ATELIER Q : sécurisation à l’aide EFS

Objectifs :
Etre capable de :
- Utiliser EFS à l’aide l’explorateur
- Mettre en œuvre un agent de récupération par certificats
Scénario
L’un des utilisateurs, nommé utilEFS, a quitté votre organisme ; son compte a été supprimé ;
toutes ces données sont cryptées et personne ne peut donc y accéder.
Vous devez donc créer le compte utilEFS avec le mot de passes password dans l’UO EFS.

Exercice 1 : étude du certificat d’agent de récupération

Durée : 5 minutes

Scénario
Examiner les certificats personnels attribués au compte Administrateur sur le premier
contrôleur du domaine
Tâches :
1. Ouvrez une session sur votre serveur en utilisant les informations suivantes :
Utilisateur : Administrateur
2. Cliquez sur Démarrer, puis sur Exécuter.
3. Dans la zone Ouvrir, tapez mmc et cliquez sur OK.
4. Dans la boîte de dialogue Console1, dans le menu Console, cliquez sur Ajouter/Supprimer
un composant logiciel enfichable.
5. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur
Ajouter.
6. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur
Certificats, puis sur Ajouter.
7. Dans la boîte de dialogue Composant logiciel enfichable Certificats, vérifiez que l'option
Mon compte d'utilisateur est sélectionné, puis cliquez sur Terminer.
8. Cliquez sur Fermer
9. Cliquez sur OK
10. Dans l'arborescence de la console, développez Certificats - Utilisateur actuel, puis
Personnel, et cliquez sur Certificats.
 Dans le volet détail, l ‘ensemble des certificats attribués au compte administrateur
doivent être affichés.

23244575.doc Page 1 sur 5

 Note : le compte administrateur sur le premier contrôleur de domaine installé dans un
domaine est l’agent de récupération EFS initial du domaine. Seul ce compte détient la clé
privée de l’agent de récupération EFS.

Exercice 2 : crypter un dossier

Durée : 5 minutes

Scénario
Vous devez crypter le dossier d:\secret sur le contrôleur de domaine sous le compte utilEFS

Tâches :
- ouvrir une session en tant qu’utilEFS
- créer le dossier d:\EFS
- activer le cryptage.

- créer un fichier nommé secret.txt ; saisir le texte « C’est un secret ! » ce document.

- vérifier les autorisations NTFS : TLM en CT
- fermer la session

Tester
- ouvrir une session en tant que administrateur
- tenter d’accéder au fichier mutation.txt : accès refusé
- supprimer ensuite le compte utilEFS.

Exercice 3 : ouverture d’un fichier crypté à l’aide du compte de

récupération par défaut

23244575.doc Page 2 sur 5

Durée : 5 minutes

Scénario
Vous ouvre le fichier d:\efs\secret.txt avec le compte administrateur.

Tâches :
- ouvrir le fichier secret.txt
- est-ce possible ? :

Exercice 4 : exportation d’une clé de récupération de cryptage

Durée : 5 minutes

Scénario
Vous allez exporte la clé de récupération par défaut vers un fichier (*.pfx) afin qu’il puisse être
importé dans un compte de récupération lorsque cela sera nécessaire.
L’exportation de la clé privera aussi le compte Administrateur de la possibilité d’ouvrir tous les
fichiers cryptés dans le domaine.

Tâches :
1. Ouvrez une session sur votre serveur en utilisant les informations suivantes :
Utilisateur : Administrateur
2. Cliquez sur Démarrer, puis sur Exécuter.
3. Dans la zone Ouvrir, tapez mmc et cliquez sur OK.
4. Dans la boîte de dialogue Console1, dans le menu Console, cliquez sur Ajouter/Supprimer
un composant logiciel enfichable.
5. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur
Ajouter.
6. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur
Certificats, puis sur Ajouter.
7. Dans la boîte de dialogue Composant logiciel enfichable Certificats, vérifiez que l'option
Mon compte d'utilisateur est sélectionné, puis cliquez sur Terminer.
8. Cliquez sur Fermer
9. Cliquez sur OK
10. Dans l'arborescence de la console, développez Certificats - Utilisateur actuel, puis
Personnel, et cliquez sur Certificats.
11. Cliquez avec le bouton droit sur la clé Récupération de fichiers (configurez l’affichage pour
cela),
12. Sélectionner le certificat de récupération valable 3 ans.
13. Pointez toutes les tâches, puis cliquez sur exporter
14. Dans la page Bienvenue !, cliquez sur Suivant.
15. Dans la page Exportation de la clé privée, vérifiez que l'option Oui, exporter la clé privée est
sélectionnée, puis cliquez sur Suivant.

