Les services de sécurité avancés de la PKI ont longtemps été freinés par la crainte qu’un tel système soit lourd à gérer. Aujourd’hui les améliorations sur la gestion de ces services sont nombreuses, par exemple la PKI Microsoft s’interface aisément à l’Active Directory pour diffuser les certificats aux ordinateurs et utilisateurs. En outre, les solutions bâties sur les cartes à puce apportent une réponse industrielle et facilitent l’utilisation de la solution par les utilisateurs.Disponible par défaut avec Windows 2000 ou 2003 Server, les services PKI apportent de nombreuses fonctionnalités supplémentaires :
• Cryptage de fichiers avec le système EFS sous Windows XP
• Services d’authentification forte (SmartCard logon, WireLess…)
• Mise en place de réseau privé virtuel (VPN)
• Sécurisation des échanges avec IPSEC
• Messagerie sécurisée avec signature et cryptage S/MIME
• Signatures numériques (applications, macros, utilisateurs…)
Fonctionnalités de sécurité liées à la PKI Windows
Le système de fichiers cryptés, ou EFS (Encrypting File System) existe depuis Windows 2000 pour lequel il a constitué une avance majeure dans la sécurisation des systèmes Windows.
En effet, c’est réellement la première fois que Microsoft incluait dans ses systèmes d’exploitation un ensemble d’outils permettant de préserver la confidentialité des informations stockées dans les fichiers d’un volume du système (disque dur ou d’une disquette).
L’un des meilleurs atouts du système d’encryptions de fichiers (EFS) est son intégration avec le système d’exploitation. En fait, il est si bien intégré qu’il en devient presque transparent pour les utilisateurs : une fois qu’un fichier ou un dossier est marqué comme crypté, il est inutile de le décrypter pour le lire, le modifier ou le copier. Le système s’en charge !
L’installation d’une PKI pour le support de l’EFS est quasiment obligatoire puisque l’encryptage se fait à deux niveaux : d’abord par une clé symétrique aléatoire puis par un jeu de clés asymétriques issues d’une autorité de certification. En outre, la PKI permettra de disposer d’un agent de recouvrement permettant de décrypter un fichier lorsque l’utilisateur a perdu son certificat et sa clé privée.
On regrettera tout de même que l’EFS ne supporte pas les certificats stockés sur une carte à puce (smartcard).
La raison en est purement technique : la gestion de l’EFS est intégrée dans le processus lsass.exe (qui gère également l’authentification). Ce processus tourne en tâche de fond et ne sait pas interagir avec le bureau. Comment faire alors pour demander l’insertion de la carte à puce ou la saisie d’un code PIN ?
Téléchargez cette ressource
Microsoft 365 : 5 erreurs de sécurité
A l’heure où les données des solutions Microsoft 365 sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités ? Découvrez le Top 5 des erreurs à ne pas commettre et les meilleures pratiques recommandées par les Experts DIB France.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Agents IA : la perception des collaborateurs français
- Du Cloud-first au Cloud-right : bâtir les fondations de l’IA en entreprise
- Cybercriminalité : abus des plateformes légitimes
- Compétence transversale ou matière à part entière : quelle place pour la cybersécurité à l’école ?
- Plus de femmes dirigeantes dans la tech pour la culture d’entreprise et l’inclusion
