none
Comment implémenter l'encryption de répertoires pour des Groupes de Sécurité ? RRS feed

  • Question

  • Bonjour,

    Sur notre serveur 2012, il y a de nombreux répertoires dont l'accès est défini par des Groupes de Sécurité.
    Cependant, pour certains répertoires, il faut en plus ajouter une encryption.

    Comment faire ?

    Est-ce possible avec EFS ?  Dans ce cas, comment faire le lien entre le répertoire à crypter, le Groupe de Sécurité et le certificat ?

    Y aurait-il une autre possibilité de solution ?

    Merci d'avance pour votre aide.

    mercredi 2 octobre 2013 18:50

Réponses

  • EFS est basé sur des certificats, la clé de chiffrement du dossier sera encodé par un (ou plusieurs) certificats. C'est assez laborieux dès lors qu'il y a plusieurs utilisateurs qui doivent accéder aux données, chacun ayant son propre certificat.

    Vous pouvez par contre fournir un certificat commun à un groupe d'utilisateur, qui l'utiliseront pour chiffrer et déchiffrer les données, cela n'a par contre aucun lien avec le groupe de sécurité.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    • Marqué comme réponse Florin Ciuca lundi 7 octobre 2013 08:16
    jeudi 3 octobre 2013 10:12
  • N'est-il pas possible de crypter le disque VHDX lui-même (en entier) ?  Je n'ai pas trouvé comment.

    Vous pouvez utiliser bitlocker pour chiffrer tout un disque, par contre il n'y a pas de notion de clé pour les personnes qui y accèdent, c'est plus une sécurité contre le vol physique du disque.

    Tous les utilisateurs peuvent naviguer dans les répertoires/sous-répertoires.  Seuls les fichiers sont inacessibles sans la clé.  Est-il possible de crypter les répertoires ?

    EFS ne chiffre que des fichiers, et pas des dossiers, ce sont les droits NTFS qui déterminent qui peut naviguer ou pas dans un sous dossier.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr


    • Modifié Bruce JDC jeudi 10 octobre 2013 06:42
    • Marqué comme réponse Athena0501 jeudi 10 octobre 2013 07:33
    jeudi 10 octobre 2013 06:41

Toutes les réponses

  • EFS est basé sur des certificats, la clé de chiffrement du dossier sera encodé par un (ou plusieurs) certificats. C'est assez laborieux dès lors qu'il y a plusieurs utilisateurs qui doivent accéder aux données, chacun ayant son propre certificat.

    Vous pouvez par contre fournir un certificat commun à un groupe d'utilisateur, qui l'utiliseront pour chiffrer et déchiffrer les données, cela n'a par contre aucun lien avec le groupe de sécurité.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    • Marqué comme réponse Florin Ciuca lundi 7 octobre 2013 08:16
    jeudi 3 octobre 2013 10:12
  • Merci pour votre réponse.

    En pratique, cela voudrait donc dire :

    1) Créer un certificat par groupe (même s'il n'a aucun lien avec ce groupe).

    2) Chiffrer le répertoire dont l'accès est réservé à ce groupe avec ce certificat (comment chiffrer avec un certificat bien précis ?)

    3) Installer dans le compte de chaque utilisateur de ce groupe le certificat en question.

    4) Répéter ces manœuvres pour chaque groupe.

    Est-ce correct ?

    jeudi 3 octobre 2013 10:27
  • Pour simplifier, j'ai crypté tous les répertoires d'un disque (de test).

    Mais j'ai les questions suivantes :

    1. N'est-il pas possible de crypter le disque VHDX lui-même (en entier) ?  Je n'ai pas trouvé comment.
    2. Tous les utilisateurs peuvent naviguer dans les répertoires/sous-répertoires.  Seuls les fichiers sont inacessibles sans la clé.  Est-il possible de crypter les répertoires ?

    Merci d'avance pour votre aide.


    jeudi 10 octobre 2013 05:57
  • N'est-il pas possible de crypter le disque VHDX lui-même (en entier) ?  Je n'ai pas trouvé comment.

    Vous pouvez utiliser bitlocker pour chiffrer tout un disque, par contre il n'y a pas de notion de clé pour les personnes qui y accèdent, c'est plus une sécurité contre le vol physique du disque.

    Tous les utilisateurs peuvent naviguer dans les répertoires/sous-répertoires.  Seuls les fichiers sont inacessibles sans la clé.  Est-il possible de crypter les répertoires ?

    EFS ne chiffre que des fichiers, et pas des dossiers, ce sont les droits NTFS qui déterminent qui peut naviguer ou pas dans un sous dossier.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr


    • Modifié Bruce JDC jeudi 10 octobre 2013 06:42
    • Marqué comme réponse Athena0501 jeudi 10 octobre 2013 07:33
    jeudi 10 octobre 2013 06:41
  • OK, c'est clair, merci.

    Je vais finaliser les tests avec les utilisateurs.

    jeudi 10 octobre 2013 07:33
  • J'ai de nouveau un problème...

    Moi seul (avec mon compte d'administration, ayant créé la clé) ai accès aux fichiers.
    Je ne parviens à ajouter aucun autre utilisateur pour tous les fichiers encryptés, même s'ils disposent de la clé.

    Comment puis-je faire pour donner ces droits d'accès à des utilisateurs ou (mieux encore) à des groupes ?

    jeudi 10 octobre 2013 09:30