Chiffrement ef s. Système de fichiers de cryptage (EFS) - Cryptez les dossiers et les fichiers sous Windows. Utilisation de l'interface graphique

03.03.2020

* * *

Chapitre 1
«Bienvenue dans la Zone, harceleur!»

« Les chances de survie dans la Zone pour une personne qui ne dispose pas d'une formation adéquate, d'un équipement spécial et d'une certaine chance tendent inévitablement vers zéro. Les phénomènes physiques inexplicables appelés anomalies, les animaux altérés et les personnes dont l'instinct fondamental est le désir de détruire tous les êtres vivants, ainsi que les bandes de criminels prêts à tout pour obtenir des armes et des munitions de haute qualité ne constituent pas les principaux dangers. Le principal danger pour une personne piégée dans la zone d’exclusion est son atmosphère oppressante. Déroutant, désorientant et provoquant des erreurs.
Du cours d'introduction aux recrues des Forces d'Isolement

Le vieux moteur électrique couina avec force et le lourd vantail, tremblant et rebondissant, se déplaça sur le côté. Un cortège de deux voitures - un Tigre blindé et un Ural sous tente - est entré sur le territoire du poste de contrôle. La porte s'est déplacée dans la direction opposée, fermant le passage.

La porte d'entrée du "Tigre" s'est ouverte et un soldat, vêtu d'une combinaison de protection militaire, a facilement sauté sur l'asphalte de la cour, brillamment éclairée par de puissants projecteurs. Aucun insigne n'était visible, mais tout chez lui trahissait son statut d'officier : sa posture, sa démarche, son attitude.

Il se dirigea vers le bâtiment du poste de contrôle, transformé en une véritable forteresse faite de béton et d'acier. Le châssis de la mitrailleuse sur la tourelle craqua en tournant, et le canon suivit le militaire d'un regard fixe. La plaque d'acier recouvrant la petite fenêtre, ressemblant davantage à une meurtrière, s'est déplacée sur le côté. L'agent a sorti une pile de documents de la tablette et l'a mise dans un tiroir qui s'est retiré. La boîte fermée, le militaire restait à proximité, attendant.

Une minute plus tard, la serrure de la porte massive claqua et un soldat aux cheveux gris en sortit.

- Bonjour, Ivanovitch. Là encore ? – l'homme aux cheveux gris a tendu la main à l'officier. Il le secoua sans ôter son gant d'assaut et hocha brièvement la tête.

- Encore. Allez-vous l'inspecter ?

- Pourquoi? – l'interlocuteur a été sincèrement surpris. - Tu n'es pas de là, tu y vas.

- Eh bien, est-ce suffisant ? Soudain, j’essaie de faire entrer clandestinement des immigrants illégaux.

-Tu essaies ? – l'officier supérieur du poste de contrôle plissa les yeux.

- Pas. Je n'essaye pas.

- Eh bien, c'est tout. "Allez avec Dieu", l'homme aux cheveux gris a rendu les documents à l'officier. – Laissez entrer tout le monde – ne laissez personne sortir. Le sais-tu, Ivanovitch ?

"Je sais, bien sûr", acquiesça l'officier.

- C'est comme ça que nous l'avons. Si quelqu’un veut y mourir rapidement, nous n’interviendrons pas. Activement, en tout cas. Mais à partir de là – non, non. Si vous revenez en arrière, nous vous donnerons un aperçu complet. Pourquoi perdre votre temps maintenant ?

"Alors pourquoi ton combattant me tient-il toujours sous la menace d'une arme ?" – l'officier secoua la tête en direction de la tourelle.

- Et encore jeune. "Il traîne les pieds", rigola l'homme aux cheveux gris. - D'accord, Ivanovitch. Je ne tarderai pas. «Soyez», l'officier supérieur du point de contrôle lui a tapoté l'épaule.

- Merci. "Je le ferai certainement", le militaire frappa l'homme aux cheveux gris en arrière, s'éloigna doucement et se tourna vers la voiture.

