EFS : considérations diverses

autre technique de protection, comme IPsec (IP Security), SSL (Secure Sockets Layer) ou WebDAV (WWW Distributed Authoring and Versioning). Dans le même esprit, dans XP et produits ultérieurs, vous pouvez valider la protection EFS pour des fichiers hors ligne. (Cela fera l’objet d’un futur article).

EFS est un processus de protection local que Microsoft a conçu pour crypter des fichiers sur des disques locaux. Si vous voulez utiliser EFS pour protéger des fichiers stockés sur des shares d’ordinateurs distants, l’ordinateur distant doit être approuvé pour délégation. Les utilisateurs de portables utilisent souvent EFS sur des shares de serveurs de fichiers. Pour mettre en oeuvre EFS sur un serveur, vous devez cocher la case Trust this computer for delegation to any service (Kerberos only) ou Trust this computer for delegation to specified services only sur le compte ordinateur du serveur, comme on le voit figure 3.

Si vous ne voulez pas que vos utilisateurs appliquent la protection EFS, vous pouvez désactiver EFS au moyen des stratégies de groupe. Sélectionnez le conteneur Computer Configuration puis faites un clic droit sur Windows Settings et choisissez Security Settings, Public Key Policies, Encrypting File System. Vous pouvez ensuite décocher la case Allow users to encrypt files using EFS. Vous pouvez activer ou désactiver EFS pour chaque OU (organizational unit).

Avant d’utiliser EFS, assurez-vous que vos applications le reconnaissent ainsi que l’API EFS. Si ce n’est pas le cas, les fichiers protégés par EFS pourraient se voir corrompus – ou pire, non protégés sans une autorisation appropriée. Par exemple, si vous utilisez le programme edit.com de Windows (un exécutable 16 bit) pour sauvegarder ou modifier un fichier protégé par EFS, il supprimera les éventuels utilisateurs EFS supplémentaires partageant le fichier. La plupart des applications Microsoft – dont Microsoft Office, Notepad et Wordpad – supportent parfaitement EFS.

Si un utilisateur autorisé copie des fichiers protégés par EFS dans un volume FAT, la protection EFS disparaîtra. Un utilisateur non autorisé devrait être dans l’impossibilité de déplacer ou de copier les fichiers dans un volume Windows quelconque. Cependant, si un utilisateur non autorisé utilise un programme CD-ROM ou disquette initialisable qui peut monter un share de fichier NTFS (comme Knoppix, NTFSDOS, Peter Nordahl-Hagen boot floppy) pour s’initialiser en contournant le système de permissions Windows NTFS, l’utilisateur devrait être capable de copier ou de déplacer le fichier, mais à moins qu’il ne possède la clé EFS de l’utilisateur autorisé, le fichier restera crypté.