none
Comment désactiver l'encryption EFS RRS feed

  • Question

  • Bonjour, 

    J'aimerais désactiver l'encryption EFS chez un client mais je me rend compte que le certificat est expiré.

    Je dois donc renouveler le certificat avant de désactiver cette fonction sur le serveur et les postes ou il y a t-il un autre moyen ? 

    J'ai suivis quelque procédure mais je n'en m'en sors pas ... 

    Est-ce que quelqu'un peut m'aider ?  

    Je vous remercie d'avance,

    lundi 2 décembre 2019 17:36

Réponses

  • En plus du certificat pour déchiffrer les fichiers EFS il faut avoir la clé privé du certificat de l'agent de récupération (compte administrateur). Cette clé se trouve sur le profil du compte administrateur sur le premier contrôleur de domaine qui a crée le domaine. Après création d'un domaine il est fortement recommandé d'exporté la clé privé, car si ce DC n'existe, il n'y a plus d'accès à la clé privé de l'agent de récupération permettant le déchiffrement.

    Vous pouvez ouvrir la console MMC certificat et vérifier dans le magasin que le compte dispose du certificat avec la clé privée ayant pour rôle la récupération EFS.

    mercredi 4 décembre 2019 08:22
    Modérateur
  • Bonjour,

    Je vous remercie pour vos explications et conseils. J'ai finalement réussi à décrypter l’entièreté des données.

    Je me suis rendu compte que sur le serveur sur lequel j'était connecté (le nouveau serveur) le certificat de l'administrateur ne s’était pas répliqué.

    J'ai donc exporté le certificat en .PFX avec exportation de la clé privé de l'ancien serveur.

    Je l'ai importé sur le nouveau serveur et j'ai pu décrypter avec le commande cipher /d /s:.

    J'ai ensuite désactivé via GPO l'encryption EFS sur tout le domaine.

    Un grand merci pour votre rapidité et votre aide !



    Best of IT Sprl


    mercredi 4 décembre 2019 09:30

Toutes les réponses

  • Bonjour Olivier Feller,

    Je vous invite à tester la solution proposée dans le thread suivant :

    https://social.technet.microsoft.com/Forums/windows/en-US/16625757-ba72-4eb2-a87f-2dc7157f2f2b/remove-efs-encryption-from-files-that-were-inadvertantly-encrypted-so-efs-can-be-turned-off-for?forum=winserversecurity

    Je vous remercie par avance pour votre retour.

    Cordialement,
    Nedeltcho


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.


    mardi 3 décembre 2019 11:51
    Modérateur
  • Bonjour, 

    Je vous remercie pour réponse.

    j'ai suivis toutes les explications du lien mais malheureusement il y a encore pas mal de fichier qui ne sont pas décryptés ... J'ai un accès refusé sur ces fichiers alors que les droits NTFS me semble correcte .. 

    Le certificat autorisé pour déchiffrer les fichiers est celui de l'Administrateur du domaine.

    J'effectue donc le déchiffrement sur le serveur connecté en tant qu'Administrateur du domaine mais cela ne fonctionne pas ... 


    Bien à vous,


    Best of IT Sprl



    mardi 3 décembre 2019 20:43
  • En plus du certificat pour déchiffrer les fichiers EFS il faut avoir la clé privé du certificat de l'agent de récupération (compte administrateur). Cette clé se trouve sur le profil du compte administrateur sur le premier contrôleur de domaine qui a crée le domaine. Après création d'un domaine il est fortement recommandé d'exporté la clé privé, car si ce DC n'existe, il n'y a plus d'accès à la clé privé de l'agent de récupération permettant le déchiffrement.

    Vous pouvez ouvrir la console MMC certificat et vérifier dans le magasin que le compte dispose du certificat avec la clé privée ayant pour rôle la récupération EFS.

    mercredi 4 décembre 2019 08:22
    Modérateur
  • Bonjour,

    Je vous remercie pour vos explications et conseils. J'ai finalement réussi à décrypter l’entièreté des données.

    Je me suis rendu compte que sur le serveur sur lequel j'était connecté (le nouveau serveur) le certificat de l'administrateur ne s’était pas répliqué.

    J'ai donc exporté le certificat en .PFX avec exportation de la clé privé de l'ancien serveur.

    Je l'ai importé sur le nouveau serveur et j'ai pu décrypter avec le commande cipher /d /s:.

    J'ai ensuite désactivé via GPO l'encryption EFS sur tout le domaine.

    Un grand merci pour votre rapidité et votre aide !



    Best of IT Sprl


    mercredi 4 décembre 2019 09:30
  • Pour compléter les infos et améliorer la compréhension ...


    Je me suis rendu compte que sur le serveur sur lequel j'était connecté (le nouveau serveur) le certificat de l'administrateur ne s’était pas répliqué.

    Le certificat ne se réplique pas, c'est normal. Il est recommandé d'exporter le certificat et la clé privée depuis le premier DC crée dans le domaine et de la conserver en lieu sur ...

    Je l'ai importé sur le nouveau serveur et j'ai pu décrypter avec le commande cipher /d /s:.

    En exportant le certificat il faut également exporté la clé privé, c'est la clé privé qui permet de déchiffrer les fichiers EFS et non le certificat.

    vendredi 6 décembre 2019 07:17
    Modérateur