EFS – Criptografia de pastas e arquivos

 Publicado em:
07/01/2011

Por: Fábio Augusto

Ao utilizarmos o sistema de arquivos NTFS, contamos com um recurso voltado a segurança: EFS – Encrypting File System (Sistema de Arquivos com Criptografia). Com esse recurso podemos criptografar pastas e arquivos confidenciais. É um recurso bastante utilizado hoje em dia, principalmente em laptops, pois com ele reforçamos a segurança em arquivos e pastas.

O recurso EFS foi introduzido no Windows 2000, e está disponível também no Windows Server 2003 e Windows XP Professional.

 Um detalhe importante é que esse recurso só pode ser utilizado em sistemas de arquivos NTFS. Em outros tipos de sistemas de arquivos, esse recurso não está disponível.

 A criptografia nada mais é do que a conversão de um conjunto de dados para um formato no qual não possa ser lido por um outro usuário. Ou seja, somente quem criptografa um arquivo pode acessá-lo. O Recovery Agent (Agente de Recuperação) também pode acessar um arquivo criptografado. A descriptografia consiste em converter um conjunto de dados criptografados para o seu formato original, tornando possível a sua leitura. Quando criptografamos um arquivo, ele permanecerá armazenado em disco com o atributo de criptografia.

Como já dito anteriormente, com o recurso EFS reforçamos a segurança em arquivos e pastas. Caso utilizemos somente as permissões NTFS para garantir a segurança de nossas informações, nos depararemos com os seguintes problemas:

  • A conta de usuário Administrator (Administrador) pode utilizar o recurso Take Ownership (Apropriar-se), ou seja, tornar-se dono do arquivo e atribuir as permissões que desejar nesse arquivo.
  • Outros usuários podem acessar esses arquivos com programas de terceiros, existentes no mercado. Para isso utilizam um disco de boot ou instalam um outro sistema operacional no computador.

 Utilizando a criptografia, resolvemos ambos os problemas citados acima, pois somente quem criptografou os arquivos e o Recovery Agent (Agente de Recuperação) poderá ter acesso a esses arquivos.

 O recurso EFS nos permite configurar uma conta com a função de Recovery Agent (Agente de Recuperação). Com esta conta, podemos acessar arquivos criptografados por outros usuários. Em computadores Member Servers (Servidores Membros), por padrão, a conta de usuário Administrator (Administrador) é configurada como Recovery Agent (Agente de Recuperação). Já em Domain Controllers (Controladores de Domínio), por padrão, a conta de usuário Domain Administrator (Administrador do Domínio) é configurada como Recovery Agent (Agente de Recuperação). O Recovery Agent (Agente de Recuperação) é útil quando excluímos a conta de um usuário que possui arquivos criptografados. Após a exclusão dessa conta de usuário, somente o Recovery Agent (Agente de Recuperação) poderá acessar esses arquivos.

O acesso aos arquivos e pastas criptografados é transparente, ou seja, é idêntico ao acesso a arquivos e pastas não criptografados. Quando acessamos um arquivo criptografado, ele é descriptografado automaticamente. E quando fechamos o arquivo, ele é criptografado novamente.

Ao tentarmos acessar um arquivo criptografado do qual não sejamos dono, receberemos uma mensagem de acesso negado, e não poderemos visualizar o conteúdo desse arquivo.

 Algumas considerações sobre o EFS:

  • Arquivos de sistema não podem ser criptografados.
  • Arquivos e pastas não podem ser criptografados e compactados ao mesmo tempo.
  • O EFS não retém a criptografia nas pastas e arquivos enquanto estes estão sendo enviados pela rede. Caso precise que os arquivos e pastas sejam mantidos criptografados enquanto são enviados pela rede, utilize o IPSEC.
  • Para armazenar arquivos e pastas criptografados em um servidor remoto, este servidor deverá estar configurado como um servidor confiável para delegação.
  • A criptografia não pode ser aplicada em disquetes.
  • Quando um arquivo temporário é criado, se o arquivo original estiver criptografado, o arquivo temporário também será criado criptografado.
  • Um arquivo criptografado pode ser excluído por um outro usuário que possua permissões para tal tarefa. Portanto, devemos proteger os arquivos confidenciais com o recurso EFS e com as permissões NTFS.
  • Quando movemos um arquivo criptografado em uma mesma partição, ele retém seu status de criptografia.
  • Quando movemos um arquivo criptografado para uma partição que não seja NTFS, ele perde seu status de criptografia.
  • Quando movemos um arquivo criptografado para uma partição diferente, ele retém seu status de criptografia.
  • Quando copiamos um arquivo criptografado para a mesma partição ou para uma outra partição, ele retém seu status de criptografia.
  • Quando copiamos um arquivo não criptografado para uma pasta criptografada em uma mesma partição, o arquivo se torna criptografado.
  • Quando copiamos um arquivo não criptografado para uma pasta criptografada em uma outra partição, o arquivo se torna criptografado.