16. Dans la page Format de fichier d'exportation, activez la case à cocher Effacer la clé privée
si l'exportation s'est terminée correctement, puis cliquez sur Suivant.

23244575.doc Page 3 sur 5

 17. Dans la page Mot de passe, dans les zones Mot de passe et Confirmer le mot de passe,
tapez password et cliquez sur Suivant.

18. Dans la page Fichier à exporter, dans la zone Nom de fichier, tapez a:\recovery.pfx
19. Insérez une disquette dans le lecteur de disquette, puis cliquez sur Suivant.
20. Dans la page Fin de l'Assistant Exportation de certificat, cliquez sur Terminer.
21. Dans le message Assistant Exportation de certificat, cliquez sur OK.
22. Retirez la disquette du lecteur.
23. Fermez la boîte de dialogue Certificats en enregistrant les paramètres de la console, puis
fermez la session.

Exercice 5 : attribution d’un compte de récupération de fichiers à un

nouveau compte
Durée : 15 minutes

Scénario
Vous allez créer un nouveau compte dédié à la récupération de fichiers cryptés.

Tâches :
1. créer le compte recup
2. ouvrir une session sous ce compte
3. tenter d’accéder au fichier secret.txt :…………….
4. Dans la zone Ouvrir, tapez mmc et cliquez sur OK.
5. Dans la boîte de dialogue Console1, dans le menu Console, cliquez sur Ajouter/Supprimer
un composant logiciel enfichable.
6. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur
Ajouter.
7. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur
Certificats, puis sur Ajouter.
8. Cliquez sur Fermer
9. Cliquez sur OK
10. Dans l'arborescence de la console, développez Certificats - Utilisateur actuel, puis
Personnel, et cliquez sur Certificats : aucun certificat n’est assigné à ce compte.
11. Dans le menu Outils d'administration, cliquez sur Certificats.

23244575.doc Page 4 sur 5

 12. Dans l'arborescence de la console, développez Certificats - Utilisateur actuel, si nécessaire,
cliquez avec le bouton droit sur Personnel, pointez sur Toutes les tâches, puis cliquez sur
Importer.
13. Insérez dans le lecteur la disquette contenant le fichier du certificat.
14. Dans la page Bienvenue !, cliquez sur Suivant.
15. Dans la page Fichier à importer, dans la zone Nom du fichier, tapez a:\certificat.pfx et
cliquez sur Suivant.

16. Dans la page Mot de passe, dans la zone Mot de passe, tapez password et activer la case à
cocher Marquer la clé privée comme étant exportable., puis cliquez sur Suivant.

17. Dans la page Magasin de certificats, cliquez sur Suivant.

18. Dans la page Fin de l'Assistant Importation de certificat, cliquez sur Terminer.

19. Dans le message Assistant Importation de certificat, cliquez sur OK, puis fermez la boîte de
dialogue Certificats en enregistrant les paramètres de la console, si vous y êtes invité.

20. Agrandissez l'Explorateur Windows, puis vérifiez que vous pouvez lire le contenu du fichier
secret.txt.
21. Fermez le Bloc-notes, puis affichez la boîte de dialogue Propriétés de secret.txt.
22. Dans l'onglet Général, cliquez sur Avancés.
23. Dans la boîte de dialogue Attributs avancés, désactivez la case à cocher Crypter le contenu
pour sécuriser les données, puis cliquez sur OK.
24. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de secret.txt, puis fermez
l'Explorateur Windows.

23244575.doc Page 5 sur 5