La deuxième porte, encore plus massive que celle par laquelle entra le cortège, s'ouvrait doucement et silencieusement, contrairement à la porte d'entrée. Derrière tout ce dont dépendait la sécurité de l'autre côté, suivi impeccablement. Les voitures rugissaient avec leurs moteurs et roulaient dans l'obscurité de la nuit. Et j'ai enfin pu reprendre mon souffle.

Traîner sous le fond de l'Oural, attachés avec des ceintures de sécurité, n'était pas l'expérience la plus agréable. Même si j'ai essayé de rendre le harnais aussi confortable que possible, les sangles me coupaient toujours le corps, ralentissant ma circulation sanguine. Mon dos me faisait mal et mes muscles bourdonnaient de tension. Par conséquent, dès que l’Oural s’est arrêté, attendant le signal du conducteur indiquant que la route était libre, j’ai tiré sur la boucle, je suis tombé le plus bas possible et j’ai desserré mes mains.

Le béton m'a donné un coup de pied impitoyable dans le dos et, sans perdre de temps, j'ai roulé sur le bord de la route. Il a attendu que les voitures passent plus loin et s'est alors levé. M'asseyant sur mes genoux et étirant mes mains pour rétablir rapidement la circulation sanguine, j'ai regardé autour de moi.

L'obscurité, si dense qu'on semblait pouvoir la toucher avec les mains, cachait le paysage. Les voitures roulant sans feux de position sont devenues pratiquement impossibles à distinguer. Mais l’obscurité n’était pas calme.

À quelques centaines de mètres de moi, il y eut un crépitement assourdissant et des éclairs blancs se propageant illuminaient les environs. Mais cet éclair n’est pas tombé du ciel vers le sol, mais vice versa. Réveillée par le crash, une bête inconnue rugit quelque part. Son rugissement m'a donné la chair de poule et m'a donné envie de me cacher dans un abri. Des tirs lointains venaient de quelque part. Plusieurs traceurs brillèrent de lumières et disparurent dans la nuit. Il y eut à nouveau le silence.

J'ai jeté le sac à dos qui était auparavant accroché à ma poitrine, j'ai resserré les sangles et je l'ai accroché à mon dos. Il sortit le pistolet de l'étui et chambra une cartouche. Il fallait décider de la direction et enfin commencer à bouger, mais je n'étais pas pressé. J'ai essayé de pénétrer l'atmosphère de ce lieu, dès le premier contact avec lequel j'ai ressenti un étrange mélange de peur et de ravissement.

Personne ne m'a répondu. Et c'est bien.

Il restait encore quelques heures avant le matin, et il était conseillé de ne pas les passer en plein air. Accroché sous le ventre d'un camion militaire, sous les canons de plusieurs mitrailleuses, je me sentais beaucoup plus à l'aise qu'aujourd'hui. En sortant le communicateur, j'ai réduit le rétroéclairage au minimum et j'ai lancé la visionneuse d'images.

Les photographies satellite de la Zone ne constituent pas le meilleur moyen d'orientation. La région est en constante évolution et ce qui a été photographié hier n’est peut-être plus le même aujourd’hui. Mais je m'intéressais à ces monuments qui ne changent pas d'emplacement.

Il existe probablement quelques dossiers sur l’ordinateur de chaque utilisateur, dont le contenu n’est clairement pas destiné au public. Un tel contenu peut être n'importe quoi, par exemple des numéros de carte bancaire ou des photographies personnelles, ce n'est pas la question, la seule chose importante est que ces données soient protégées de manière fiable. L'utilisation d'un mot de passe Windows standard ne constitue pas un obstacle sérieux au piratage ; le cryptage doit être utilisé pour empêcher l'accès aux données. L'exemple le plus simple d'une telle protection est l'archivage avec un bon mot de passe. Toutefois, cette méthode n’est pas sans inconvénients.

Premièrement, cela n'est pas pratique, car l'utilisateur sera obligé de crypter et de déchiffrer l'archive à chaque fois, et deuxièmement, une telle archive peut être facilement copiée puis soumise à un décryptage par force brute. Un moyen plus efficace de protéger les fichiers est le chiffrement à l'aide de la technologie EFS, également connue sous le nom de Encrypting File System, utilisée dans Windows depuis la version 2000. Contrairement à la technologie BitLocker, apparue pour la première fois dans Vista, EFS ne nécessite pas de module matériel TPM, mais au en même temps, EFS ne prend pas en charge le chiffrement d’une partition entière.