 

Quando um usuário criptografa um arquivo ou pasta pela primeira vez, o Windows gera automaticamente um certificado digital composto por duas chaves de criptografia. São estas duas chaves que nos permitem criptografar e descriptografar arquivos e pastas. Com uma chave podemos criptografar arquivos e pastas, e com a outra chave podemos descriptografar arquivos e pastas. Este processo é realizado para cada usuário que criptografa um arquivo ou pasta pela primeira vez, ou seja, cada usuário possui seu certificado digital. E é gerado também um certificado adicional para o Recovery Agent (Agente de Recuperação). Esses certificados digitais são armazenados no disco rígido do computador. Aqui está o problema. Caso ocorra um desastre com o disco rígido, poderemos perder esses certificados caso não tenhamos uma cópia de segurança destes, o que significa que o acesso aos arquivos criptografados não será mais possível. Devemos então fazer uma cópia de segurança desses certificados, preferencialmente em um disquete ou em um drive de rede. Apresentamos abaixo alguns exemplos de como efetuar a cópia de segurança de certificados digitais:

Realizar a cópia de segurança do certificado digital do Recovery Agent (Agente de Recuperação) do domínio.

  • Efetue logon em um Domain Controller (Controlador de Domínio) com uma conta com direitos administrativos;
  • Clique em Start (Iniciar), Programs (Programas), Administrative Tools (Ferramentas Administrativas) e Domain Security Policy (Diretiva de Segurança de Domínio);
  • Clique 2 vezes sobre Security Settings (Configurações de Segurança);
  • Clique 2 vezes sobre Public Key Policies (Diretivas de Chave Pública);
  • Clique sobre Encryptyng File System. Observe que do lado direito da janela será exibido o certificado do Recovery Agent (Agente de Recuperação);

 

 W2K3-049

  • Clique com o botão direito sobre o certificado digital Administrator (Administrador) e escolha a opção All Tasks (Todas as Tarefas), Export (Exportar). Será exibido o Certificate Export Wizard (Assistente de Exportação de Certificados);
  • Clique em Next (Avançar);
  • Defina se deseja exportar ou não a chave particular do certificado. Com essa chave, podemos proteger o acesso ao certificado digital através de uma senha. Marque a opção No, do not export the private key (Não, não exportar a chave particular) e clique em Next (Avançar);
  • Defina o formato no qual o certificado digital será exportado. Escolha a opção DER encoded binary X.509 (.CER) e clique em Next (Avançar);
  • Defina agora o nome do arquivo para o qual o certificado digital será importado. Digite o nome A:\Cert-Adm.cer e clique em Next (Avançar);
  • Clique em Finish (Concluir). Será exibida uma mensagem indicando que a exportação do certificado digital foi efetuada com sucesso. Clique em OK.

 

Realizar a cópia de segurança do certificado digital de um usuário.

