Prise en charge de l'autorité de certification tierce pour encrypting file system

Traductions disponibles Traductions disponibles
Numéro d'article: 273856 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article explique comment Microsoft Windows 2000 prend en charge les autorités de certification tierce partie qui émettent des certificats (ENCRYPTING File System) et les certificats d'agent de récupération EFS.

Vue d'ensemble

Cet article est divisée en deux sections suivantes :
  • Une brève explication du système EFS et son utilisation de l'infrastructure à clé publique.
  • La solution dans laquelle une autorité de certification tierce est autorisée à délivrer des certificats pour une utilisation par le système EFS de cryptage de fichiers et de restauration.

Plus d'informations

Vue d'ensemble du système EFS et l'infrastructure de clé publique

EFS est la solution dans Windows 2000 pour le cryptage des fichiers sur des volumes de système de fichiers NTFS. EFS utilise la fonctionnalité de crypto architecture et la fonctionnalité de l'infrastructure PKI de Windows 2000.

Inscription de certificat

Au cours d'une opération de cryptage, EFS utilise votre certificat EFS actuel. Si une n'est pas disponible, EFS recherche dans le magasin personnel pour les un brevet approprié. Si le système EFS ne peut pas localiser un certificat en cours, il s'inscrit un certificat EFS. Une autorité de certification Windows 2000 en ligne qui prend en charge le modèle EFS peut délivrer un certificat EFS. Un certificat auto-signé est généré par le système EFS si elle ne peuvent pas inscrire d'un certificat avec une autorité de certification en ligne Windows 2000 ou si vous n'utilisez pas un compte de domaine.

Une fois que EFS choisit un certificat, vous ne pouvez pas le modifier via l'interface utilisateur de système. En outre, EFS ne pas basculer automatiquement les certificats lorsqu'un meilleur une devient disponible (par exemple, lorsque le système EFS utilise son propre certificat auto-signé et vous inscrire pour un certificat EFS d'une autorité de certification en ligne Windows 2000).

Il existe deux façons de modifier le certificat EFS utilise :
  • Pour définir le nouveau certificat pour EFS, utilisez SetUserFileEncryptionKey API, qui est décrite par MSDN (Microsoft Developer Network). EFS Windows démarre en utilisant le nouveau certificat immédiatement.
  • Modifier le hachage du certificat qui est stocké dans la clé de Registre suivante pour le champ d'empreinte dans le nouveau certificat :
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\EFS\CurrentKeys

    Valeur : CertificateHash
    Type : REG_BINARY
    Données : Empreinte du nouveau certificat
EFS s'attend à ce que les clés pour le certificat EFS à stocker dans Librairies Rivest-Shamir-Adelman (RSABase) fournisseur de services de chiffrement (CSP). L'attribut de Clé Info sur le certificat doit pointer vers ce fournisseur de services cryptographiques. EFS recherche dans le magasin de certificats MY, qui contient les certificats et clés privées.

Cryptage des données de fichier et le décryptage

EFS utilise une clé symétrique généré de façon aléatoire pour crypter les données de fichiers. Une nouvelle clé est générée pour chaque fichier est crypté. L'algorithme de cryptage de données utilisée est DESX (une version plus puissante de Data Encryption Standard). Aucun autres algorithmes ne peuvent être configurés.

La clé de cryptage symétrique est puis cryptée à l'aide de la clé publique dérivée de votre certificat EFS. Les données chiffrées qui en résulte, votre nom d'affichage et un hachage du certificat est stocké dans un flux nommé dans le fichier qui contient les métadonnées de EFS. Lorsque le système EFS décrypte un fichier, il utilise votre clé privée pour décrypter la clé de cryptage symétrique. EFS utilise ensuite la clé symétrique pour déchiffrer les données.

