Transcript système de fichiers

Windows XP Professionnel
Configuration et gestion
des systèmes de fichiers
Un système de fichiers est la structure dans laquelle les fichiers sont nommés,
stockés et accessibles.
Microsoft® Windows® XP Professionnel prend en charge trois types de systèmes
de fichiers sur les disques durs :
 FAT (File Allocation Table)
 FAT32
 Système de fichiers NTFS (NT File System)
Lorsque vous choisissez un système de fichiers FAT, FAT32 ou NTFS, vous
devez tenir compte des fonctionnalités et des fonctions qui lui sont associées.
Vous devez également prendre en considération les limitations, comme la taille
de volume maximale, la taille de cluster, la taille de fichier et la compatibilité
avec d'autres systèmes d'exploitation.
Le terme volume est utilisé pour désigner aussi bien les volumes de base (c'est-àdire les partitions d'un disque de base) que les volumes dynamiques.
Pour Windows XP Professionnel, le système NTFS est le système de fichiers
favori.
Il prend en charge des fonctionnalités importantes, comme la compression de
fichiers, un niveau supérieur de sécurité et le formatage de très grandes tailles de
volume pour la compatibilité avec la toute dernière technologie de disque.
Vous pouvez facilement convertir des volumes des formats FAT ou FAT32 au
format NTFS lorsque vous effectuez une mise à niveau vers Windows XP
Professionnel.
Toutes les données des volumes FAT ou FAT32 existants sont écrites sur les
nouveaux volumes NTFS.
Après avoir converti un volume au format NTFS, vous ne pouvez pas le reconvertir
aux formats FAT ou FAT32 sans l'avoir reformaté.
FAT est le système de fichiers qui est utilisé par Microsoft MS-DOS® et les
versions suivantes de Windows. FAT32 a été fourni la première fois avec Microsoft
Windows 95 OSR2. Windows XP Professionnel prend en charge les systèmes
de fichiers FAT et FAT32.
Les principales différences entre les systèmes de fichiers FAT et FAT32 sont
les suivantes :
 taille de volume ;
 taille de cluster ;
 systèmes d'exploitation pris en charge.
Le système de fichiers FAT est le mieux adapté aux petits disques pourvus de
structures de dossiers simples.
Le système FAT32 fonctionne bien sur de plus grands disques dotés de structures
de dossiers plus complexes. Le tableau suivant compare les systèmes de fichiers
FAT et FAT32
Les systèmes d'exploitation peuvent accéder uniquement aux volumes qui sont
au format d'un système de fichiers qu'ils prennent en charge.
Le tableau suivant montre les systèmes de fichiers qui sont pris en charge sur les
différents systèmes d'exploitation Windows :
Si vous avez besoin d'un système à double amorçage, vous devez tenir compte
des systèmes d'exploitation que vous exécutez lorsque vous sélectionnez un
système de fichiers.
L'utilisation de Windows XP Professionnel avec certaines configurations à double
amorçage peut nécessiter que vous utilisiez les systèmes de fichiers FAT ou
FAT32.
Windows NT Workstation 4.0 avec le Service Pack 3 ou une version ultérieure
prend en charge une version du système de fichiers NTFS qui n'est pas compatible
avec le système NTFS s'exécutant sur Windows XP Professionnel.
Si vous avez besoin d'un système à double amorçage avec ces deux systèmes
d'exploitation, vous devez utiliser les systèmes de fichiers FAT ou FAT32 pour
Windows NT.
Le système de fichiers NTFS est un système de fichiers qui est disponible sur
Windows NT, Windows 2000 et Windows XP Professionnel. Il n'est pas disponible
sur les autres versions des systèmes d'exploitation Windows.
Le système NTFS fournit des performances et des fonctionnalités qui n'existent pas
dans les systèmes de fichiers FAT ou FAT32. Le système de fichiers NTFS
apporte les avantages ci-dessous.
Fiabilité
Le système de fichiers NTFS utilise les informations du fichier journal et des points
de contrôle pour restaurer la cohérence du système de fichiers lorsque l'ordinateur
est redémarré.
En cas de secteur défectueux, le système de fichiers NTFS remappe de façon
dynamique le cluster contenant le secteur défectueux et alloue un nouveau cluster
aux données.
Le système de fichiers NTFS marque aussi le cluster comme défectueux et ne
l'utilise plus.
Sécurité renforcée
Les fichiers du système NTFS utilisent le système de cryptage de fichiers (EFS,
Encrypting File System) pour sécuriser les fichiers et les dossiers.
