Le DRA

clé EFS privée d’un utilisateur en accédant aux certificats numériques EFS dans la console Certificates et en cochant la case Copy to file sur l’onglet Details. Dans XP Pro et produits ultérieurs, vous pouvez aussi utiliser le bouton Backup Keys, que vous trouverez sous le bouton Details à l’emplacement de partage de fichiers d’EFS. Quant aux adeptes de la ligne de commande, ils peuvent utiliser la commande

cipher.exe /x

pour sauvegarder la clé EFS dans Windows 2003, ainsi que XP Pro SP1 et suivants. Au fil des invites résultantes, Windows vous donne la possibilité de sauvegarder et/ou d’exporter la clé privée associée. Abstenez-vous de supprimer la clé EFS privée d’un utilisateur – comme Windows vous y invite pendant l’export – parce que, si vous le faites, l’utilisateur ne pourra pas décrypter ses propres fichiers protégés. Une fois sa clé privée exportée, l’utilisateur devrait la stocker dans deux emplacements hors ligne séparés.

Sauvegarder les clés privées EFS des utilisateurs individuels est laborieux. A partir de Win2K, Microsoft vous permet de sélectionner un DRA. Quand quelqu’un crypte un fichier ou un dossier, le DRA obtient automatiquement une copie de FEK. Dans Win2K (mode groupe de travail ou domaine), XP (mode domaine seulement) et Windows 2003 (mode groupe de travail ou domaine), l’administrateur est le DRA par défaut, bien que vous puissiez changer le compte utilisateur qui est désigné pour être le DRA. Malheureusement, en mode groupe de travail de XP, un DRA n’est pas défini. Microsoft a pris cette décision pour couper court aux critiques liées à la possibilité de compromettre des fichiers protégés par EFS dans le cas où le mot de passe de l’administrateur serait percé. Malheureusement, un grand nombre de machines XP Pro sont en mode groupe de travail et leurs utilisateurs EFS risquent fort de perdre leurs fichiers : il suffit d’un profil détruit ou d’un mot de passe redéfini. En utilisant EFS (rappelons qu’il est activé par défaut et disponible aux utilisateurs), assurez-vous que vos utilisateurs EFS sauvegardent leurs clés privées ou qu’un ou plusieurs DRA sont désignés.

Si vous envisagez de choisir un DRA autre que l’administrateur par défaut, le compte utilisateur de remplacement doit déjà avoir reçu un certificat EFS Recovery Agent. Vous pouvez demander un EFS Recovery Agent Certificate auprès de Certificate Services ou en installer un à partir d’un autre produit PKI tiers. Si Windows 2003 Certificate Services est installé, vous pouvez mettre en oeuvre les Key Recovery Agents au lieu d’utiliser les DRA. Les Key Recovery Agents finiront par récupérer la clé perdue de l’utilisateur au lieu de récupérer directement le fichier.

Contrairement aux clés privées des utilisateurs EFS normaux, les clés privées EFS d’un DRA doivent être exportées et supprimées des ordinateurs. Si les clés privées des DRA sont compromises, tous les fichiers dont les FEK sont protégées par la clé publique du DRA pourraient être compromis à leur tour. Par conséquent, vous devez exporter les clés et les stocker en sécurité dans deux emplacements hors site. Si vous avez besoin des clés pour récupérer des fichiers cryptés, vous pouvez facilement importer et utiliser les clés privées.

Bien que l’administrateur soit souvent le DRA par défaut, il faut choisir un ou plusieurs comptes utilisateur créés spécifiquement, peu susceptibles d’être supprimés. Comme la clé publique du DRA copie et protège aussi chaque FEK, si vous supprimez accidentellement votre compte utilisateur DRA ou si vous redéfinissez le mot de passe, la FEK protégée par DRA pourrait être difficile à récupérer. Si les comptes utilisateur qui ont l’état DRA sont changés, vous pourriez vous retrouver avec des fichiers protégés par EFS avec des clés protégées par d’anciennes clés DRA. Chaque fois que Windows accède aux fichiers, les FEK protégées par DRA sont mises à jour avec les dernières clés DRA. Mais vous pouvez aussi utiliser la commande Cipher pour appliquer une mise à jour de masse de toutes les clés FEK avec les clés DRA courantes. A noter que, indépendamment du fait que vous exportez et supprimez les clés privées du DRA à partir du système, il demeure essentiel de sauvegarder les certificats de reprise des DRA dans deux, ou plus, emplacements hors site sûrs.