Chiffrement Le chiffrement du système de fichiers est effectué à l'aide de clés publiques et privées générées automatiquement par le système la première fois que vous utilisez les outils EFS intégrés. Lors du chiffrement d'un répertoire ou d'un fichier, EFS crée un numéro unique (FEK) qui est chiffré avec la clé principale. À son tour, la clé principale est chiffrée avec la clé utilisateur. Quant à la clé privée de l'utilisateur, elle est également protégée, mais cette fois par un hash du mot de passe système de l'utilisateur.

Il s'avère que les fichiers cryptés par le système EFS ne peuvent être ouverts qu'en utilisant le compte dans lequel ils ont été cryptés. Même si le disque dur contenant les données protégées est retiré et connecté à un autre ordinateur, il ne sera toujours pas possible de le lire. En revanche, si un utilisateur perd le mot de passe de son compte, endommage ou réinstalle le système d'exploitation, les fichiers précédemment cryptés deviendront inaccessibles. Heureusement, les développeurs Windows ont anticipé ce scénario et ont proposé une solution simple, à savoir enregistrer les certificats de chiffrement sur un support amovible.

Le cryptage via EFS sous Windows ne nécessite aucun paramétrage préalable. Disons que nous devons protéger un dossier contenant des images. Dans les propriétés du dossier, sélectionnez Autre

puis cochez la case dans les attributs supplémentaires Chiffrer le contenu pour protéger les données.

Cliquez Appliquer et confirmez la demande de modification des attributs.

À propos, vous ne pouvez appliquer le cryptage qu'à un seul répertoire ou à un répertoire et à tous les fichiers et dossiers qu'il contient.

Comme vous pouvez le voir sur la capture d'écran, le texte du nom du dossier Photos au lieu du noir habituel, il est devenu vert, c'est ainsi que les objets protégés par EFS sont marqués dans Windows.

Les noms de tous les fichiers et dossiers joints seront indiqués dans la même couleur.

Travailler avec des fichiers cryptés n'est pratiquement pas différent de travailler avec d'autres objets du système de fichiers. Vous pouvez afficher, modifier, copier, supprimer, etc., pendant que le cryptage et le décryptage seront effectués à la volée, invisible pour l'utilisateur. Cependant, toutes ces actions ne seront disponibles que pour compte spécifique. En principe, vous pouvez crypter n'importe quel fichier ou dossier de cette manière, à l'exception de ceux du système. De plus, il est strictement déconseillé de chiffrer ce dernier, car cela pourrait rendre impossible le démarrage de Windows.

Si vous chiffrez des données pour la première fois, le système vous demandera de créer une copie de sauvegarde de la clé de chiffrement et du certificat. Ne négligez pas ce conseil, car personne n'est à l'abri d'un dommage accidentel du système d'exploitation ou d'une perte du mot de passe du compte Windows. Cliquez sur le message qui apparaît dans la barre d'état système et ouvrez l'assistant de sauvegarde de certificat. Si le message n'apparaît pas ou si vous fermez accidentellement la fenêtre de l'assistant, vous pouvez y accéder via la console mmc, même si vous devrez bricoler un peu.

Alors, dans la fenêtre de l'assistant, cliquez sur Archiver maintenant et suivez strictement les instructions.

Les paramètres d'exportation peuvent rester inchangés (PKCS #12 .PFX).

Si vous le souhaitez, vous pouvez activer les propriétés avancées.

Comme prévu, définissez le mot de passe aussi complexe que possible.

Il est nécessaire de conserver les certificats et les mots de passe dans un endroit sûr, par exemple dans un tiroir de bureau verrouillé.

La prochaine fois, nous examinerons la procédure de restauration de l'accès aux fichiers cryptés et apprendrons également comment accéder à l'assistant de réservation de certificat si sa fenêtre a été accidentellement fermée.

