EFS ne protège pas les fichiers qui sont copiés sur le réseau. Windows copie tout fichier ouvert sur un share de réseau en format texte clair. Si vous avez besoin de crypter en temps réel les fichiers stockés sur disque et copiés sur le réseau, il vous faudra pratiquer une
EFS : considérations diverses
autre technique de protection, comme IPsec (IP Security), SSL (Secure Sockets Layer) ou WebDAV (WWW Distributed Authoring and Versioning). Dans le même esprit, dans XP et produits ultérieurs, vous pouvez valider la protection EFS pour des fichiers hors ligne. (Cela fera l’objet d’un futur article).
EFS est un processus de protection local que Microsoft a conçu pour crypter des fichiers sur des disques locaux. Si vous voulez utiliser EFS pour protéger des fichiers stockés sur des shares d’ordinateurs distants, l’ordinateur distant doit être approuvé pour délégation. Les utilisateurs de portables utilisent souvent EFS sur des shares de serveurs de fichiers. Pour mettre en oeuvre EFS sur un serveur, vous devez cocher la case Trust this computer for delegation to any service (Kerberos only) ou Trust this computer for delegation to specified services only sur le compte ordinateur du serveur, comme on le voit figure 3.
Si vous ne voulez pas que vos utilisateurs appliquent la protection EFS, vous pouvez désactiver EFS au moyen des stratégies de groupe. Sélectionnez le conteneur Computer Configuration puis faites un clic droit sur Windows Settings et choisissez Security Settings, Public Key Policies, Encrypting File System. Vous pouvez ensuite décocher la case Allow users to encrypt files using EFS. Vous pouvez activer ou désactiver EFS pour chaque OU (organizational unit).
Avant d’utiliser EFS, assurez-vous que vos applications le reconnaissent ainsi que l’API EFS. Si ce n’est pas le cas, les fichiers protégés par EFS pourraient se voir corrompus – ou pire, non protégés sans une autorisation appropriée. Par exemple, si vous utilisez le programme edit.com de Windows (un exécutable 16 bit) pour sauvegarder ou modifier un fichier protégé par EFS, il supprimera les éventuels utilisateurs EFS supplémentaires partageant le fichier. La plupart des applications Microsoft – dont Microsoft Office, Notepad et Wordpad – supportent parfaitement EFS.
Si un utilisateur autorisé copie des fichiers protégés par EFS dans un volume FAT, la protection EFS disparaîtra. Un utilisateur non autorisé devrait être dans l’impossibilité de déplacer ou de copier les fichiers dans un volume Windows quelconque. Cependant, si un utilisateur non autorisé utilise un programme CD-ROM ou disquette initialisable qui peut monter un share de fichier NTFS (comme Knoppix, NTFSDOS, Peter Nordahl-Hagen boot floppy) pour s’initialiser en contournant le système de permissions Windows NTFS, l’utilisateur devrait être capable de copier ou de déplacer le fichier, mais à moins qu’il ne possède la clé EFS de l’utilisateur autorisé, le fichier restera crypté.
Téléchargez cette ressource
Sécuriser Microsoft 365 avec une approche Zero-Trust
Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Réforme de la facturation électronique : une préparation largement théorique
- Le futur de la cryptographie post-quantique
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