Si cette option est activée, les fichiers et les dossiers peuvent être cryptés pour
être utilisés par un ou plusieurs utilisateurs.
Les avantages du cryptage sont la confidentialité et l'intégrité des données,
qui peuvent protéger les données contre toute modification malveillante ou fortuite.
Le système NTFS vous permet aussi de définir des autorisations d'accès sur un
fichier ou un dossier.
Les autorisations peuvent être définies sur Lecture seule, Lecture et Écriture, ou
sur Aucun accès.
 Gestion améliorée de la croissance de stockage
Le système de fichiers NTFS prend en charge l'utilisation de quotas de disque.
Les quotas de disque vous permettent d'indiquer la quantité d'espace disque
disponible pour un utilisateur.
En activant les quotas de disque, vous pouvez effectuer le suivi de l'utilisation de
l'espace disque et la contrôler.
Vous pouvez configurer que les utilisateurs sont autorisés à dépasser leurs limites
et vous pouvez aussi configurer Windows XP Professionnel pour qu'il consigne un
événement à chaque fois qu'un utilisateur excède un niveau d'avertissement ou
une limite de quota spécifiés.
Le système de fichiers NTFS vous permet de créer facilement de l'espace disque
supplémentaire en compressant des fichiers, en étendant des volumes ou en
montant un lecteur.
Prise en charge de tailles de volume supérieures
Théoriquement, vous pouvez formater un volume jusqu'à 32 exaoctets en
utilisant le système de fichiers NTFS. Ce système prend également en
charge des fichiers plus volumineux et un plus grand nombre de fichiers par
volume que les systèmes de fichiers FAT ou FAT32.
Le système de fichiers NTFS gère également l'espace disque de façon efficace en
utilisant des tailles de cluster plus petites. Par exemple, un volume NTFS de 30 Go
utilise des clusters de 4 Ko. Le même volume au format FAT32 utilise des clusters
de 16 Ko. L'utilisation de clusters plus petits réduit l'espace gaspillé sur les disques
durs.
Lorsque le système de fichiers NTFS a été présenté avec Windows NT, les
utilisateurs ont continué de mettre les volumes système et d'amorçage au format
FAT.
En cas d'échec de démarrage, une disquette amorçable MS-DOS peut être utilisée
pour aider à résoudre le problème. Cependant, avec Windows XP Professionnel,
vous ne devez plus utiliser le système de fichiers FAT pour les volumes système et
les volumes d'amorçage, car Windows XP Professionnel fournit deux outils de
dépannage qui sont conçus pour accéder aux volumes NTFS.
 Mode sans échec. Dans ce mode, Windows XP Professionnel démarre en
chargeant uniquement le jeu standard de pilotes de périphérique et de services
système.
 Console de récupération. Il s'agit d'un environnement de ligne de commande
spécial qui vous permet de copier des fichiers système du CD-ROM du système
d'exploitation, résoudre des erreurs de disque et résoudre également les
problèmes de système sans installer une seconde copie du système d'exploitation.
Vous pouvez utiliser n'importe quelle combinaison des systèmes de fichiers
FAT, FAT32 ou NTFS lorsque vous formatez un disque dur.
Cependant, chaque volume d'un disque dur peut être uniquement mis au format
d'un seul système de fichiers.
Lorsque vous choisissez le système de fichiers approprié à utiliser, vous devez
déterminer les éléments ci-dessous.
Si l'ordinateur dispose d'un seul système d'exploitation ou s'il s'agit
d'un système à amorçage multiple.
Sur les ordinateurs qui contiennent plusieurs systèmes d'exploitation, la
compatibilité des systèmes de fichiers peut être complexe, car différentes
versions de Windows prennent en charge différentes combinaisons de
systèmes de fichiers.
Le nombre et la taille de disques durs installés localement.
Chaque système de fichiers a une taille de volume maximale différente. À
mesure que les tailles de volume augmentent, votre choix de systèmes de
fichiers est limité. Par exemple, les systèmes de fichiers FAT32 et NTFS
peuvent lire des volumes supérieurs à 32 Go ; cependant, seul le système
NTFS peut être utilisé pour formater des volumes supérieurs à 32 Go dans
Windows XP Professionnel.
Éléments à prendre en considération en matière de sécurité.
Le système de fichiers NTFS fournit des fonctionnalités de sécurité, comme le
cryptage et des autorisations de dossier et de fichier. Ces fonctionnalités ne
sont pas disponibles sur les volumes FAT ou FAT32.
Si vous avez des avantages à utiliser des fonctionnalités de système de
fichiers avancées.