L'une des fonctionnalités peu connues de Windows est le système de cryptage. Chiffrement du système de fichiers(EFS). Il vous permet de crypter et de protéger rapidement par mot de passe vos fichiers et dossiers dans le système Windows en utilisant votre propre compte utilisateur. Étant donné que les fichiers ou dossiers ont été chiffrés à l'aide du mot de passe du compte utilisateur Windows, les autres utilisateurs de votre système, y compris l'administrateur, ne peuvent pas ouvrir, modifier ou déplacer les dossiers ou fichiers. EFS est utile si vous ne souhaitez pas que d'autres utilisateurs voient vos fichiers et dossiers. Dans ce guide, nous verrons comment mettre un mot de passe sur un dossier et des fichiers à l'aide des outils Windows intégrés, sans programmes tiers.

Le système de fichiers de chiffrement et BitLocker sont des systèmes de chiffrement complètement différents. EFS est moins sécurisé que BitLocker. Toute personne connaissant le mot de passe de votre compte peut facilement y accéder. Vous ne pourrez pas chiffrer des partitions de disque entières, EFS ne fonctionne qu'avec des fichiers et des dossiers, et BitLocker, au contraire, ne fonctionne qu'avec des disques et des lecteurs flash.

Comment mettre un mot de passe sur un dossier et des fichiers

Tout ce que vous avez à faire est de cocher la case et de créer une copie de sauvegarde du certificat de sécurité. Pour commencer, sélectionnez le dossier contenant les fichiers pour lesquels vous souhaitez mettre un mot de passe à l'aide d'EFS, faites un clic droit dessus et sélectionnez " propriétés".

Dans l'onglet "général", cliquez sur Autre attributs.

Dans la fenêtre des attributs supplémentaires, cochez la case Chiffrer le contenu pour protéger les données.

S'il y a des fichiers dans le dossier, la fenêtre suivante apparaîtra. Cliquez sur Appliquer à tous les sous-dossiers et fichiers.

Un dossier avec un point d'exclamation apparaîtra dans votre barre d'état ; cliquez dessus pour une configuration ultérieure.

Créez une copie de la clé, sélectionnez l'option "Archiver maintenant".

Définissez les paramètres comme sur l'image.

Cochez la case "Mot de passe" et créez un mot de passe pour votre dossier et vos fichiers.

Donnez n'importe quel nom à votre certificat de sécurité et choisissez n'importe quel chemin pour le stocker.

J'ai choisi le bureau pour stocker le certificat et je l'ai à mon tour masqué via les propriétés du dossier.

Chiffrement du système de fichiers

Un lecteur attentif pourra m'objecter : qu'en est-il de Windows NT avec son NTFS ? Après tout, NTFS assure le contrôle d’accès et la protection des données contre les accès non autorisés ! Oui, c'est vrai. Mais que se passe-t-il si l'accès à la partition NTFS n'est pas effectué à l'aide du système d'exploitation Windows NT, mais directement, au niveau physique ? Après tout, cela est relativement simple à mettre en œuvre, par exemple en démarrant à partir d'une disquette et en exécutant un programme spécial : par exemple, le très courant ntfsdos. Un exemple plus sophistiqué est le produit NTFS98. Bien entendu, vous pouvez prévoir cette possibilité et définir un mot de passe pour démarrer le système, mais la pratique montre qu'une telle protection est inefficace, notamment lorsque plusieurs utilisateurs travaillent sur le même ordinateur. Et si un attaquant parvient à retirer le disque dur de l'ordinateur, aucun mot de passe ne l'aidera. En connectant le lecteur à un autre ordinateur, son contenu peut être lu avec la même facilité que cet article. Ainsi, un attaquant peut librement prendre possession des informations confidentielles stockées sur le disque dur.

La seule façon de se protéger contre la lecture physique des données est de chiffrer les fichiers. Le cas le plus simple d'un tel cryptage consiste à archiver un fichier avec un mot de passe. Cependant, il existe un certain nombre d’inconvénients sérieux. Premièrement, l'utilisateur doit crypter et décrypter manuellement (c'est-à-dire, dans notre cas, archiver et désarchiver) les données à chaque fois avant de commencer et après avoir terminé le travail, ce qui en soi réduit la sécurité des données. L'utilisateur peut oublier de crypter (archiver) le fichier une fois le travail terminé, ou (ce qui est encore plus courant) simplement laisser une copie du fichier sur le disque. Deuxièmement, les mots de passe créés par les utilisateurs sont généralement faciles à deviner. Dans tous les cas, il existe un nombre suffisant d'utilitaires permettant de décompresser des archives protégées par mot de passe. En règle générale, ces utilitaires effectuent une recherche de mot de passe en recherchant des mots écrits dans le dictionnaire.

