Configurer les services de fichiers DFS et chiffrer avec BitLocker

Nous allons traiter d'une question d'importance vitale dans notre rôle d'administrateurs, et c'est une question qui est liée à la sécurité de l'information dans notre réseau, nous savons tous que les organisations doivent assurer la sécurité et la disponibilité de l'information puisqu'il n'y a des données extrêmement délicates et si elles sont volées, piratées ou tout autre type de situation peuvent entraîner des problèmes non seulement pour l'organisation mais aussi pour la personne en charge du domaine des systèmes.

Avant de commencer, examinons ce que le Terme de cryptage et quels avantages peut-elle nous offrir; Le cryptage consiste simplement à transformer les données dont nous disposons en un fichier impossible à lire pour un autre utilisateur qui n'est pas autorisé à accéder auxdites données. Il y a aussi le processus de décryptage, qui n'est rien de plus que de convertir les données cryptées à leur état d'origine.

exister 3 types d'algorithmes pour crypter:

SymétriqueC'est celui qui utilise une simple clé pour crypter ou décrypter un fichier.

AsymétriqueC'est celui qui utilise deux clés mathématiquement liées, avec l'une le fichier est crypté et avec l'autre il est décrypté.

Type de hachageCe type de cryptage ne fonctionne que d'une seule manière, c'est-à-dire qu'après cryptage, il ne peut pas être décrypté.

Aujourd'hui, Windows Server 2012 intègre deux (2) technologies de chiffrement

  • Système de cryptage de fichiers - Chiffrement du système de fichiers (EFS)
  • Chiffrement de l'appareil BitlLocker - Chiffrement de lecteur BitLocker

Commençons par la partie pratique, passons au chapitre suivant en cliquant sur suivant.

1. Crypter ou déchiffrer des fichiers à l'aide d'EFS


Il peut chiffrer des fichiers sur des volumes NTFS et pour son utilisation, l'utilisateur doit avoir les codes d'accès, lorsque nous ouvrons (avec le mot de passe valide) un fichier avec EFS sera automatiquement déchiffré et si nous l'enregistrons, il sera déchiffré.

Crypter le fichier avec EFS
Le processus pour chiffrer un fichier avec EFS est le suivant:

Nous devons cliquer avec le bouton droit sur le dossier ou le fichier que nous voulons crypter et choisir l'option Propriétés (modifier):

Dans l'onglet général nous choisissons l'option Options avancées.

L'option s'affichera Attributs avancés.

Nous choisissons l'option Chiffrer le contenu pour protéger les données, on clique sur Accepter.

Nous verrons que notre dossier crypté est mis en évidence.

NoterS'il y a des sous-dossiers dans le dossier que nous avons, lors de l'application des modifications, le système nous demandera si nous voulons appliquer ces modifications à tous les dossiers (y compris les sous-dossiers) ou uniquement au dossier racine

Nous sélectionnons l'option la plus appropriée et cliquons sur Accepter.

Décrypter un fichier ou un dossier avec EFS
Pour décrypter un fichier ou un dossier, nous effectuons le processus suivant :

Nous faisons un clic droit et choisissons les propriétés :

Dans l'onglet général nous choisissons Options avancées:

La fenêtre de Attributs avancés et il faudrait décocher l'option Chiffrer le contenu pour protéger les données:

Nous cliquons sur Accepter Oui Appliquer pour enregistrer les modifications.

Souvenons-nous de ces aspects importants lorsque nous travaillons avec Cryptage EFS:

  • Nous ne pouvons crypter les dossiers qu'à l'aide du volume NTFS.
  • Le dossier sera déchiffré automatiquement lorsque nous le déplacerons ou le copions sur un autre volume NTFS.
  • Les fichiers qui sont à la racine du système ne peuvent pas être chiffrés.
  • L'utilisation d'EFS ne garantit pas que nos fichiers peuvent être supprimés, pour éviter cela, nous devons utiliser les autorisations NTFS.

2. Partager des fichiers protégés par EFS avec d'autres utilisateurs


Comment partager des fichiers protégés par EFS avec d'autres utilisateurs ? C'est une question très demandée dans ce domaine, mais ne vous inquiétez pas, elle a une solution. Lorsque nous chiffrons un fichier avec EFS, seul l'utilisateur qui l'a chiffré peut avoir accès audit fichier, mais dans les dernières versions de NTFS, nous pouvons ajouter un certificat à notre fichier ou dossier chiffré pour le partager avec d'autres personnes.