Le système de fichiers NTFS fournit des fonctionnalités comme les quotas de
disque, le suivi de lien distribué, la compression et les lecteurs montés. Ces
fonctionnalités ne sont pas disponibles sur les volumes FAT ou FAT32.
La conversion du système de fichiers d'un volume diffère du formatage d'un
volume.
Vous formatez un volume qui n'a aucun format de système de fichiers
précédent.
Vous convertissez le système de fichiers d'un volume lorsque vous
transformez le format de fichier existant en un nouveau format.
Windows XP Professionnel peut convertir les systèmes de fichiers FAT, FAT32 et
NTFS de Windows NT en version NTFS de Windows XP Professionnel.
Utilisation du système de fichiers NTFS avec Windows 2000 et Windows XP
Professionnel
Windows 2000 et Windows XP Professionnel utilisent la même version du
système de fichiers NTFS.
Aucune conversion ne se produit donc lorsque Windows XP Professionnel accède
la première fois à un volume NTFS qui a été formaté à l'aide de Windows 2000.
Utilisation du système de fichiers NTFS avec Windows NT 4.0 et Windows XP
Professionnel
Lorsque vous procédez à une mise à niveau de Windows NT 4.0 vers Windows XP
Professionnel, tous les volumes NTFS qui ont été formatés en utilisant Windows
NT 4.0 sont mis à niveau vers la nouvelle version du système de fichiers NTFS.
La mise à niveau se produit lorsque Windows XP Professionnel accède au volume
pour la première fois après l'exécution du programme d'installation de Windows XP
Professionnel.
Tous les volumes NTFS qui sont supprimés ou désactivés pendant l'installation, ou
ajoutés après l'installation, sont convertis lorsque Windows XP Professionnel
accède aux volumes.
Conversion de volumes FAT ou FAT32 au format NTFS
Vous pouvez convertir un volume FAT ou FAT32 au format NTFS en utilisant le
programme d'installation lorsque vous procédez à une mise à niveau vers Windows
XP Professionnel.
Si vous choisissez d'effectuer une conversion après avoir installé Windows XP
Professionnel, vous pouvez utiliser l'outil Gestion des disques ou la commande
convert à partir d'une invite.
Pour utiliser la commande convert pour convertir un volume au format NTFS,
ouvrez la fenêtre d'invite, puis tapez :
convert lettre_lecteur: /fs:NTFS
Avant de convertir un volume FAT ou FAT32 au format NTFS, vous devez
tenir compte des éléments ci-dessous.
 Malgré un risque minimal d'endommagement ou de perte des données pendant
la conversion du format FAT au format NTFS, il est recommandé d'exécuter une
sauvegarde complète des données sur le volume avant de le convertir au format
NTFS. Il est également recommandé de vérifier l'intégrité de la sauvegarde avant
de procéder à la conversion.
 La conversion est un processus unidirectionnel. Après avoir converti un volume
au format NTFS, vous ne pouvez pas reconvertir le volume au format FAT sans
sauvegarder les données sur le volume NTFS, reformater le volume au format FAT,
puis restaurer les données sur le volume FAT nouvellement formaté.
 La conversion du système de fichiers requiert une certaine quantité d'espace
disponible sur le volume et suffisamment de mémoire pour mettre à jour le cache.
Assurez-vous de disposer de suffisamment d'espace disque disponible.
Vous ne pouvez pas convertir le volume d'amorçage de Windows XP Professionnel
tant que Windows XP Professionnel s'exécute ;
Vous ne pouvez pas forcer non plus le démontage du volume qui contient un fichier
d'échange.
Un fichier d'échange est un espace de fichier temporaire utilisé pour la mémoire
virtuelle.
Dans ces situations, vous devez programmer la conversion pour qu'elle se
produise au prochain démarrage de Windows XP Professionnel.
Si vous devez redémarrer l'ordinateur pour effectuer la conversion, Windows XP
Professionnel laisse un délai de dix secondes avant que la conversion ne
commence.
Si vous laissez la conversion se dérouler, Windows XP Professionnel doit
redémarrer deux fois pour effectuer la conversion.
Les fichiers et les dossiers compressés occupent moins d'espace sur un volume
au format NTFS, ce qui vous permet de stocker davantage de données.
Vous pouvez désigner l'état de compression des fichiers et des dossiers :
compressé
non compressé.
Les fichiers et les dossiers que vous copiez ou déplacez peuvent également
conserver leurs états de compression, ou hériter de celui du dossier cible dans
lequel ils sont copiés ou déplacés.
