Les services de sécurité avancés de la PKI ont longtemps été freinés par la crainte qu’un tel système soit lourd à gérer. Aujourd’hui les améliorations sur la gestion de ces services sont nombreuses, par exemple la PKI Microsoft s’interface aisément à l’Active Directory pour diffuser les certificats aux ordinateurs et utilisateurs. En outre, les solutions bâties sur les cartes à puce apportent une réponse industrielle et facilitent l’utilisation de la solution par les utilisateurs.Disponible par défaut avec Windows 2000 ou 2003 Server, les services PKI apportent de nombreuses fonctionnalités supplémentaires :
• Cryptage de fichiers avec le système EFS sous Windows XP
• Services d’authentification forte (SmartCard logon, WireLess…)
• Mise en place de réseau privé virtuel (VPN)
• Sécurisation des échanges avec IPSEC
• Messagerie sécurisée avec signature et cryptage S/MIME
• Signatures numériques (applications, macros, utilisateurs…)
Fonctionnalités de sécurité liées à la PKI Windows
Le système de fichiers cryptés, ou EFS (Encrypting File System) existe depuis Windows 2000 pour lequel il a constitué une avance majeure dans la sécurisation des systèmes Windows.
En effet, c’est réellement la première fois que Microsoft incluait dans ses systèmes d’exploitation un ensemble d’outils permettant de préserver la confidentialité des informations stockées dans les fichiers d’un volume du système (disque dur ou d’une disquette).
L’un des meilleurs atouts du système d’encryptions de fichiers (EFS) est son intégration avec le système d’exploitation. En fait, il est si bien intégré qu’il en devient presque transparent pour les utilisateurs : une fois qu’un fichier ou un dossier est marqué comme crypté, il est inutile de le décrypter pour le lire, le modifier ou le copier. Le système s’en charge !
L’installation d’une PKI pour le support de l’EFS est quasiment obligatoire puisque l’encryptage se fait à deux niveaux : d’abord par une clé symétrique aléatoire puis par un jeu de clés asymétriques issues d’une autorité de certification. En outre, la PKI permettra de disposer d’un agent de recouvrement permettant de décrypter un fichier lorsque l’utilisateur a perdu son certificat et sa clé privée.
On regrettera tout de même que l’EFS ne supporte pas les certificats stockés sur une carte à puce (smartcard).
La raison en est purement technique : la gestion de l’EFS est intégrée dans le processus lsass.exe (qui gère également l’authentification). Ce processus tourne en tâche de fond et ne sait pas interagir avec le bureau. Comment faire alors pour demander l’insertion de la carte à puce ou la saisie d’un code PIN ?
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental