuter, puis tapez mmc dans la boîte de dialogue Exécuter. Cliquez sur OK
2. Sélectionnez Ajouter / Supprimer un composant logiciel enfichable dans le menu Fichier et cliquez sur Ajouter.
3. Lorsque l'Ajout d'un composant logiciel enfichable dans la boîte de dialogue apparaît, choisissez GPEdit. Cliquez sur Ajouter.
4. Veiller à ce que l'ordinateur local est sélectionné. Cliquez sur OK
5. Dans le volet gauche, passez à l'expansion politique de l'ordinateur local, Configuration de l'ordinateur, Paramètres Windows, Paramètres de sécurité, et les paramètres de clé publique.
6. Cliquez-droit sur Encrypting File System, puis choisissez Propriétés dans le menu de raccourci.
7. EFS est en cours d'exécution sur l'ordinateur si Autoriser les utilisateurs à crypter les fichiers à l'aide de Encrypting File System (EFS) case à cocher est activée. Cliquez sur OK
8. Cliquez-droit sur Encrypting File System et choisissez Ajouter un agent de récupération de données à partir du menu.
9. Ajouter un agent de récupération Le démarrage de l'Assistant.
10. Fournir un nom d'utilisateur pour l'utilisateur qui a un certificat de récupération. Cliquez sur Suivant
11. Sur l'écran Sélectionner les agents de recouvrement, naviguer dans les dossiers / répertoires de spécifier les utilisateurs.
12. Cliquez sur Suivant. Cliquez sur Terminer.

Utilisez les étapes ci-dessous pour supprimer un DRS

1. Utilisation de la stratégie de groupe, dans le volet gauche, passez à l'expansion politique de l'ordinateur local, Configuration de l'ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies de clé publique, et Encrypting File System
2. Choisissez la DRA que vous souhaitez supprimer et supprimer le certificat.

Comment faire pour exporter et importer les certificats EFS et DRA et des clés privées

Les utilisateurs peuvent assurer l'accès à des fichiers cryptés EFS par l'exportation de leurs certificats et des clés privées sur des supports amovibles.

Utilisation ci-dessous les étapes pour exporter un certificat à un média amovible

1. Passez à l'accès au composant logiciel enfichable Certificats
2. Développez le dossier Personnel, puis double-cliquez sur Certificats
3. Trouver la droite et cliquez sur le certificat que vous souhaitez exporter, puis choisissez Toutes les tâches, puis Exporter dans le menu de raccourci.
4. Choisissez Oui, exporter la clé privée.
5. Vous pouvez maintenant choisir soit de supprimer la clé privée de l'ordinateur après qu'il a été exporté, ou vous pouvez choisir de le laisser sur l'ordinateur. Après la sélection d'une option qui vous convient, cliquez sur Suivant
6. Fournir un mot de passe pour la protection de l'exporter la clé privée. Cliquez sur Suivant
7. Donner un nom pour le certificat exporté et la clé privée.
8. Cliquez sur Suivant. Cliquez sur Terminer.

Utilisez les étapes ci-dessous pour importer un certificat

1. Passez à l'accès au composant logiciel enfichable Certificats
2. Développez le dossier personnel, puis cliquez avec le bouton droit certificats, choisissez Toutes les tâches, puis Importer dans le menu de raccourci.
3. Entrez dans le fichier de certificat qui doit être importé.
4. Fournir le bon mot de passe pour ouvrir le fichier
5. Indiquez l'emplacement où le certificat doit être importé à.

Comment renforcer la sécurité des fichiers et des clés

Vous pouvez renforcer la sécurité en remplaçant le DESX EFS utilise l'algorithme qui, avec le renforcement de l'algorithme 3DES. Vous pouvez utiliser le système de cryptographie paramètre de stratégie de groupe pour permettre aux 3DES pour le chiffrement de sécurité IP et EFS. Vous pouvez toutefois modifier le paramètre de Registre dans la clé HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS clés via l'éditeur de registre pour permettre aux 3DES pour le chiffrement d'EFS seulement.

Vous pouvez également utiliser une clé de démarrage à clé et de protéger les informations confidentielles qui réside sur l'ordinateur. Une clé de démarrage est aussi appelé un syskey. Touches de démarrage sont créés automatiquement pour les ordinateurs qui sont membres d'un domaine. Vous devez créer manuellement une clé de démarrage pour un ordinateur.