Vous devez suivre des conseils pratiques en matière de gestion de la compression
des données.
La compression de données affecte les performances en ralentissant les processus
d'accès aux données et de stockage des données. Compressez donc uniquement
les données lorsque les autres solutions de stockage sont indisponibles.
Chaque fichier ou dossier d'un volume NTFS présente un état de compression :
compressé ou non compressé.
L'état de compression d'un dossier n'est pas nécessairement le même que celui
des fichiers et des sous-dossiers qu'il contient.
Par exemple, un dossier peut être compressé, alors que tous les fichiers qu'il
contient sont non compressés.
À l'inverse, un dossier non compressé peut contenir des fichiers compressés.
Pour modifier l'état de compression d'un fichier ou d'un dossier, vous devez
disposer des autorisations d'écriture sur ce fichier ou dossier.
Vous pouvez compresser des fichiers et des dossiers non cryptés qui sont stockés
sur des volumes NTFS. Vous ne pouvez pas compresser de fichiers ou de dossiers
cryptés.
Accès aux fichiers compressés
Lorsque vous demandez l'accès à un fichier compressé en utilisant un programme
comme Microsoft Word, ou une commande de système d'exploitation comme
copy, Windows XP Professionnel décompresse automatiquement le fichier.
Lorsque vous fermez ou enregistrez le fichier, Windows XP Professionnel le
recompresse.
Allocation d'espace en fonction de la taille de fichier non compressé
Lorsqu'un fichier compressé est copié dans un dossier compressé, il est
décompressé, copié dans son état décompressé, puis recompressé.
Comme le fichier est dans un état non compressé pendant une certaine période, le
volume de destination doit disposer de suffisamment d'espace pour le contenir.
Dans le cas contraire, le fichier ne peut pas être copié vers le volume et vous
recevez un message d'erreur indiquant qu'il n'y a pas suffisamment d'espace
disque pour le fichier.
Couleur d'affichage de l'état de compression
En utilisant l'Explorateur Windows, vous pouvez sélectionner une couleur
d'affichage différente pour les fichiers et les dossiers compressés afin de les
distinguer des fichiers et des dossiers non compressés.
Vous pouvez définir une couleur d'affichage différente pour les fichiers et les
dossiers compressés.
1. Dans l'Explorateur Windows, dans le menu Outils, cliquez sur Options des
dossiers.
2. Dans l'onglet Affichage, activez la case à cocher Afficher les dossiers et les
fichiers NTFS cryptés ou compressés en couleur, puis cliquez sur OK.
Dans Windows XP Professionnel, vous pouvez utiliser l'Explorateur Windows pour
définir l'état de compression des fichiers et des dossiers.
Pour compresser un fichier ou un dossier, exécutez la procédure ci-dessous :
1. Cliquez avec le bouton droit sur un fichier ou un dossier, puis cliquez sur
Propriétés.
2. Dans la page Propriétés du fichier ou du dossier, cliquez sur Avancé.
3. Dans la boîte de dialogue Attributs avancés, activez la case à cocher
Compresser le contenu pour minimiser l'espace disque nécessaire.
Si vous compressez un dossier, la boîte de dialogue Confirmation des
modifications d'attributs s'affiche.
Cette boîte de dialogue contient deux options supplémentaires décrites dans le
tableau suivant :
Lorsque vous copiez un fichier ou un dossier dans un volume, le fichier ou le
dossier héritent de l'état compressé ou non compressé du dossier cible.
Lorsque vous déplacez un fichier ou un dossier dans un volume, le fichier ou le
dossier conservent l'état de compression d'origine indépendamment de l'état du
dossier cible.
Lorsque vous effectuez des déplacements ou des copies entre des volumes, le
fichier ou le dossier héritent de l'état du dossier de destination.
Le tableau suivant répertorie les options possibles de copie et de déplacement, et
décrit comment Windows XP Professionnel traite l'état de compression d'un fichier
ou d'un dossier :
Lorsque vous déplacez des fichiers et des dossiers entre des volumes, Windows
XP Professionnel copie d'abord les fichiers et le dossier vers le nouvel
emplacement, puis les supprime de l'emplacement d'origine.
Une fois le déplacement effectué, les fichiers héritent de l'état de compression du
dossier cible.
Lorsque vous déplacez ou copiez un fichier ou un dossier compressé sur un disque
ou un volume autre que NTFS, Windows XP Professionnel stocke le fichier ou le
dossier dans un état non compressé.
La compression fonctionne de la même façon sur les disques de base et les
disques dynamiques.
Tenez compte des conseils pratiques ci-dessous en matière de gestion de la
compression sur les volumes NTFS.
 Comme certains types de fichiers sont compressés à des tailles plus petites que
d'autres, compressez les fichiers qui apporteront une plus grande réduction de
taille de fichier. Par exemple, comme les fichiers bitmap de Windows contiennent
davantage de données redondantes que les fichiers exécutables d'application, ce
type de fichier est compressé à une taille inférieure. La taille des fichiers bitmap
compressés est souvent inférieure à 50 % de la taille d'origine, alors que celle des
fichiers d'application compressés est rarement inférieure à 75 % de la taille
d'origine.
 La compression de fichiers exécutables, y compris des fichiers système, fournira
peu d'espace complémentaire et dans la plupart des cas réduira les performances
de système.
 Compressez les données statiques plutôt que les données qui changent
fréquemment.
La compression et la décompression de fichiers peuvent ralentir les performances
du système. Si vous choisissez de compresser les fichiers rarement consultés,
vous réduisez le temps système consacré aux activités de compression et de
décompression.
 Utilisez des couleurs d'affichage différentes pour les dossiers et les fichiers
compressés afin de faciliter la recherche de données compressées.
Les fonctionnalités de sécurité comme l'authentification d'ouverture de session
protègent les ressources réseau des accès non autorisés.
Cependant, si un intrus dispose d'un accès physique à un ordinateur (par exemple,
un ordinateur portable volé), cet intrus peut facilement installer un nouveau
système d'exploitation et passer outre la sécurité du système d'exploitation
existant.
Les données sensibles restent donc exposées. Vous pouvez ajouter une couche
efficace de sécurité en cryptant ces fichiers avec le système EFS.
Lorsque les fichiers sont cryptés, les données sont protégées même si un intrus
dispose d'un accès complet au stockage des données de l'ordinateur.
Le système EFS fournit un cryptage au niveau des fichiers pour les fichiers NTFS.
Quand l'attribut de cryptage d'un fichier est activé, le système EFS stocke le fichier
sous une forme cryptée.
Quand un utilisateur autorisé ouvre un fichier crypté dans une application, le
système EFS décrypte le fichier en arrière-plan et fournit une copie non cryptée à
l'application.
Du point de vue de l'utilisateur, crypter un fichier revient simplement à définir un
attribut de fichier. Les utilisateurs autorisés peuvent afficher ou modifier le fichier, et
le système EFS enregistre tous les changements de manière transparente sous la
forme de données cryptées.
L'utilisateur non autorisé reçoit un message indiquant que l'accès est refusé
lorsqu'il essaie d'accéder à un fichier crypté.
Le système EFS est particulièrement utile pour sécuriser des données sensibles
sur des ordinateurs portables ou sur des ordinateurs partagés par plusieurs
utilisateurs.
Dans un système partagé, un intrus peut accéder en démarrant un système
d'exploitation différent comme MS-DOS à partir d'une disquette.
Aussi, si un ordinateur portable est volé, le disque dur peut être supprimé et
branché à un autre ordinateur et les fichiers peuvent être lus.
Les fichiers EFS, cependant, afficheront des caractères inintelligibles si un
utilisateur ne dispose pas de la clé de décryptage.
Le système EFS permet aux utilisateurs de stocker des données sur le disque
dur dans un format crypté.
Une fois qu'un utilisateur a crypté un fichier, celui-ci demeure crypté tant qu'il est
stocké sur le disque. Notez que le cryptage et la compression sont des processus
différents.
Les fichiers ne peuvent pas être cryptés et compressés simultanément.
Le système EFS présente les principales fonctionnalités décrites ci-dessous :
 Il fonctionne en arrière-plan et est transparent pour les utilisateurs et les
applications.
 Il permet uniquement aux utilisateurs autorisés d'accéder à un fichier crypté.
Le système EFS décrypte automatiquement le fichier à utiliser, puis le recrypte
lorsqu'il est enregistré.
Les agents de récupération de données autorisés peuvent récupérer les
données cryptées par un autre utilisateur.
Un agent de récupération de données est un compte d'utilisateur qui est
configuré pour la récupération de fichiers cryptés.
Les agents de récupération de données garantissent que les données sont
accessibles si l'utilisateur qui les a cryptées n'est pas disponible ou perd sa clé
privée.
Cependant, dans Windows XP Professionnel, les agents de récupération de
données ne sont pas nécessaires pour que le système EFS fonctionne.