Le système EFS a été développé pour pallier ces lacunes. Ci-dessous, nous examinerons plus en détail les détails de la technologie de cryptage, l'interaction EFS avec l'utilisateur et les méthodes de récupération de données, nous familiariserons avec la théorie et la mise en œuvre d'EFS dans Windows 2000, et examinerons également un exemple de cryptage d'un répertoire à l'aide d'EFS.

Technologie de cryptage

EFS utilise l'architecture Windows CryptoAPI. Il est basé sur une technologie de cryptage à clé publique. Pour chiffrer chaque fichier, une clé de chiffrement de fichier est générée de manière aléatoire. Dans ce cas, n’importe quel algorithme de chiffrement symétrique peut être utilisé pour chiffrer le fichier. Actuellement, EFS utilise un algorithme, DESX, qui est une modification spéciale de la norme DES largement utilisée.

Les clés de chiffrement EFS sont stockées dans un pool de mémoire résident (EFS lui-même est situé dans le noyau Windows 2000), ce qui empêche tout accès non autorisé via le fichier d'échange.

Interaction de l'utilisateur

Par défaut, EFS est configuré pour que l'utilisateur puisse commencer à utiliser le cryptage de fichiers immédiatement. Les opérations de chiffrement et d'inversion sont prises en charge pour les fichiers et les répertoires. Si un répertoire est chiffré, tous les fichiers et sous-répertoires de ce répertoire sont automatiquement chiffrés. Il convient de noter que si un fichier crypté est déplacé ou renommé d'un répertoire crypté vers un répertoire non crypté, il restera toujours crypté. Les opérations de cryptage/déchiffrement peuvent être effectuées de deux manières différentes : à l'aide de l'Explorateur Windows ou de l'utilitaire de console Cipher.

Pour chiffrer un répertoire depuis l'Explorateur Windows, il suffit à l'utilisateur de sélectionner un ou plusieurs répertoires et de cocher la case de chiffrement dans la fenêtre des propriétés avancées du répertoire. Tous les fichiers et sous-répertoires créés ultérieurement dans ce répertoire seront également cryptés. Ainsi, vous pouvez crypter un fichier en le copiant (ou en le déplaçant) simplement vers un répertoire « crypté ».

Les fichiers cryptés sont stockés sur le disque sous forme cryptée. Lors de la lecture d'un fichier, les données sont automatiquement déchiffrées et lors de l'écriture, elles sont automatiquement cryptées. L'utilisateur peut travailler avec des fichiers cryptés de la même manière qu'avec des fichiers ordinaires, c'est-à-dire ouvrir et modifier des documents dans l'éditeur de texte Microsoft Word, modifier des dessins dans Adobe Photoshop ou l'éditeur graphique Paint, etc.

Il convient de noter qu'en aucun cas vous ne devez crypter les fichiers utilisés au démarrage du système - à l'heure actuelle, la clé personnelle de l'utilisateur, avec laquelle le décryptage est effectué, n'est pas encore disponible. Cela pourrait rendre le système incapable de démarrer ! EFS offre une protection simple contre de telles situations : les fichiers avec l'attribut « système » ne sont pas cryptés. Attention cependant : cela peut créer une faille de sécurité ! Vérifiez si l'attribut du fichier est défini sur "système" pour vous assurer que le fichier sera réellement crypté.

Il est également important de se rappeler que les fichiers cryptés ne peuvent pas être compressés sous Windows 2000 et vice versa. En d'autres termes, si un répertoire est compressé, son contenu ne peut pas être chiffré, et si le contenu du répertoire est chiffré, il ne peut pas être compressé.