Pour crypter un fichier sur un serveur réseau, EFS charge votre profil sur le réseau si vous avez des profils itinérants. Si vous n'avez pas les profils itinérants, EFS s'attend à trouver votre certificat et les clés sur le serveur et essaie de générer un profil il.

Lorsqu'un fichier EFS est copié sur un réseau, il est décrypté et envoyé sur le réseau en texte clair. Pour protéger vos fichiers lorsqu'ils transitent sur votre réseau, utiliser la sécurité IP.

Renouvellement du certificat EFS

Lorsque le certificat EFS a expiré, EFS effectue renouvellement par inscription d'un nouveau certificat avec une nouvelle paire de clés. EFS, lui-même, ne pas renouveler le certificat actuel sa date d'expiration.

Si vous renouvelez le certificat EFS et archivez l'ancien certificat avant sa date d'expiration, le système EFS continue d'utiliser l'ancien certificat jusqu'à son expiration. EFS parcourt ensuite le même processus pour l'inscription pour trouver un nouveau certificat dans la banque ou d'acquérir un nouveau s'il ne peut pas trouver un certificat valide. Lors de la recherche d'un nouveau certificat à utiliser, EFS peut extraire un certificat qui est différent de celui que vous avez acheté par l'intermédiaire de renouvellement, s'il n'y a plusieurs certificats EFS dans le magasin.

Après le démarrage de l'EFS utiliser un nouveau certificat, si elle gère un fichier qui a été précédemment chiffré avec un certificat différent, EFS régénère les métadonnées pour utiliser le nouveau certificat.

La vérification de révocation

EFS n'effectue pas de toute vérification de révocation.

Agent de récupération EFS

Vous pouvez utiliser des agents de récupération EFS pour décrypter un fichier crypté si l'utilisateur qui a crypté le fichier quitte votre entreprise. Vous pouvez inscrire des certificats d'agent de récupération EFS à l'aide du modèle EFS Recovery sur les autorités de certification Windows 2000.

Vous pouvez définir des certificats d'agent de récupération EFS dans Stratégie de domaine global pour tous les utilisateurs sur le domaine. Vous pouvez également définir ces certificats pour tous les utilisateurs sur l'ordinateur local dans Stratégie de l'ordinateur local. Si les deux stratégies sont présents, la stratégie globale est prioritaire.

Pour ouvrir l'Assistant Ajout d'un agent de récupération, cliquez sur Stratégie de groupe, cliquez sur Stratégies de clé publique, puis cliquez sur Agent de récupération de données cryptées. Cet Assistant vous aide à désigner les certificats d'agent de récupération. Vous pouvez cliquez sur Parcourir les dossiers, puis cliquez sur le fichier de certificat directement l'importer en tant que le certificat Agent de récupération. Le certificat est importé avec la notation de l'agent de récupération utilisateur inconnu. Ce problème se produit pour n'importe quel certificat d'autorité de certification tierce partie que vous désignez comme un certificat d'agent de récupération.

Si vous publiez le certificat dans le répertoire pour un utilisateur (qui se produit si vous inscrire par rapport à une autorité de certification de 2000 Windows en ligne pour le certificat Agent de récupération EFS pour l'utilisateur), vous pouvez utiliser l'Assistant pour importer directement l'utilisateur en tant qu'agent de récupération. Parcourez le répertoire et sélectionnez l'utilisateur qui vous souhaitez désigner comme agent de récupération.

Pendant le chiffrement de fichier, la clé de cryptage symétrique est également cryptée à clé publique de l'agent de récupération et les informations sont stockées dans le flux nommé contenant des métadonnées de EFS. Pour récupérer un fichier crypté, EFS utilise clé privée de l'agent de récupération pour décrypter la clé de cryptage symétrique, le système EFS, puis utilise pour décrypter les données.

