A la demande de ma direction informatique, je recherche une solution
permettant de renforcer la confidentialité de certaines données, y compris
en éliminant les accès à ces fichiers par les administrateurs (typiquement
des données RH, commerciales ultra confidentielles ...). Je connais le
système EFS mais je me pose la question suivante:
Les futurs utilisateurs de ce système EFS seront des personnes possédant des
portables. Ainsi, si celles ci souhaitent assurer le confidentialité de
leurs données, elles utiliseront EFS sur les données stockées sur le
portable. Mais (!!!), par soucis de backup, tous nos portables sont
configurés pour synchroniser vers un serveur les données de l'utilisateur.
De ce fait, un fichier crypté envoyé par copie vers un emplacement serveur
perdra son cryptage et donc sa confidentialité.
D'ou mon problème: existe t il une voie de contournement à ce pb en gardant
l'utilisation d'EFS ? (à ce propos, si vous connaissiez une bonne doc sur
EFS ...).
PGP est elle une solution qui ne s'applique qu'à la messagerie ?
Existe t il une solution autre que EFS permettant de réaliser ce que
j'envisage (et si PGP s'avère inaproprié) ?
Merci à tous de vos connaissances.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Claude BELLAMY
"Dom" a écrit dans le message de news: 434c209b$0$20865$
Bonjour,
A la demande de ma direction informatique, je recherche une solution permettant de renforcer la confidentialité de certaines données, y compris en éliminant les accès à ces fichiers par les administrateurs (typiquement des données RH, commerciales ultra confidentielles ...). Je connais le système EFS mais je me pose la question suivante: Les futurs utilisateurs de ce système EFS seront des personnes possédant des portables. Ainsi, si celles ci souhaitent assurer le confidentialité de leurs données, elles utiliseront EFS sur les données stockées sur le portable. Mais (!!!), par soucis de backup, tous nos portables sont configurés pour synchroniser vers un serveur les données de l'utilisateur. De ce fait, un fichier crypté envoyé par copie vers un emplacement serveur perdra son cryptage et donc sa confidentialité.
Comment s'effectue la copie ? Es-tu dans un domaine ? De quel type est la partition destination ? Le serveur fait-il partie du domaine ?
Car comme tu jettais le doute dans mon esprit, j'ai fait à l'instant la manip de copier, depuis ma station XP, sur mon serveur W2K, un fichier chiffré par moi-même : la copie (sur le serveur) est bien chiffrée ! Et j'ai fait l'inverse : idem Et depuis ma station, si j'accède à la partition distante (sur le serveur), je vois bien mon fichier en vert, avec l'attribut "E"
Evidemment, si la partition sur le serveur est de type FAT, le chiffrement est perdu ! Mais entre nous, créer des partitions FAT sur un serveur, hein, ..., bon, je vais rester poli ... ;-)
D'ou mon problème: existe t il une voie de contournement à ce pb en gardant l'utilisation d'EFS ? (à ce propos, si vous connaissiez une bonne doc sur EFS ...). OUI ! ;-)
http://www.bellamyjc.org/fr/crypto.html
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org ou http://jc.bellamy.free.fr
"Dom" <laurentNOSPAMDom@free.fr> a écrit dans le message de news:
434c209b$0$20865$636a55ce@news.free.fr...
Bonjour,
A la demande de ma direction informatique, je recherche une solution
permettant de renforcer la confidentialité de certaines données, y compris
en éliminant les accès à ces fichiers par les administrateurs (typiquement
des données RH, commerciales ultra confidentielles ...). Je connais le
système EFS mais je me pose la question suivante:
Les futurs utilisateurs de ce système EFS seront des personnes possédant
des portables. Ainsi, si celles ci souhaitent assurer le confidentialité
de leurs données, elles utiliseront EFS sur les données stockées sur le
portable. Mais (!!!), par soucis de backup, tous nos portables sont
configurés pour synchroniser vers un serveur les données de l'utilisateur.
De ce fait, un fichier crypté envoyé par copie vers un emplacement serveur
perdra son cryptage et donc sa confidentialité.
Comment s'effectue la copie ?
Es-tu dans un domaine ?
De quel type est la partition destination ?
Le serveur fait-il partie du domaine ?
Car comme tu jettais le doute dans mon esprit, j'ai fait à l'instant la
manip de copier, depuis ma station XP, sur mon serveur W2K, un fichier
chiffré par moi-même : la copie (sur le serveur) est bien chiffrée !
Et j'ai fait l'inverse : idem
Et depuis ma station, si j'accède à la partition distante (sur le serveur),
je vois bien mon fichier en vert, avec l'attribut "E"
Evidemment, si la partition sur le serveur est de type FAT, le chiffrement
est perdu !
Mais entre nous, créer des partitions FAT sur un serveur, hein, ..., bon, je
vais rester poli ... ;-)
D'ou mon problème: existe t il une voie de contournement à ce pb en
gardant l'utilisation d'EFS ? (à ce propos, si vous connaissiez une bonne
doc sur EFS ...).
OUI ! ;-)
http://www.bellamyjc.org/fr/crypto.html
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - Jean-Claude.Bellamy@wanadoo.fr
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
"Dom" a écrit dans le message de news: 434c209b$0$20865$
Bonjour,
A la demande de ma direction informatique, je recherche une solution permettant de renforcer la confidentialité de certaines données, y compris en éliminant les accès à ces fichiers par les administrateurs (typiquement des données RH, commerciales ultra confidentielles ...). Je connais le système EFS mais je me pose la question suivante: Les futurs utilisateurs de ce système EFS seront des personnes possédant des portables. Ainsi, si celles ci souhaitent assurer le confidentialité de leurs données, elles utiliseront EFS sur les données stockées sur le portable. Mais (!!!), par soucis de backup, tous nos portables sont configurés pour synchroniser vers un serveur les données de l'utilisateur. De ce fait, un fichier crypté envoyé par copie vers un emplacement serveur perdra son cryptage et donc sa confidentialité.
Comment s'effectue la copie ? Es-tu dans un domaine ? De quel type est la partition destination ? Le serveur fait-il partie du domaine ?
Car comme tu jettais le doute dans mon esprit, j'ai fait à l'instant la manip de copier, depuis ma station XP, sur mon serveur W2K, un fichier chiffré par moi-même : la copie (sur le serveur) est bien chiffrée ! Et j'ai fait l'inverse : idem Et depuis ma station, si j'accède à la partition distante (sur le serveur), je vois bien mon fichier en vert, avec l'attribut "E"
Evidemment, si la partition sur le serveur est de type FAT, le chiffrement est perdu ! Mais entre nous, créer des partitions FAT sur un serveur, hein, ..., bon, je vais rester poli ... ;-)
D'ou mon problème: existe t il une voie de contournement à ce pb en gardant l'utilisation d'EFS ? (à ce propos, si vous connaissiez une bonne doc sur EFS ...). OUI ! ;-)
http://www.bellamyjc.org/fr/crypto.html
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dom
Comment s'effectue la copie ? Es-tu dans un domaine ? De quel type est la partition destination ? Le serveur fait-il partie du domaine ?
Les postes st des PC en 2k et XP. Ils appartiennent à un domaine AD. Les partitions st NTFS (stations et serveurs).
Car comme tu jettais le doute dans mon esprit, j'ai fait à l'instant la manip de copier, depuis ma station XP, sur mon serveur W2K, un fichier chiffré par moi-même : la copie (sur le serveur) est bien chiffrée ! Et j'ai fait l'inverse : idem Et depuis ma station, si j'accède à la partition distante (sur le serveur), je vois bien mon fichier en vert, avec l'attribut "E"
Donc, pas d'héritage possible qui ferait sauter le cryptage initial ... bonne nouvelle ! J'ai pas encore fait ce test pour le vérifier de moi même.