Une clé de démarrage protège les informations confidentielles suivantes:

• Master clés: Ces touches sont utilisées pour protéger les clés privées.
• Protection des clés: Ce sont des clés pour compte d'utilisateur ou mots de passe stockés dans Active Directory, ou dans le Gestionnaire de comptes de sécurité (SAM), clé de registre
• Protection des clés pour vos secrets LSA
• La clé de protection pour le mot de passe du compte administrateur

Après une touche de démarrage est activé, la procédure qui a lieu au démarrage est la suivante:

• Le système récupère la clé de démarrage
• Il est ensuite utilisée pour déchiffrer la clé de protection capitaine
• Cette clé est ensuite utilisée pour obtenir le compte de l'utilisateur clé de chiffrement.
• Le compte d'utilisateur clé de chiffrement est utilisée pour déchiffrer le mot de passe dans Active Directory, ou dans le Gestionnaire de comptes de sécurité (SAM), clé de registre.

Utilisez les étapes ci-dessous afin de permettre aux 3DES pour le chiffrement EFS pour seulement

1. Ouvrez l'éditeur du registre
2. Recherchez la clé HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS sous-clé de Registre.
3. Utilisez le menu Edition pour cliquez sur Nouveau, puis sur Valeur DWORD
4. Insérer AlgorithmID valeur pour le nom, et pour les données de la valeur 0x6603
5. Ces valeurs permettent 3DES
6. Redémarrez l'ordinateur

Utilisez les étapes ci-dessous pour permettre l'utilisation de stratégies de groupe 3DES

1. Utilisation de la stratégie de groupe, dans le volet gauche, passez à développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, Options de sécurité.
2. Double-cliquez sur la Cryptographie système: utilisez des algorithmes compatibles FIPS pour le cryptage politique.
3. Choisissez Activer
4. Cliquez sur OK

Utilisez les étapes ci-dessous pour permettre à la clé de démarrage

1. Entrez syskey à la ligne de commande
2. Continuez de cliquer Encryption Enabled.
3. Cliquez sur OK
4. Choisissez une option pour la touche. Le système et le mot de passe qui est stocké localement option est l'option par défaut.
5. Cliquez sur OK pour redémarrer l'ordinateur.

Utilisez les étapes ci-dessous pour modifier la clé de démarrage des options

1. Entrez syskey à la ligne de commande
2. Continuez de cliquer sur Mettre à jour.
3. Passer à changer le mot de passe, ou choisissez une autre option clé
4. Cliquez sur OK. Redémarrez l'ordinateur.

Comment faire pour désactiver l'EFS

Vous pouvez soit désactiver l'EFS d'un ordinateur ou pour le domaine. Utilisez les étapes ci-dessous pour désactiver EFS utilisant l'éditeur de registre

1. Ouvrez l'éditeur du registre
2. Recherchez la clé HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS sous-clé de Registre.
3. Utilisez le menu Edition pour cliquez sur Nouveau, puis sur Valeur DWORD
4. Insérer EfsConfiguration valeur pour le nom, et 1 pour les données de la valeur
5. Ces valeurs de désactiver EFS
6. Redémarrez l'ordinateur

EFS Best Practices

Quelques bonnes pratiques en matière de EFS sont résumées ci-dessous:

• Toujours choisir de crypter les dossiers, et non pas des fichiers individuels. Cryptage de dossiers simple facilite le cryptage des fichiers de gestion. Rappelez-vous que tous les fichiers situés dans, ou créés dans un dossier crypté, sont automatiquement cryptées.
• Vous pouvez utiliser les services de certificats Microsoft pour gérer les certificats EFS et DRA / clé privée
• Les utilisateurs doivent exporter leurs certificats EFS et les clés privées sur des supports amovibles, et les médias également stocker dans un endroit sûr.
• Essayez d'avoir un petit nombre de certains agents de recouvrement. Le moins le nombre des agents de recouvrement, le plus simple est de les gérer, et de s'assurer qu'ils ne sont pas mal du décryptage des fichiers.
• Vous pouvez également exporter les clés privées de recouvrement des comptes, et fixez-les dans un endroit sûr.
• Il faut s'efforcer de crypter des données sensibles sur chaque ordinateur qui est membre d'un domaine.
• Activation d'un démarrage sur la touche standalone ordinateurs afin d'améliorer la sécurité pour les clés privées des utilisateurs.
• Veiller à ce que le dossier Mes documents est crypté dans le cas où l'utilisateur se connecte sur le même ordinateur.
• Vous pouvez crypter des fichiers hors connexion pour assurer la protection des documents stockés localement.
• Utilisation de Server Message Block (SMB) de signer avec EFS contribue à assurer que les dossiers sont bien transmis et reçus sur le réseau.
• Vous pouvez également utiliser IPSec pour crypter les données comme il se déplace sur le réseau