Pour mener à bien ce processus, nous devons effectuer les étapes suivantes:

Nous faisons un clic droit sur le dossier ou le fichier à partager et choisissons Propriétés.

Dans la fenêtre Propriétés (modifier) nous choisissons Options avancées.

Là, la fenêtre de Attributs avancés, il faut choisir l'option Détails.

Et dans la fenêtre affichée, nous ajoutons simplement les utilisateurs avec lesquels il va être partagé et cliquez sur Accepter.

Dans le cas où quelqu'un qui gérait les ISC a quitté l'organisation ou a oublié le mot de passe de cryptage, nous pouvons utiliser le DRA (agent de récupération de données-agent de récupération de données).

Pour cela, nous allons effectuer le processus suivant :

  • Nous ouvrons notre Administrateur de stratégie de groupe (Dans notre Gestionnaire de serveur ou Administrateur de serveur, menu Outils).
  • Nous déployons la forêt et le domaine.
  • On fait un clic droit sur Stratégie par défaut ou stratégie de domaine par défaut, nous sélectionnons Éditer:

Une fois la fenêtre d'édition ouverte, on passe au parcours suivant :

  • La configuration d'un ordinateur
  • Stratégies
  • Options Windows
  • Les paramètres de sécurité
  • Politiques de clé publique

Nous choisissons Système de cryptage de fichiers (Encrypting File System) et là nous faisons un clic droit et choisissons Créer un agent de récupération de données (Créer un agent de récupération de données).

Nous cliquons sur Système de cryptage de fichiers (Encrypting File Systems), nous choisissons les certificats et fermons l'éditeur de groupe.

3. Gestion des certificats


Lorsque nous créons un fichier pour la première fois, le système crée automatiquement le certificat de cryptage. Nous pouvons faire une sauvegarde sur ledit certificat, pour cela, nous allons à la commande Exécuter ou aux clés :

Windows + R

Et nous entrons dans ce qui suit :

 certmgr.msc

Dans la fenêtre affichée, nous choisissons Personnel / Certificats, dans le certificat affiché, nous faisons un clic droit et choisissons Exporter.

L'assistant d'exportation s'ouvrira, cliquez sur Prochain.

Nous choisissons si nous voulons envoyer la clé privée :

Nous cliquons sur Prochain, on choisit le type de format et on clique à nouveau sur Prochain.

Nous cliquons sur Prochain, nous cherchons notre certificat et cliquons sur Finaliser

4. Cryptage de fichiers à l'aide de Bitlocker


Avec BitLocker (chiffrement de lecteur BDE-BitLocker) Il est possible de crypter des volumes entiers, donc si nous perdons notre appareil, les données resteront cryptées même s'il est installé ailleurs.

BDE utilise une nouvelle fonctionnalité appelée Module de plate-forme de confiance TPM - Module de plate-forme de confiance, et cela permet d'avoir une plus grande sécurité en cas d'attaque externe. BitLocker utilise TPM pour valider le démarrage et le démarrage du serveur, et garantit que le disque dur est dans des conditions optimales de sécurité et de fonctionnement.

Il y a quelques Exigences que nous devons prendre en compte pour implémenter le chiffrement avec BitLocker, ceux-ci sont:

  • Un ordinateur avec TPM.
  • Un périphérique de stockage amovible, tel qu'une clé USB, donc si l'ordinateur n'a pas de TPM, le TPM stocke la clé sur ce périphérique.
  • Minimum 2 partitions sur le disque dur.
  • BIOS compatible avec TPM, si ce n'est pas possible, nous devons mettre à jour notre BIOS en utilisant BitLocker.

TPM est disponible dans les versions suivantes de Windows pour ordinateurs personnels :

  • Windows 7 Ultimate
  • Windows 7 Entreprise
  • Windows 8 Professionnel
  • Windows 8 Entreprise

BitLocker n'est pas couramment utilisé sur les serveurs, mais il peut augmenter la sécurité en le combinant avec le basculement de cluster.

Bit Locker peut prendre en charge les formats suivants :

  • FAT16
  • FAT32
  • NTFS
  • SATA
  • ATA, etc.