D'ou mon problème: existe t il une voie de contournement à ce pb en gardant l'utilisation d'EFS ? (à ce propos, si vous connaissiez une bonne doc sur EFS ...). OUI ! ;-)
http://www.bellamyjc.org/fr/crypto.html
Nickel !!! Mais qui est donc ce JCB dont tout le monde me parle ??? ;-)
Et PGP pour du cryptage de fichiers, possible ?
Merci
Dom
Comment s'effectue la copie ?
Es-tu dans un domaine ?
De quel type est la partition destination ?
Le serveur fait-il partie du domaine ?
Les postes st des PC en 2k et XP. Ils appartiennent à un domaine AD. Les
partitions st NTFS (stations et serveurs).
Car comme tu jettais le doute dans mon esprit, j'ai fait à l'instant la
manip de copier, depuis ma station XP, sur mon serveur W2K, un fichier
chiffré par moi-même : la copie (sur le serveur) est bien chiffrée !
Et j'ai fait l'inverse : idem
Et depuis ma station, si j'accède à la partition distante (sur le
serveur), je vois bien mon fichier en vert, avec l'attribut "E"
Donc, pas d'héritage possible qui ferait sauter le cryptage initial ...
bonne nouvelle ! J'ai pas encore fait ce test pour le vérifier de moi même.
D'ou mon problème: existe t il une voie de contournement à ce pb en
gardant l'utilisation d'EFS ? (à ce propos, si vous connaissiez une bonne
doc sur EFS ...).
OUI ! ;-)
http://www.bellamyjc.org/fr/crypto.html
Nickel !!! Mais qui est donc ce JCB dont tout le monde me parle ??? ;-)
Comment s'effectue la copie ? Es-tu dans un domaine ? De quel type est la partition destination ? Le serveur fait-il partie du domaine ?
Les postes st des PC en 2k et XP. Ils appartiennent à un domaine AD. Les partitions st NTFS (stations et serveurs).
Car comme tu jettais le doute dans mon esprit, j'ai fait à l'instant la manip de copier, depuis ma station XP, sur mon serveur W2K, un fichier chiffré par moi-même : la copie (sur le serveur) est bien chiffrée ! Et j'ai fait l'inverse : idem Et depuis ma station, si j'accède à la partition distante (sur le serveur), je vois bien mon fichier en vert, avec l'attribut "E"
Donc, pas d'héritage possible qui ferait sauter le cryptage initial ... bonne nouvelle ! J'ai pas encore fait ce test pour le vérifier de moi même.
D'ou mon problème: existe t il une voie de contournement à ce pb en gardant l'utilisation d'EFS ? (à ce propos, si vous connaissiez une bonne doc sur EFS ...). OUI ! ;-)
http://www.bellamyjc.org/fr/crypto.html
Nickel !!! Mais qui est donc ce JCB dont tout le monde me parle ??? ;-)
Et PGP pour du cryptage de fichiers, possible ?
Merci
Dom
Jean-Claude BELLAMY
Dans le message :, Dom a pris la peine d'écrire ce qui suit :
[...] Et PGP pour du cryptage de fichiers, possible ?
Oui, mais depuis que PGP est devenu bassement commercial, j'ai laissé tomber ! :-(
Dans le cas de PC sous Windows, autant alors prendre l'existant, à savoir EFS, qui est un excellent produit, fourni avec W2K (PRO et SRV), XP PRO et W2K3, qui fait appel aux technologies de chiffrement les plus réputées (RSA pour les clefs asym, 3DES et AES pour les clefs sym, SHA1 pour le hachage), et donc n'a rien à envier à PGP. Le seul intérêt de PGP est son côté multi-plate-forme.
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dans le message :u3XHjT2zFHA.2792@tk2msftngp13.phx.gbl,
Dom <laurentdom@free.fr> a pris la peine d'écrire ce qui suit :
[...]
Et PGP pour du cryptage de fichiers, possible ?
Oui, mais depuis que PGP est devenu bassement commercial, j'ai laissé tomber
! :-(
Dans le cas de PC sous Windows, autant alors prendre l'existant, à savoir
EFS, qui est un excellent produit, fourni avec W2K (PRO et SRV), XP PRO et
W2K3, qui fait appel aux technologies de chiffrement les plus réputées (RSA
pour les clefs asym, 3DES et AES pour les clefs sym, SHA1 pour le hachage),
et donc n'a rien à envier à PGP.
Le seul intérêt de PGP est son côté multi-plate-forme.
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - Jean-Claude.Bellamy@wanadoo.fr
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dans le message :, Dom a pris la peine d'écrire ce qui suit :
[...] Et PGP pour du cryptage de fichiers, possible ?
Oui, mais depuis que PGP est devenu bassement commercial, j'ai laissé tomber ! :-(
Dans le cas de PC sous Windows, autant alors prendre l'existant, à savoir EFS, qui est un excellent produit, fourni avec W2K (PRO et SRV), XP PRO et W2K3, qui fait appel aux technologies de chiffrement les plus réputées (RSA pour les clefs asym, 3DES et AES pour les clefs sym, SHA1 pour le hachage), et donc n'a rien à envier à PGP. Le seul intérêt de PGP est son côté multi-plate-forme.
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dom
Dommage pour PGP. J'ai également pu constater le coté mercantil de la chose ... Pour en revenir à EFS, j'ai donc fait mon test. J'ai crypté un fichier sur mon portable ---> Plus personne n'y accède, sauf son auteur (bye les admins trop curieux). Et j'ai alors copié ce même fichier sur une partition NTFS de mon serveur de sauvegarde. Et là: grosse (énorme !) déception ! Le cryptage a sauté !!! N'importe qui (sous réserve d'une LCA correcte) y accède ! Quel est alors l'intérêt d'EFS si une simple copie sur une partition NTFS différente permet de contourner la protection ??? Peut être faut il incorporer le certificat de l'utilisateur au niveau des DC du domaine ? Une idée de comment réellement protéger un fichier/dossier par cryptage ?
Dom
Dommage pour PGP. J'ai également pu constater le coté mercantil de la chose
...
Pour en revenir à EFS, j'ai donc fait mon test.
J'ai crypté un fichier sur mon portable ---> Plus personne n'y accède, sauf
son auteur (bye les admins trop curieux).
Et j'ai alors copié ce même fichier sur une partition NTFS de mon serveur de
sauvegarde. Et là: grosse (énorme !) déception ! Le cryptage a sauté !!!
N'importe qui (sous réserve d'une LCA correcte) y accède ! Quel est alors
l'intérêt d'EFS si une simple copie sur une partition NTFS différente permet
de contourner la protection ??? Peut être faut il incorporer le certificat
de l'utilisateur au niveau des DC du domaine ?
Une idée de comment réellement protéger un fichier/dossier par cryptage ?
Dommage pour PGP. J'ai également pu constater le coté mercantil de la chose ... Pour en revenir à EFS, j'ai donc fait mon test. J'ai crypté un fichier sur mon portable ---> Plus personne n'y accède, sauf son auteur (bye les admins trop curieux). Et j'ai alors copié ce même fichier sur une partition NTFS de mon serveur de sauvegarde. Et là: grosse (énorme !) déception ! Le cryptage a sauté !!! N'importe qui (sous réserve d'une LCA correcte) y accède ! Quel est alors l'intérêt d'EFS si une simple copie sur une partition NTFS différente permet de contourner la protection ??? Peut être faut il incorporer le certificat de l'utilisateur au niveau des DC du domaine ? Une idée de comment réellement protéger un fichier/dossier par cryptage ?
Dom
Jean-Claude BELLAMY
Dans le message :, Dom a pris la peine d'écrire ce qui suit :
Dommage pour PGP. J'ai également pu constater le coté mercantil de la chose ... Pour en revenir à EFS, j'ai donc fait mon test. J'ai crypté un fichier sur mon portable ---> Plus personne n'y accède, sauf son auteur (bye les admins trop curieux). Et j'ai alors copié ce même fichier sur une partition NTFS de mon serveur de sauvegarde. Et là: grosse (énorme !) déception ! Le cryptage a sauté !!! N'importe qui (sous réserve d'une LCA correcte) y accède ! Quel est alors l'intérêt d'EFS si une simple copie sur une partition NTFS différente permet de contourner la protection ??? Peut être faut il incorporer le certificat de l'utilisateur au niveau des DC du domaine ? Une idée de comment réellement protéger un fichier/dossier par cryptage ?
Quelle est l'architecture de ton LAN ? Workgroup ou Domaine ?
Si tu es en "bête" workgroup, oui, il est parfaitement normal et logique que le chiffrement "saute", puisque les SID des comptes sont totalement différents d'une machine à une autre. Donc les certificats et les clefs (y compris pour un même utilisateur) sont différents. Si le chiffrement était conservé, cela poserait un pb très sérieux de déchiffremnt sur l'ordinateur cible! En effet, sur l'ordinateur A, le fichier est chiffré avec la clef de l'utilisateur U ayant le SID "UA" Si on copie "brut de fonderie" le fichier chiffré (ce qui se passera avec un backup p.ex.) sur B, le déchiffrement va vouloir utiliser la clef de l'utilisateur U, MAIS il a ici le SID "UB", donc cette clef sera invalide. (cf. http://www.bellamyjc.org/fr/cryptoschemas.html)
Par contre en domaine, grâce à l'unicité des SID et la centralisation de gestion des comptes on n'a pas le même problème. Cependant celà ne suffit pas. Il faut opérer une manip spéciale : (http://support.microsoft.com/?id07877) - ouvrir une session sur le domaine sous un compte admin - ouvrir la MMC de comptes (DSA.MSC) - sélectionner l'ordinateur sur lesquel on voudra copier des fichiers chiffrés. - clic droit/propriétés/Général - cocher "Approuver l'ordinateur pour la délégation"
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dans le message :OFJfoWD0FHA.404@TK2MSFTNGP09.phx.gbl,
Dom <laurentdom@free.fr> a pris la peine d'écrire ce qui suit :
Dommage pour PGP. J'ai également pu constater le coté mercantil de la
chose ...
Pour en revenir à EFS, j'ai donc fait mon test.
J'ai crypté un fichier sur mon portable ---> Plus personne n'y
accède, sauf son auteur (bye les admins trop curieux).
Et j'ai alors copié ce même fichier sur une partition NTFS de mon
serveur de sauvegarde. Et là: grosse (énorme !) déception ! Le
cryptage a sauté !!! N'importe qui (sous réserve d'une LCA correcte)
y accède ! Quel est alors l'intérêt d'EFS si une simple copie sur une
partition NTFS différente permet de contourner la protection ??? Peut
être faut il incorporer le certificat de l'utilisateur au niveau des
DC du domaine ? Une idée de comment réellement protéger un fichier/dossier
par
cryptage ?
Quelle est l'architecture de ton LAN ?
Workgroup ou Domaine ?
Si tu es en "bête" workgroup, oui, il est parfaitement normal et logique que
le chiffrement "saute", puisque les SID des comptes sont totalement
différents d'une machine à une autre. Donc les certificats et les clefs (y
compris pour un même utilisateur) sont différents. Si le chiffrement était
conservé, cela poserait un pb très sérieux de déchiffremnt sur l'ordinateur
cible!
En effet, sur l'ordinateur A, le fichier est chiffré avec la clef de
l'utilisateur U ayant le SID "UA"
Si on copie "brut de fonderie" le fichier chiffré (ce qui se passera avec un
backup p.ex.) sur B, le déchiffrement va vouloir utiliser la clef de
l'utilisateur U, MAIS il a ici le SID "UB", donc cette clef sera invalide.