Dans le cas où le décryptage des données est requis, il vous suffit de décocher les cases de cryptage des répertoires sélectionnés dans l'Explorateur Windows, et les fichiers et sous-répertoires seront automatiquement décryptés. Il convient de noter que cette opération n'est généralement pas requise, car EFS offre à l'utilisateur une expérience « transparente » avec les données cryptées.

Récupération de données

EFS fournit une prise en charge intégrée pour la récupération de données au cas où vous auriez besoin de les décrypter, mais pour une raison quelconque, cela ne peut pas être fait normalement. Par défaut, EFS générera automatiquement une clé de récupération, installera un certificat d'accès dans le compte administrateur et l'enregistrera lors de votre première connexion. Ainsi, l'administrateur devient ce qu'on appelle un agent de récupération et pourra décrypter n'importe quel fichier du système. Bien entendu, la politique de récupération des données peut être modifiée et une personne spéciale responsable de la sécurité des données, voire plusieurs de ces personnes, peut être désignée comme agent de récupération.

Un peu de théorie

EFS crypte les données à l'aide d'un schéma de clé partagée. Les données sont cryptées avec un algorithme symétrique rapide utilisant la FEK (file Encryption Key). FEK est une clé générée aléatoirement d'une certaine longueur. La longueur de clé dans la version nord-américaine d'EFS est de 128 bits ; la version internationale d'EFS utilise une longueur de clé réduite de 40 ou 56 bits.

La FEK est chiffrée avec une ou plusieurs clés de chiffrement partagées, ce qui donne lieu à une liste de clés FEK chiffrées. La liste des clés FEK cryptées est stockée dans un attribut EFS spécial appelé DDF (champ de décryptage des données). Les informations utilisées pour crypter les données sont étroitement liées à ce fichier. Les clés publiques sont dérivées des paires de clés utilisateur du certificat X509, avec la possibilité supplémentaire d'utiliser le « Chiffrement de fichier ». Les clés privées de ces paires sont utilisées dans le décryptage des données et FEK. La partie privée des clés est stockée soit sur des cartes à puce, soit dans un autre emplacement sécurisé (par exemple, en mémoire dont la sécurité est assurée grâce à CryptoAPI).

Le FEK est également chiffré à l'aide d'une ou plusieurs clés de récupération (dérivées des certificats X509 enregistrés dans la politique de récupération de données chiffrées de l'ordinateur, avec l'option facultative « Récupération de fichier »).

Comme dans le cas précédent, la partie publique de la clé est utilisée pour chiffrer la liste FEK. Une liste de clés FEK cryptées est également stockée avec le fichier dans une zone spéciale d'EFS appelée DRF (champ de récupération de données). DRF utilise uniquement la partie commune de chaque paire de clés pour chiffrer la liste FEK. Pour les opérations normales sur les fichiers, seules les clés de récupération partagées sont nécessaires. Les agents de récupération peuvent stocker leurs clés privées dans un emplacement sécurisé en dehors du système (par exemple, sur des cartes à puce). La figure montre des diagrammes des processus de cryptage, de décryptage et de récupération de données.

Processus de cryptage

Le fichier non chiffré de l'utilisateur est chiffré à l'aide d'un FEK généré aléatoirement. Cette clé est écrite avec le fichier et le fichier est déchiffré à l'aide de la clé publique de l'utilisateur (stockée dans DDF) ainsi que de la clé publique de l'agent de récupération (stockée dans DRF).

Processus de décryptage

Tout d’abord, la clé privée de l’utilisateur est utilisée pour déchiffrer la FEK – cela se fait à l’aide de la version cryptée de la FEK stockée dans le DDF. Le FEK déchiffré est utilisé pour décrypter le fichier bloc par bloc. Si les blocs d'un fichier volumineux ne sont pas lus séquentiellement, seuls les blocs lus sont déchiffrés. Le fichier reste crypté.

Processus de récupération

Ce processus est similaire au déchiffrement, à la différence que la clé privée de l'agent de récupération est utilisée pour déchiffrer la FEK et que la version chiffrée de la FEK est extraite du DRF.