Les fichiers peuvent être cryptés localement ou sur le réseau. Les fichiers
des dossiers hors connexion peuvent être cryptés.
Une couleur d'affichage peut être utilisée pour désigner des fichiers et des
dossiers cryptés.
Comme le système EFS fonctionne au niveau du système, il peut enregistrer des
fichiers temporaires dans des dossiers protégés par un système autre que le
système EFS.
Pour une plus grande protection, pensez au cryptage au niveau des dossiers.
Tous les fichiers qui sont ajoutés dans des dossiers protégés par le système EFS
sont cryptés automatiquement.
Le système EFS ne crypte pas les données lorsqu'elles sont en cours de
transmission sur le réseau.
Comme les données sont transmises en texte brut, le système EFS ne doit pas être
implémenté comme base de sécurité de réseau pour des fichiers.
Pour sécuriser les données lorsqu'elles sont en cours de transmission, pensez à
effectuer les tâches après :
Implémenter le système EFS sur les ordinateurs locaux, puis utiliser la
sécurité IPSec (Internet Protocol Security) pour crypter les données
lorsqu'elles circulent sur le réseau.
Utiliser WebDAV (Web Distributed Authoring and Versioning), qui crypte
les fichiers à mesure de leur transmission. Lorsque les fichiers sont extraits de
dossiers WebDAV, ils sont transmis sous forme de flux de données brutes.
En d'autres termes, le fichier n'est pas décrypté avant d'être transmis.
Accéder aux fichiers cryptés en utilisant le Bureau à distance ou les services
Terminal Server.
Le système EFS est pris en charge uniquement pour les versions Windows
2000 et Windows XP Professionnel du système de fichiers NTFS. Il ne
fonctionne pas avec d'autres systèmes de fichiers, notamment les versions
NTFS s'exécutant sur Windows NT.
Le système EFS crypte un fichier ou un dossier comme indiqué ci-dessous :
1. Tous les flux de données du fichier sont copiés dans un fichier temporaire de
texte brut dans le répertoire temporaire du système.
2. Une clé de cryptage de fichier est générée de façon aléatoire et utilisée pour
crypter les données en utilisant un algorithme de cryptage.
3. Un champ de décryptage de données (DDF, Data Decryption Field) est créé pour
contenir la clé de cryptage de fichier et la clé publique de l'utilisateur. Le
système EFS obtient automatiquement la clé publique de l'utilisateur à partir du
certificat de cryptage de fichier de l'utilisateur. Un certificat est un document
numérique généralement utilisé pour l'authentification, qui est signé et émis par
une autorité de certification. Chaque utilisateur dispose d'un magasin de
certificats personnel créé lorsqu'un utilisateur est ajouté au système. L'autorité
de certification peut émettre d'autres certificats.
4. Si un agent de récupération a été désigné par le biais du programme Stratégie
de groupe, un champ de récupération de données (DRF, Data Recovery Field)
est créé pour contenir la clé de cryptage de fichier et la clé publique de l'agent
de récupération. Le système EFS obtient automatiquement la clé publique de
l'agent de récupération dans le certificat de récupération de fichier de l'agent de
récupération, qui est stocké dans la stratégie de récupération de données
cryptées. S'il y a plusieurs agents de récupération, la clé de cryptage de fichier
est cryptée avec la clé publique de chaque agent et un champ DRF est créé
pour stocker chaque clé de cryptage de fichier.
5. Le système EFS écrit les données cryptées, avec les champs DDF et DRF, à
nouveau dans le fichier.
6. Le fichier temporaire en texte brut est supprimé.
Tous les fichiers et sous-dossiers que vous créez dans un dossier crypté sont
automatiquement cryptés.
Chacun de ces fichiers dispose d'une clé de cryptage unique, qui vous permet de
renommer en toute sécurité les fichiers.
Si vous déplacez un fichier d'un dossier crypté vers un dossier non crypté du même
volume, le fichier reste crypté.
Cryptage d'un fichier ou d'un dossier
Pour crypter un fichier ou un dossier, exécutez la procédure ci-dessous :
1. Cliquez avec le bouton droit sur le fichier ou le dossier, puis cliquez sur
Propriétés.
2. Cliquez sur l'onglet Général, puis sur Avancé.
3. Cliquez sur Crypter le contenu pour sécuriser les données.
Lorsque vous cliquez sur OK, si le dossier contient des fichiers ou des sousdossiers non cryptés, la boîte de dialogue Confirmation des modifications d'attributs
s'affiche et vous donne la possibilité d'appliquer les changements uniquement au
dossier, ou au dossier, ses sous-dossiers et tous les fichiers.