(cf. http://www.bellamyjc.org/fr/cryptoschemas.html)
Par contre en domaine, grâce à l'unicité des SID et la centralisation de
gestion des comptes on n'a pas le même problème.
Cependant celà ne suffit pas.
Il faut opérer une manip spéciale :
(http://support.microsoft.com/?id07877)
- ouvrir une session sur le domaine sous un compte admin
- ouvrir la MMC de comptes (DSA.MSC)
- sélectionner l'ordinateur sur lesquel on voudra copier
des fichiers chiffrés.
- clic droit/propriétés/Général
- cocher "Approuver l'ordinateur pour la délégation"
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - Jean-Claude.Bellamy@wanadoo.fr
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dans le message :, Dom a pris la peine d'écrire ce qui suit :
Dommage pour PGP. J'ai également pu constater le coté mercantil de la chose ... Pour en revenir à EFS, j'ai donc fait mon test. J'ai crypté un fichier sur mon portable ---> Plus personne n'y accède, sauf son auteur (bye les admins trop curieux). Et j'ai alors copié ce même fichier sur une partition NTFS de mon serveur de sauvegarde. Et là: grosse (énorme !) déception ! Le cryptage a sauté !!! N'importe qui (sous réserve d'une LCA correcte) y accède ! Quel est alors l'intérêt d'EFS si une simple copie sur une partition NTFS différente permet de contourner la protection ??? Peut être faut il incorporer le certificat de l'utilisateur au niveau des DC du domaine ? Une idée de comment réellement protéger un fichier/dossier par cryptage ?
Quelle est l'architecture de ton LAN ? Workgroup ou Domaine ?
Si tu es en "bête" workgroup, oui, il est parfaitement normal et logique que le chiffrement "saute", puisque les SID des comptes sont totalement différents d'une machine à une autre. Donc les certificats et les clefs (y compris pour un même utilisateur) sont différents. Si le chiffrement était conservé, cela poserait un pb très sérieux de déchiffremnt sur l'ordinateur cible! En effet, sur l'ordinateur A, le fichier est chiffré avec la clef de l'utilisateur U ayant le SID "UA" Si on copie "brut de fonderie" le fichier chiffré (ce qui se passera avec un backup p.ex.) sur B, le déchiffrement va vouloir utiliser la clef de l'utilisateur U, MAIS il a ici le SID "UB", donc cette clef sera invalide. (cf. http://www.bellamyjc.org/fr/cryptoschemas.html)
Par contre en domaine, grâce à l'unicité des SID et la centralisation de gestion des comptes on n'a pas le même problème. Cependant celà ne suffit pas. Il faut opérer une manip spéciale : (http://support.microsoft.com/?id07877) - ouvrir une session sur le domaine sous un compte admin - ouvrir la MMC de comptes (DSA.MSC) - sélectionner l'ordinateur sur lesquel on voudra copier des fichiers chiffrés. - clic droit/propriétés/Général - cocher "Approuver l'ordinateur pour la délégation"
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org ou http://jc.bellamy.free.fr
D.
Bonjour,
Pour préciser les questions précédentes: Mes postes en XP sont sur un domaine A (2000). A la lecture de ta précédente réponse, je réalise que mon serveur de sauvegarde est sur un Domaine B (NT) avec appro entre A et B. Donc le cryptage va sauter lorsque le portable va copier son fichier protégé de A vers B. Non ? Et c'est dans ce cas de figure que j'ai fait mon test. Maintenant, imaginons ceci: Mon portable en XP du domaine A copie ces fichiers vers un serveur de sauvegarde de A, sur une partition NTFS. Si j'ai bien suivi, le cryptage demeure et les fichiers sont inaccessibles, y compris aux admins (test cependant à faire). MAIS si un admin landa copie le fichier crypté vers une partition FAT et/ou un autre domaine, qu'advient il de ma protection ? Elle saute ? Plus je réfléchis à EFS et plus je me dis que c'est une protection qui doit être facilement contournable par le simple jeu des héritages.
Dom
Bonjour,
Pour préciser les questions précédentes:
Mes postes en XP sont sur un domaine A (2000). A la lecture de ta précédente
réponse, je réalise que mon serveur de sauvegarde est sur un Domaine B (NT)
avec appro entre A et B. Donc le cryptage va sauter lorsque le portable va
copier son fichier protégé de A vers B. Non ? Et c'est dans ce cas de figure
que j'ai fait mon test.
Maintenant, imaginons ceci:
Mon portable en XP du domaine A copie ces fichiers vers un serveur de
sauvegarde de A, sur une partition NTFS. Si j'ai bien suivi, le cryptage
demeure et les fichiers sont inaccessibles, y compris aux admins (test
cependant à faire). MAIS si un admin landa copie le fichier crypté vers une
partition FAT et/ou un autre domaine, qu'advient il de ma protection ? Elle
saute ?
Plus je réfléchis à EFS et plus je me dis que c'est une protection qui doit
être facilement contournable par le simple jeu des héritages.
Pour préciser les questions précédentes: Mes postes en XP sont sur un domaine A (2000). A la lecture de ta précédente réponse, je réalise que mon serveur de sauvegarde est sur un Domaine B (NT) avec appro entre A et B. Donc le cryptage va sauter lorsque le portable va copier son fichier protégé de A vers B. Non ? Et c'est dans ce cas de figure que j'ai fait mon test. Maintenant, imaginons ceci: Mon portable en XP du domaine A copie ces fichiers vers un serveur de sauvegarde de A, sur une partition NTFS. Si j'ai bien suivi, le cryptage demeure et les fichiers sont inaccessibles, y compris aux admins (test cependant à faire). MAIS si un admin landa copie le fichier crypté vers une partition FAT et/ou un autre domaine, qu'advient il de ma protection ? Elle saute ? Plus je réfléchis à EFS et plus je me dis que c'est une protection qui doit être facilement contournable par le simple jeu des héritages.
Dom
Jean-Claude BELLAMY
Dans le message :434feb2a$0$19236$, D. a pris la peine d'écrire ce qui suit :
Bonjour,
Pour préciser les questions précédentes: Mes postes en XP sont sur un domaine A (2000). A la lecture de ta précédente réponse, je réalise que mon serveur de sauvegarde est sur un Domaine B (NT) avec appro entre A et B. Donc le cryptage va sauter lorsque le portable va copier son fichier protégé de A vers B. Non ?
Obligatoirement, puisque le chiffrement n'existe pas sous NT4 ! EFS est apparu avec W2K
Et c'est dans ce cas de figure que j'ai fait mon test. Maintenant, imaginons ceci: Mon portable en XP du domaine A copie ces fichiers vers un serveur de sauvegarde de A, sur une partition NTFS. Si j'ai bien suivi, le cryptage demeure et les fichiers sont inaccessibles, y compris aux admins (test cependant à faire). MAIS si un admin landa copie le fichier crypté vers une partition FAT et/ou un autre domaine, qu'advient il de ma protection ? Elle saute ?
Oui, forcément, puisque FAT ne connait aucun chiffrement !
MAIS pour que ton admin puisse le faire, il FAUT (au choix) : - qu'il soit le créateur du fichier chiffré - que son auteur l'ait ajouté dans la liste des membres autorisés - qu'il soit agent de récupération de données et que l'auteur du fichier ait effectué des modifs sur le fichier après cela.
Si ce n'est aucun de ces cas, tout admin qu'il soit, il se fera jeter comme un malpropre quand il voudra copier le fichier (même sans l'ouvrir)!
Plus je réfléchis à EFS et plus je me dis que c'est une protection qui doit être facilement contournable par le simple jeu des héritages.
Si on ne réfléchit pas, si on utilise des trucs vaseux (FAT, OS ne supportant pas EFS,...) : oui. Si on fait attention, non !
