Sauvegarder la clé privée EFS (Encrypting File System) de l’agent de récupération dans Windows

  • Article

Cet article explique comment sauvegarder la clé privée EFS (Encrypting File System) de l’agent de récupération sur un ordinateur.

Produits concernés : Windows 7 Service Pack 1, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 241201

Résumé

Utilisez la clé privée de l’agent de récupération pour récupérer des données dans les situations où la copie de la clé privée EFS qui se trouve sur l’ordinateur local est perdue. Cet article contient des informations sur l’utilisation de l’Assistant Exportation de certificat pour exporter la clé privée de l’agent de récupération à partir d’un ordinateur membre d’un groupe de travail et d’un contrôleur de domaine windows Server 2003, Windows 2000, Windows Server 2008 ou Windows Server 2008 R2.

Introduction

Cet article explique comment sauvegarder la clé privée EFS (Encrypting File System) de l’agent de récupération dans Windows Server 2003, Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2. Vous pouvez utiliser la clé privée de l’agent de récupération pour récupérer des données dans les situations où la copie de la clé privée EFS qui se trouve sur l’ordinateur local est perdue.

Vous pouvez utiliser EFS pour chiffrer les fichiers de données afin d’empêcher tout accès non autorisé. EFS utilise une clé de chiffrement générée dynamiquement pour chiffrer le fichier. La clé de chiffrement de fichier (FEK) est chiffrée avec la clé publique EFS et est ajoutée au fichier en tant qu’attribut EFS nommé Data Decryption Field (DDF). Pour déchiffrer la clé FEK, vous devez disposer de la clé privée EFS correspondante à partir de la paire de clés publique-privée. Après avoir déchiffré le FEK, vous pouvez utiliser la FEK pour déchiffrer le fichier.

Si votre clé privée EFS est perdue, vous pouvez utiliser un agent de récupération pour récupérer des fichiers chiffrés. Chaque fois qu’un fichier est chiffré, la clé FEK est également chiffrée avec la clé publique de l’agent de récupération. L’objet FEK chiffré est attaché au fichier avec la copie chiffrée avec votre clé publique EFS dans le champ de récupération de données (DRF). Si vous utilisez la clé privée de l’agent de récupération, vous pouvez déchiffrer la clé FEK, puis déchiffrer le fichier.

Par défaut, si un ordinateur exécutant Microsoft Windows 2000 Professionnel est membre d’un groupe de travail ou d’un domaine Microsoft Windows NT 4.0, l’administrateur local qui se connecte d’abord à l’ordinateur est désigné comme agent de récupération par défaut. Par défaut, si un ordinateur exécutant Windows XP ou Windows 2000 est membre d’un domaine Windows Server 2003 ou Windows 2000, le compte Administrateur intégré sur le premier contrôleur de domaine du domaine est désigné comme agent de récupération par défaut.

Un ordinateur qui exécute Windows XP et qui est membre d’un groupe de travail n’a pas d’agent de récupération par défaut. Vous devez créer manuellement un agent de récupération local.

Importante

Après avoir exporté la clé privée vers une disquette ou un autre support amovible, stockez la disquette ou le média dans un emplacement sécurisé. Si une personne obtient l’accès à votre clé privée EFS, cette personne peut accéder à vos données chiffrées.

Exporter la clé privée de l’agent de récupération à partir d’un ordinateur membre d’un groupe de travail

Pour exporter la clé privée de l’agent de récupération à partir d’un ordinateur membre d’un groupe de travail, procédez comme suit :

  1. Connectez-vous à l’ordinateur à l’aide du compte d’utilisateur local de l’agent de récupération.

  2. Cliquez sur Démarrer, puis sur Exécuter, tapez mmc, puis cliquez sur OK.

  3. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. Cliquez ensuite sur Ajouter dans Windows Server 2003, dans Windows XP ou windows 2000. Ou cliquez sur OK dans Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2.

  4. Sous Composants logiciels enfichables autonomes disponibles, cliquez sur Certificats, puis sur Ajouter.

  5. Cliquez sur Mon compte d’utilisateur, puis sur Terminer.

  6. Cliquez sur Fermer, puis sur OK dans Windows Server 2003, windows XP ou Windows 2000. Ou cliquez sur OK dans Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2.

  7. Double-cliquez sur Certificats - Utilisateur actuel, double-cliquez sur Personnel, puis double-cliquez sur Certificats.

  8. Recherchez le certificat qui affiche les mots « Récupération de fichier » (sans les guillemets) dans la colonne Objectifs prévus .

  9. Cliquez avec le bouton droit sur le certificat que vous avez trouvé à l’étape 8, pointez sur Toutes les tâches, puis cliquez sur Exporter. L’Assistant Exportation de certificat démarre.

  10. Cliquez sur Suivant.

  11. Cliquez sur Oui, exportez la clé privée, puis cliquez sur Suivant.

  12. Cliquez sur Échange d’informations personnelles - PKCS #12 (. PFX).

    Remarque

    Nous vous recommandons vivement de cliquer également pour sélectionner la case Activer la protection forte (nécessite IE 5.0, NT 4.0 SP4 ou version ultérieure case activée pour protéger votre clé privée contre tout accès non autorisé.