Règles pour l'autorité de certification tierce pour créer et utiliser EFS valide et agent de récupération EFS certificats

Certificats EFS

Les règles permettant de former le certificat sont les suivantes :
  • L'extension d'utilisation de la clé dans le certificat doit contenir la clé de cryptage et de cryptage des données.
  • L'extension Utilisation avancée de la clé dans le certificat doit contenir l'identificateur de système de fichiers EFS (1.3.6.1.4.1.311.10.3.4).
  • Lors d'utilisation, vous devez stocker les clés dans le fournisseur de services cryptographiques Microsoft RSABase.
  • La propriété de Clé des informations sur le certificat doit pointer vers cette clé.
Pour contenir les valeurs KeyUsage et EnhancedKeyUsage, il se peut que vous deviez personnaliser les autorités de certification tiers à délivrer les certificats contiennent les valeurs correctes.

Il existe deux façons de s'inscrire pour les certificats EFS en utilisant des produits tiers :
  • L'autorité de certification tierce partie peut-être prévoir une inscription est indépendante de Microsoft Crypto Architecture. Dans ce cas, le tiers doit exporter le certificat et la clé privée qui est associée au certificat, dans un fichier peut être importé dans votre profil à l'aide du composant logiciel enfichable MMC Gestionnaire de certificats. Les clés sont importés dans le fournisseur de services cryptographiques Microsoft RSABase et la propriété Des informations de clé est définie pour ce fournisseur de services cryptographiques.
  • L'autorité de certification tierce partie peut-être prévoir une procédure d'inscription Web qui utilise le contrôle de Microsoft XEnroll pour les clients de Microsoft pour inscrire des certificats. À l'aide de cette méthode d'inscription, les clés sont automatiquement stockées dans le CSP RSABase Microsoft et la propriété Des informations de clé est définissez.
Après que vous inscrire un certificat, ou après le renouvellement d'un certificat, vous devez informer EFS sur la modification s'il a précédemment utilisé n'importe quel certificat. Vous devez configurer un appel à SetUserFileEncryptionKey qui pointe vers le nouveau certificat. Si le certificat est créé avant toute opération EFS, il est inutile de configurer un appel SetUserFileEncryptionKey. EFS recherche le nouveau certificat dans votre magasin de certificats personnel et définit comme le certificat par défaut.

Certificats de récupération EFS

Les règles permettant de former le certificat sont les suivantes :
  • Utilisation de clé = cryptage de clé
  • EKU = fichier Recovery(1.3.6.1.4.1.311.10.3.4.1)
Comme indiqué dans la section «Certificat EFS», l'autorité de certification tierce partie peut-être prévoir les clients de Microsoft avec pages d'inscription Web pour s'inscrire pour les certificats ou l'autorité de certification tierce peut exporter le certificat et la clé privée associée dans un fichier qui peut être importé dans un client de Microsoft.

Une fois créé, le certificat peut être importé à l'aide de l'Assistant de l'agent de récupération.

Lors de la récupération de fichier, le certificat de récupération de fichier et la clé privée doivent être importés dans le système qui est utilisée pour restaurer les fichiers conformément aux indications suivantes :
  • Clés doivent être stockées dans le CSP RSABase Microsoft.
  • La propriété de Clé des informations sur le certificat doit pointer vers cette clé dans le CSP RSABase. Le nom de fournisseur doit être «Microsoft Base Cryptographic Provider v1.0.»
Vous pouvez utiliser Importation de certificat dans le composant logiciel enfichable MMC Certificats pour importer le certificat et la clé privée. IMPORTANT : les règles décrites dans cet article ont été validées par Microsoft en configurant un produit d'autorité de certification leader et tiers à délivrer EFS et agent de récupération EFS certificats. Le système EFS Testez équipe testé cryptage et de restauration à l'aide de ces certificats.

Propriétés

Numéro d'article: 273856 - Dernière mise à jour: mercredi 28 février 2007 - Version: 5.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
Mots-clés : 
kbmt kbarttypeinf kbefs kbfile kbinfo KB273856 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 273856
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com