Implémentation sous Windows 2000

La figure montre l'architecture EFS :

EFS se compose des composants suivants :

Pilote EFS

Ce composant est situé logiquement au-dessus de NTFS. Il interagit avec le service EFS, reçoit les clés de chiffrement de fichiers, les champs DDF, DRF et autres données de gestion de clés. Le pilote transmet ces informations au FSRTL (bibliothèque d'exécution du système de fichiers) pour effectuer de manière transparente diverses opérations du système de fichiers (par exemple, ouvrir un fichier, lire, écrire, ajouter des données à la fin du fichier).

Bibliothèque d'exécution EFS (FSRTL)

FSRTL est un module à l'intérieur du pilote EFS qui effectue des appels externes à NTFS pour effectuer diverses opérations du système de fichiers telles que la lecture, l'écriture, l'ouverture de fichiers et de répertoires cryptés, ainsi que les opérations de cryptage, de déchiffrement et de récupération de données lors de l'écriture sur le disque et de la lecture à partir du disque. . Bien que le pilote EFS et FSRTL soient implémentés comme un seul composant, ils n'interagissent jamais directement. Ils utilisent le mécanisme d'appel NTFS pour échanger des messages entre eux. Cela garantit que NTFS est impliqué dans toutes les opérations sur les fichiers. Les opérations mises en œuvre à l'aide de mécanismes de gestion de fichiers incluent l'écriture de données dans les attributs de fichier EFS (DDF et DRF) et la transmission des FEK calculés par EFS à la bibliothèque FSRTL, car ces clés doivent être définies dans le contexte de l'ouverture du fichier. Ce contexte d'ouverture de fichier permet ensuite un cryptage et un déchiffrement discrets des fichiers au fur et à mesure que les fichiers sont écrits et lus à partir du disque.

Service EFS

Le service EFS fait partie du sous-système de sécurité. Il utilise le port de communication LPC existant entre la LSA (Local Security Authority) et le moniteur de sécurité en mode noyau pour communiquer avec le pilote EFS. En mode utilisateur, le service EFS interagit avec CryptoAPI pour fournir des clés de chiffrement de fichiers et assurer la génération DDF et DRF. De plus, le service EFS prend en charge l'API Win32.

API Win32

Fournit une interface de programmation pour chiffrer les fichiers ouverts, décrypter et récupérer les fichiers fermés, ainsi que recevoir et transmettre des fichiers fermés sans les déchiffrer au préalable. Implémenté en tant que bibliothèque système standard advapi32.dll.

Un peu de pratique

Pour chiffrer un fichier ou un répertoire, procédez comme suit :

Lancez l'Explorateur Windows, faites un clic droit sur le répertoire, sélectionnez Propriétés.
Dans l'onglet Général, cliquez sur le bouton Avancé.

Cochez la case à côté de « Chiffrer le contenu pour sécuriser les données ». Cliquez sur OK, puis cliquez sur Appliquer dans la boîte de dialogue Propriétés. Si vous avez choisi de crypter un fichier individuel, une boîte de dialogue ressemblant à ceci apparaîtra en outre :

Le système propose également de crypter le répertoire dans lequel se trouve le fichier sélectionné, sinon le cryptage sera automatiquement annulé lors de la première modification d'un tel fichier. Gardez toujours cela à l’esprit lorsque vous chiffrez des fichiers individuels !

À ce stade, le processus de cryptage des données peut être considéré comme terminé.

Pour décrypter les répertoires, décochez simplement l'option « Crypter le contenu pour sécuriser les données ». Dans ce cas, les répertoires, ainsi que tous les sous-répertoires et fichiers qu'ils contiennent, seront déchiffrés.