    Si vous cliquez pour sélectionner la zone Supprimer la clé privée si l’exportation réussit case activée, la clé privée est supprimée de l’ordinateur et vous ne pourrez pas déchiffrer les fichiers chiffrés.

  13. Cliquez sur Suivant.

  14. Spécifiez un mot de passe, puis cliquez sur Suivant.

  15. Spécifiez un nom de fichier et un emplacement où vous souhaitez exporter le certificat et la clé privée, puis cliquez sur Suivant.

    Remarque

    Nous vous recommandons de sauvegarder le fichier sur un disque ou sur un périphérique multimédia amovible, puis de stocker la sauvegarde dans un emplacement où vous pouvez confirmer la sécurité physique de la sauvegarde.

  16. Vérifiez les paramètres affichés dans la page Fin de l’Assistant Exportation de certificat, puis cliquez sur Terminer.

Exporter la clé privée de l’agent de récupération de domaine

Le premier contrôleur de domaine d’un domaine contient le profil administrateur intégré qui contient le certificat public et la clé privée pour l’agent de récupération par défaut du domaine. Le certificat public est importé dans la stratégie de domaine par défaut et est appliqué aux clients de domaine à l’aide de stratégie de groupe. Si le profil Administrateur ou si le premier contrôleur de domaine n’est plus disponible, la clé privée utilisée pour déchiffrer les fichiers chiffrés est perdue et les fichiers ne peuvent pas être récupérés via cet agent de récupération.

Pour localiser la stratégie de récupération de données chiffrées, ouvrez la stratégie de domaine par défaut dans le composant logiciel enfichable Rédacteur objet stratégie de groupe, développez Configuration de l’ordinateur, Paramètres Windows, Paramètres de sécurité, puis Stratégies de clé publique.

Pour exporter la clé privée de l’agent de récupération de domaine, procédez comme suit :

  1. Recherchez le premier contrôleur de domaine qui a été promu dans le domaine.

  2. Connectez-vous au contrôleur de domaine à l’aide du compte Administrateur intégré.

  3. Cliquez sur Démarrer, puis sur Exécuter, tapez mmc, puis cliquez sur OK.

  4. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. Cliquez ensuite sur Ajouter dans Windows Server 2003 ou dans Windows 2000. Ou cliquez sur OK dans Windows Server 2008 ou dans Windows Server 2008 R2.

  5. Sous Composants logiciels enfichables autonomes disponibles, cliquez sur Certificats, puis sur Ajouter.

  6. Cliquez sur Mon compte d’utilisateur, puis sur Terminer.

  7. Cliquez sur Fermer, puis sur OK dans Windows Server 2003 ou windows 2000. Ou cliquez sur OK dans Windows Server 2008 ou dans Windows Server 2008 R2.

  8. Double-cliquez sur Certificats - Utilisateur actuel, double-cliquez sur Personnel, puis double-cliquez sur Certificats.

  9. Recherchez le certificat qui affiche les mots « Récupération de fichier » (sans les guillemets) dans la colonne Objectifs prévus .

  10. Cliquez avec le bouton droit sur le certificat que vous avez localisé à l’étape 9, pointez sur Toutes les tâches, puis cliquez sur Exporter. L’Assistant Exportation de certificat démarre.

  11. Cliquez sur Suivant.

  12. Cliquez sur Oui, exportez la clé privée, puis cliquez sur Suivant.

  13. Cliquez sur Échange d’informations personnelles - PKCS #12 (. PFX).

    Remarque

    Nous vous recommandons vivement de cliquer pour sélectionner la case Activer la protection forte (nécessite IE 5.0, NT 4.0 SP4 ou version ultérieure case activée pour protéger votre clé privée contre tout accès non autorisé.

    Si vous cliquez pour sélectionner la zone Supprimer la clé privée si l’exportation réussit case activée, la clé privée est supprimée du contrôleur de domaine. Comme meilleure pratique, nous vous recommandons d’utiliser cette option. Installez la clé privée de l’agent de récupération uniquement dans les situations où vous en avez besoin pour récupérer des fichiers. À tous les autres moments, exportez, puis stockez la clé privée de l’agent de récupération hors connexion pour assurer sa sécurité.

  14. Cliquez sur Suivant.

  15. Spécifiez un mot de passe, puis cliquez sur Suivant.

  16. Spécifiez un nom de fichier et un emplacement où vous souhaitez exporter le certificat et la clé privée, puis cliquez sur Suivant.

    Remarque

    Nous vous recommandons de sauvegarder le fichier sur un disque ou sur un périphérique multimédia amovible, puis de stocker la sauvegarde dans un emplacement où vous pouvez confirmer la sécurité physique de la sauvegarde.

  17. Vérifiez les paramètres affichés dans la page Fin de l’Assistant Exportation de certificat, puis cliquez sur Terminer.