BitLocker ne prend pas en charge :

  • Fichiers système CD ou DVD
  • iSCI
  • Fibre
  • Bluetooth

BitLocker utilise 5 modes opérationnels dans son fonctionnement :

TPM + PIN (numéro d'identification personnel) + mot de passeLe système crypte les informations avec TPM, de plus l'administrateur doit entrer son code PIN et son mot de passe pour accéder

TPM + CléLe système crypte les informations avec TPM et l'administrateur doit fournir une clé d'accès

TPM + code PINLe système crypte les informations avec TPM et l'administrateur doit fournir son identifiant d'accès

Clé seulementL'administrateur doit fournir le mot de passe d'accès pour gérer

TPM uniquementAucune action requise par l'administrateur

5. Comment installer Bitlocker


Le processus d'installation de cette fonctionnalité est le suivant :

Nous allons dans Server Administrator ou Server Manager et choisissons Ajouter des rôles et des fonctionnalités situé dans le lancement rapide ou dans le menu Gérer:

AGRANDIR

Dans la fenêtre affichée, nous cliquons sur Prochain, nous choisissons Installation basée sur les rôles ou les fonctionnalités, on clique à nouveau sur Prochain:

Dans la fenêtre suivante, nous sélectionnons notre serveur et cliquez sur Prochain, dans la fenêtre de rôle, nous cliquons sur Prochain car nous allons ajouter une fonctionnalité et non un rôle. Dans la fenêtre de Sélectionnez les fonctionnalités nous choisissons l'option Chiffrement de lecteur BitLocker.

Comme nous le voyons dans le panneau de droite, nous avons un bref résumé des fonctionnalités de cette fonctionnalité, nous cliquons sur Prochain. Une fenêtre s'affichera avec un résumé de ce que nous allons faire :

Nous cliquons sur Installer pour démarrer le processus :

Une fois notre Fonctionnalité BitLocker nous devons redémarrer le serveur.

6. Déterminer si notre ordinateur a TPM


Module de plate-forme de confiance est le connu (TPM). Dans BitLocker, la puce TPM est utilisée pour protéger les clés de chiffrement et d'authentification en assurant l'intégrité en toute confiance.

Pour déterminer si nous avons l'option TPM, nous devons aller à Panneau de commande et nous choisissons l'option Sécurité:

Une fois la fenêtre de Sécurité nous choisissons Chiffrement de lecteur Bitlocker.

Nous verrons que dans le panneau inférieur gauche, nous avons la possibilité de Gestion du TPM.

Nous cliquons sur cette option, Gestion du TPM et nous verrons si notre équipe a installé cette fonctionnalité :

7. Activation de BitLocker


À activer BitLocker nous devons aller à :
  • Panneau de commande
  • Sécurité
  • Chiffrement de lecteur Bitlocker

Nous choisissons l'option Activer BitLocker, le processus d'activation commencera :

Le système indiquera certaines des options suivantes :

Dans cet exemple, nous choisissons Entrer un mot de passe

Le système nous dira quoi faire avec notre mot de passe :

Dans notre cas, nous choisissons Enregistrer dans un fichier :

Nous enregistrons notre mot de passe et cliquons sur Prochain, là le système nous indique quel type de cryptage nous voulons effectuer, unité entière ou seulement espace disque, nous choisissons selon notre configuration.

Nous choisissons et cliquons sur Prochain et enfin nous procédons au chiffrement de notre unité.

AttentionSi, pour une raison matérielle, notre ordinateur ne réussit pas le test TPM, nous pouvons exécuter le processus suivant pour permettre à BitLocker d'être activé :

  • Nous exécutons la commande gpedit.msc dans Cours
  • Nous entrons dans l'itinéraire suivant : Configuration de l'ordinateur / Modèles d'administration / Composants Windows / Chiffrement du lecteur Bitlocker / Lecteurs du système d'exploitation.
  • Nous double-cliquons sur cette dernière option.
  • Nous activons la politique en cliquant sur Activer.
  • Nous économisons et nous pouvons exécuter notre activation sans problème.

Qu'est-ce que BitLocker To Go ?Bitlocker To Go est une fonctionnalité qui nous permet de crypter nos clés USB, pour cela nous devons suivre l'étape précédente en choisissant la clé USB.

Pré-approvisionnement BitLockerCette option vous permet de configurer le Bitlocker avant l'installation du système d'exploitation, pour cela nous devons configurer l'option Windows Preinstallation Environment Win PE avec la commande Manage-bde -on x :

En résumé, nous pouvons dire que nous disposons d'outils qui nous offrent une plus grande sécurité pour nos fichiers et dossiers, le tout dans le but de préserver leur intégrité.

Si vous souhaitez plus d'informations sur DFS, n'oubliez pas de visiter le site officiel de Microsoft.

Chiffrer les disques Windows 10 avec BitLocker

wave wave wave wave wave