Cryptage de fichiers que vous ne possédez pas
Le système EFS vous permet de crypter des fichiers que vous ne possédez pas, à
condition que vous disposiez des autorisations suivantes sur les fichiers :
Attributs d'écriture, Création de fichiers/Écriture de données et Liste du
dossier/Lecture de données.
Sélectionnez Crypter le contenu pour sécuriser les données, puis, dans la boîte
de dialogue Confirmation des modifications d'attributs qui s'affiche,
sélectionnez l'option Appliquer les modifications à ce dossier et à tous les
sous-dossiers et fichiers. Vous serez le seul à pouvoir décrypter les fichiers, les
autres utilisateurs ne pourront pas accéder aux fichiers ni aux dossiers.
Si vous devez décrypter des fichiers, vous pouvez les récupérer en sélectionnant
les dossiers individuels à décrypter et en désactivant la case à cocher Crypter le
contenu pour sécuriser les données.
Affichage de l'état de cryptage d'un fichier ou d'un dossier
Comme le cryptage est l'attribut d'un fichier ou d'un dossier, il est possible de
déterminer si un fichier ou un dossier est déjà crypté en examinant ses attributs.
Vous pouvez également ajouter la colonne Attributs au volet de détails.
Vous constaterez ainsi que les fichiers et les dossiers portant l'attribut E sont
cryptés.
Vous pouvez aussi indiquer les dossiers cryptés en utilisant une autre couleur
d'affichage.
Pour définir une autre couleur d'affichage pour les dossiers cryptés, exécutez la
procédure suivante :
1. Dans l'Explorateur Windows, dans le menu Outils, cliquez sur Options des
dossiers.
2. Dans l'onglet Affichage, activez la case à cocher Afficher les dossiers et les
fichiers NTFS cryptés ou compressés en couleur, puis cliquez sur OK.
Lorsque vous ajoutez un utilisateur autorisé dans un fichier crypté EFS, vous
pouvez ajouter un utilisateur de domaine ou un utilisateur de domaine approuvé.
Cependant, avant qu'un utilisateur puisse être ajouté, cet utilisateur doit disposer
d'un certificat EFS valide placé sur l'ordinateur ou obtenu auprès d'un service
valide, comme le service d'annuaire Active Directory™.
Après avoir crypté un fichier, ouvrez la page de propriétés du fichier, cliquez sur
Avancé, puis sur Détails pour ajouter d'autres utilisateurs autorisés.
La page de propriétés Détails de cryptage affiche les utilisateurs autorisés dans le
volet supérieur et les agents de récupération de données désignés dans le volet
inférieur.
Seuls les utilisateurs autorisés peuvent être ajoutés dans cette page.
Lorsque les applications doivent accéder à un fichier crypté, ce fichier doit être
décrypté. Le décryptage se déroule comme décrit ci-dessous.
1. Le système de fichiers NTFS reconnaît que le fichier est crypté, envoie une
demande au système EFS et extrait le champ DDF. Le système EFS extrait alors la
clé privée de l'utilisateur du profil d'utilisateur et l'utilise pour décrypter le champ
DDF et obtenir la clé de cryptage du fichier.
2. Le système EFS utilise la clé de cryptage du fichier pour décrypter les sections
du fichier selon les besoins de l'application.
3. Le système EFS renvoie les données décryptées au système NTFS, qui envoie
alors les données à l'application demandante.
Pour supprimer le cryptage d'un fichier ou d'un dossier, exécutez la procédure cidessous.
1. Cliquez avec le bouton droit sur le fichier ou le dossier, puis cliquez sur
Propriétés.
2. Cliquez sur l'onglet Général, puis sur Avancé.
3. Désactivez la case à cocher Crypter le contenu pour sécuriser les
données.
Si la clé privée du propriétaire est indisponible, un agent de récupération désigné
peut ouvrir le fichier en utilisant sa propre clé privée.
Un ou plusieurs utilisateurs, en général des comptes de niveau administrateur,
peuvent être désignés comme agents de récupération de données (DRA, Data
Recovery Agent) par le biais du programme Stratégie Locale d'ordinateurs
autonomes ou du programme Stratégie de groupe d'un domaine.
Par défaut, dans un domaine, la stratégie de récupération EFS désigne le compte
d'administrateur de niveau supérieur comme étant l'agent de récupération de
données sur le premier contrôleur de domaine installé dans le domaine.
Différents agents de récupération de données peuvent être désignés en changeant
la stratégie de récupération EFS, et différentes stratégies de récupération peuvent
être configurées pour différentes parties d'une entreprise.