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dans le message :434feb2a$0$19236$626a54ce@news.free.fr,
D. <LauNOreSpamntDom@free.fr> a pris la peine d'écrire ce qui suit :
Bonjour,
Pour préciser les questions précédentes:
Mes postes en XP sont sur un domaine A (2000). A la lecture de ta
précédente réponse, je réalise que mon serveur de sauvegarde est sur
un Domaine B (NT) avec appro entre A et B. Donc le cryptage va sauter
lorsque le portable va copier son fichier protégé de A vers B. Non ?
Obligatoirement, puisque le chiffrement n'existe pas sous NT4 !
EFS est apparu avec W2K
Et c'est dans ce cas de figure que j'ai fait mon test.
Maintenant, imaginons ceci:
Mon portable en XP du domaine A copie ces fichiers vers un serveur de
sauvegarde de A, sur une partition NTFS. Si j'ai bien suivi, le
cryptage demeure et les fichiers sont inaccessibles, y compris aux
admins (test cependant à faire). MAIS si un admin landa copie le
fichier crypté vers une partition FAT et/ou un autre domaine,
qu'advient il de ma protection ? Elle saute ?
Oui, forcément, puisque FAT ne connait aucun chiffrement !
MAIS pour que ton admin puisse le faire, il FAUT (au choix) :
- qu'il soit le créateur du fichier chiffré
- que son auteur l'ait ajouté dans la liste des membres autorisés
- qu'il soit agent de récupération de données et que l'auteur
du fichier ait effectué des modifs sur le fichier après cela.
Si ce n'est aucun de ces cas, tout admin qu'il soit, il se fera jeter comme
un malpropre quand il voudra copier le fichier (même sans l'ouvrir)!
Plus je réfléchis à EFS et plus je me dis que c'est une protection
qui doit être facilement contournable par le simple jeu des héritages.
Si on ne réfléchit pas, si on utilise des trucs vaseux (FAT, OS ne
supportant pas EFS,...) : oui.
Si on fait attention, non !
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - Jean-Claude.Bellamy@wanadoo.fr
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Dans le message :434feb2a$0$19236$, D. a pris la peine d'écrire ce qui suit :
Bonjour,
Pour préciser les questions précédentes: Mes postes en XP sont sur un domaine A (2000). A la lecture de ta précédente réponse, je réalise que mon serveur de sauvegarde est sur un Domaine B (NT) avec appro entre A et B. Donc le cryptage va sauter lorsque le portable va copier son fichier protégé de A vers B. Non ?
Obligatoirement, puisque le chiffrement n'existe pas sous NT4 ! EFS est apparu avec W2K
Et c'est dans ce cas de figure que j'ai fait mon test. Maintenant, imaginons ceci: Mon portable en XP du domaine A copie ces fichiers vers un serveur de sauvegarde de A, sur une partition NTFS. Si j'ai bien suivi, le cryptage demeure et les fichiers sont inaccessibles, y compris aux admins (test cependant à faire). MAIS si un admin landa copie le fichier crypté vers une partition FAT et/ou un autre domaine, qu'advient il de ma protection ? Elle saute ?
Oui, forcément, puisque FAT ne connait aucun chiffrement !
MAIS pour que ton admin puisse le faire, il FAUT (au choix) : - qu'il soit le créateur du fichier chiffré - que son auteur l'ait ajouté dans la liste des membres autorisés - qu'il soit agent de récupération de données et que l'auteur du fichier ait effectué des modifs sur le fichier après cela.
Si ce n'est aucun de ces cas, tout admin qu'il soit, il se fera jeter comme un malpropre quand il voudra copier le fichier (même sans l'ouvrir)!
Plus je réfléchis à EFS et plus je me dis que c'est une protection qui doit être facilement contournable par le simple jeu des héritages.
Si on ne réfléchit pas, si on utilise des trucs vaseux (FAT, OS ne supportant pas EFS,...) : oui. Si on fait attention, non !
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org ou http://jc.bellamy.free.fr