Conclusions

EFS dans Windows 2000 offre aux utilisateurs la possibilité de chiffrer les répertoires NTFS à l'aide d'un système cryptographique puissant à clé partagée, et tous les fichiers des répertoires privés seront chiffrés. Le chiffrement de fichiers individuels est pris en charge, mais n'est pas recommandé en raison du comportement imprévisible de l'application.
EFS prend également en charge le chiffrement des fichiers distants accessibles en tant que ressources partagées. S'il existe des profils utilisateur pour la connexion, les clés et certificats des profils distants sont utilisés. Dans d'autres cas, des profils locaux sont générés et des clés locales sont utilisées.
Le système EFS vous permet de définir une politique de récupération de données telle que les données cryptées puissent être récupérées à l'aide d'EFS si nécessaire.
La stratégie de récupération de données est intégrée à la stratégie de sécurité générale de Windows 2000. L'application de la stratégie de récupération peut être déléguée à des personnes autorisées. Chaque unité organisationnelle peut avoir sa propre politique de récupération de données configurée.
La récupération de données dans EFS est une opération fermée. Le processus de récupération déchiffre les données, mais pas la clé utilisateur avec laquelle les données ont été chiffrées.
Travailler avec des fichiers cryptés dans EFS ne nécessite pas que l'utilisateur prenne des mesures particulières pour crypter et déchiffrer les données. Le décryptage et le cryptage se produisent inaperçus pour l'utilisateur pendant le processus de lecture et d'écriture des données sur le disque.
EFS prend en charge la sauvegarde et la récupération des fichiers cryptés sans les déchiffrer. NtBackup prend en charge la sauvegarde des fichiers cryptés.
EFS est intégré au système d'exploitation de telle manière que la fuite d'informations via les fichiers d'échange est impossible, tout en garantissant que toutes les copies créées sont cryptées.
De nombreuses précautions sont prévues pour garantir la sécurité de la récupération des données, ainsi que la protection contre les fuites et les pertes de données en cas de panne fatale du système.

Page 1 sur 5

Le système de fichiers de cryptage est un service étroitement intégré à NTFS, situé dans le noyau Windows 2000. Son objectif est de protéger les données stockées sur le disque contre tout accès non autorisé en les cryptant. L’apparition de ce service n’est pas fortuite et était attendue depuis longtemps. Le fait est que les systèmes de fichiers qui existent aujourd'hui n'offrent pas la protection nécessaire des données contre tout accès non autorisé. Un lecteur attentif pourra m'objecter : qu'en est-il de Windows NT avec son NTFS ? Après tout, NTFS assure le contrôle d’accès et la protection des données contre les accès non autorisés ! Oui, c'est vrai. Mais que se passe-t-il si l'accès à la partition NTFS n'est pas effectué à l'aide du système d'exploitation Windows NT, mais directement, au niveau physique ? Après tout, cela est relativement simple à mettre en œuvre, par exemple en démarrant à partir d'une disquette et en exécutant un programme spécial : par exemple, le très courant ntfsdos. Un exemple plus sophistiqué est le produit NTFS98, que vous pouvez télécharger

(la version non enregistrée vous permet de lire des volumes NTFS depuis Windows98, la version enregistrée vous permet également d'écrire sur de tels volumes). Bien entendu, vous pouvez prévoir cette possibilité et définir un mot de passe pour démarrer le système, mais la pratique montre qu'une telle protection est inefficace, notamment lorsque plusieurs utilisateurs travaillent sur le même ordinateur. Et si un attaquant parvient à retirer le disque dur de l'ordinateur, aucun mot de passe ne l'aidera. En connectant le lecteur à un autre ordinateur, son contenu peut être lu avec la même facilité que cet article. Ainsi, un attaquant peut librement prendre possession des informations confidentielles stockées sur le disque dur.

Technologie de cryptage

Interaction de l'utilisateur

Il convient de noter qu'en aucun cas vous ne devez crypter les fichiers utilisés au démarrage du système - à l'heure actuelle, la clé personnelle de l'utilisateur, avec laquelle le décryptage est effectué, n'est pas encore disponible. Cela pourrait rendre le système incapable de démarrer ! EFS offre une protection simple contre de telles situations : les fichiers avec l'attribut « système » ne sont pas cryptés. Attention cependant : cela peut créer une faille de sécurité ! Vérifiez si l'attribut du fichier est défini sur « système » pour vous assurer que le fichier sera réellement crypté.

Chiffrement ef s. Système de fichiers de cryptage (EFS) - Cryptez les dossiers et les fichiers sous Windows. Utilisation de l'interface graphique

* * *

Chapitre 1
«Bienvenue dans la Zone, harceleur!»