Utilisation d'agents de récupération désignés
Si l'agent de récupération utilise un autre ordinateur sur le réseau, vous devez
envoyer le fichier à cet agent.
L'agent de récupération peut fournir sa clé privée à l'ordinateur du propriétaire,
mais il n'est pas recommandé de copier une clé privée sur un autre ordinateur pour
des raisons de sécurité.
Si la désignation de l'agent de récupération change, alors l'accès au fichier est
refusé.
C'est pourquoi il est recommandé de conserver les certificats de récupération et les
clés privées jusqu'à ce que tous les fichiers cryptés à l'aide de ces certificats et de
ces clés aient été mis à jour.
Sauvegarde et restauration de fichiers ou de dossiers cryptés
Les fichiers et les dossiers cryptés le restent lorsque vous les sauvegardez.
Les fichiers de sauvegarde restent cryptés lorsqu'ils sont transférés sur le réseau
ou lorsqu'ils sont copiés ou déplacés sur n'importe quel support de stockage,
notamment des volumes autres que NTFS.
Si vous restaurez des fichiers de sauvegarde sur des volumes NTFS dans
Windows 2000 ou Windows XP Professionnel, ils restent cryptés. Si les
sauvegardes constituent une méthode de récupération d'urgence efficace, elles
peuvent également être utilisées pour déplacer des fichiers entre des ordinateurs et
des sites et ce, en toute sécurité.
L'ouverture de fichiers restaurés et cryptés ne diffère pas du décryptage et de
l'ouverture des autres fichiers cryptés.
Cependant, si les fichiers sont restaurés à partir d'une sauvegarde sur un nouvel
ordinateur, ou à n'importe quel emplacement où le profil d'utilisateur et par
conséquent la clé privée qui est nécessaire pour décrypter les fichiers, n'est pas
disponible, l'utilisateur peut importer un certificat EFS et une clé privée.
Après avoir importé le certificat et la clé privée, l'utilisateur peut décrypter les
fichiers.
Un agent de récupération de données peut aussi être utilisé pour décrypter un
fichier pour l'utilisateur, si ce dernier n'est pas en mesure de décrypter le fichier.
Le cryptage est une opération sensible.
Il est important de ne pas décrypter par inadvertance des données cryptées.
Il est donc recommandé que les utilisateurs suivent les conseils pratiques
présentés ci-dessous :
Cryptez le dossier Mes documents (répertoire_racine\profil_utilisateur\ Mes
documents) pour vous assurer que les dossiers personnels (dans lesquels la
plupart des documents Microsoft Office sont enregistrés) sont cryptés par
défaut.
Cryptez des dossiers plutôt que des fichiers individuels. Les applications
utilisent des fichiers de différentes façons ; par exemple, certaines applications
créent des fichiers temporaires dans le même dossier au cours d'une
modification. Ces fichiers temporaires peuvent ou non être cryptés et certaines
applications substituent ces fichiers temporaires aux fichiers d'origine lorsque
les changements sont enregistrés. Le cryptage au niveau des dossiers assure
que les fichiers ne sont pas décryptés lors de l'utilisation des fichiers
temporaires.
Exportez les clés privées des comptes de récupération, stockez-les à un
emplacement sûr sur des supports sécurisés et supprimez les clés des
ordinateurs locaux. Ces étapes empêchent quiconque d'utiliser le compte de
récupération sur l'ordinateur pour lire les fichiers qui sont cryptés par d'autres
utilisateurs. C'est particulièrement important pour des ordinateurs autonomes
où le compte de récupération est le compte d'administrateur local ou un autre
compte local. Par exemple, si un ordinateur portable qui contient des fichiers
cryptés est volé et que la clé privée pour la récupération n'est pas sur
l'ordinateur, l'utilisateur non autorisé ne peut pas utiliser le compte de
récupération pour ouvrir une session sur l'ordinateur et récupérer des fichiers.
Ne détruisez pas les certificats de récupération ni les clés privées lorsque la
stratégie d'agent de récupération change. Archivez-les jusqu'à ce que vous
soyez sûr que tous les fichiers qui sont protégés par ces certificats et ces clés
ont été mis à jour en utilisant de nouvelles informations d'agent de
récupération. Les certificats de récupération et des clés privées doivent être
exportés et stockés de manière contrôlée et sécurisée. Il est recommandé de
stocker les archives dans une banque avec contrôle d'accès et de disposer
d'une archive principale et d'une archive de sauvegarde.