  • Efetue logon com a conta de usuário da qual deseja fazer a cópia de segurança do certificado digital;
  • Abra o Internet Explorer;
  • Clique no menu Tools (Ferramentas) e escolha a opção (Internet Options) Opções de Internet;
  • Escolha a aba Content (Conteúdo);
  • Clique em Certificates (Certificados). Será exibida a seguinte janela;

 

 W2K3-050

  • Clique sobre o certificado digital do usuário e clique em Export (Exportar). Será exibido o Certificate Export Wizard (Assistente de Exportação de Certificados);
  • Clique em Next (Avançar);
  • Defina se deseja exportar ou não a chave particular do certificado. Com essa chave, podemos proteger o acesso ao certificado digital através de uma senha. Marque a opção Yes, export the private key (Sim, exportar a chave particular) e clique em Next (Avançar);
  • Defina o formato no qual o certificado digital será exportado. Aceite as configurações já definidas pelo assistente e clique em Next (Avançar);
  • Defina agora a senha de proteção do arquivo onde o certificado digital será armazenado. Digite a mesma senha 2 vezes e clique em Next (Avançar);
  • Defina agora o nome do arquivo para o qual o certificado digital será importado. Digite o nome A:\Cert-Adm01.cer e clique em Next (Avançar);
  • Clique em Finish (Concluir). Será exibida uma mensagem indicando que a exportação do certificado digital foi efetuada com sucesso. Clique em OK;
  • Clique em Close (Fechar), OK e feche o Internet Explorer;
  • Agora observe os ícones dos 2 certificados digitais que exportamos para o disquete. Perceba que ambos são diferentes.

 W2K3-051 

Importar um certificado digital a partir de um arquivo.

  • Através do Windows Explorer, localize os arquivos nos quais salvamos os certificados digitais nos exemplos anteriores;
  • Clique com o botão direito sobre o certificado digital Cert-Adm01.cer e escolha a opção Install PFX (Instalar PFX);
  • Será aberto o Certificate Import Wizard (Assistente de Importação de Certificados). Clique em Next (Avançar);
  • Clique em Next (Avançar) novamente;
  • Agora digite a senha definida para o certificado, caso tenha sido configurada durante a exportação do certificado, e clique em Next (Avançar);
  • Defina agora o local para onde o certificado será importado. Selecione a opção Automatically select the certificate store based on the type of certificate (Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado). Clique em Next (Avançar);
  • Clique em Finish (Concluir) e em OK

 

Quando estamos trabalhando em um domínio, podemos alterar a diretiva de segurança (GPO) do domínio para que uma conta de usuário específica possa ser configurada como Recovery Agent (Agente de Recuperação), e também excluir todas as contas de usuários configuradas como Recovery Agent (Agente de Recuperação), o que impedirá a utilização do recurso EFS.

Alterar a diretiva de segurança relacionada com o Recovery Agent (Agente de Recuperação).

  • Efetue logon em um Domain Controller (Controlador de Domínio) com uma conta com direitos administrativos;
  • Clique em Start (Iniciar), Programs (Programas), Administrative Tools (Ferramentas Administrativas) e Domain Security Policy (Diretiva de Segurança de Domínio);
  • Clique 2 vezes sobre Security Settings (Configurações de Segurança);
  • Clique 2 vezes sobre Public Key Policies (Diretivas de Chave Pública);
  • Clique com o botão direito sobre Encryptyng File System. Siga um dos procedimentos abaixo;
  • Para adicionar uma conta de usuário como Recovery Agent (Agente de Recuperação), escolha a opção Add Data Recovery Agent (Adicionar Agente de Recuperação) e siga os passos do assistente;
  • Para excluir a diretiva de segurança do EFS e todos os Recovery Agents (Agentes de Recuperação), escolha a opção All Tasks (Todas as Tarefas), Delete Policy (Excluir Diretiva) e clique em Yes (Sim). Observe que ao excluir a diretiva de EFS, o recurso de criptografia não poderá mais ser utilizado no domínio.

  

Criptografar um arquivo.

  • Abra o Windows Explorer;
  • Clique com o botão direito sobre um arquivo;
  • Escolha Properties (Propriedades);
  • Clique em Advanced (Avançados);
  • Clique em Encrypt contents to secure data (Criptografar o conteúdo para proteger os dados);

 W2K3-052

  • Clique em OK 2 vezes.

 

Temos ainda o comando cipher, o qual é utilizado para exibir ou alterar o status de criptografia de pastas e arquivos. Apresentamos abaixo, alguns parâmetros que podem ser utilizados com esse comando:

  • /e – faz a criptografia das pastas especificadas.
  • /d – descriptografa as pastas especificadas.
  • /s:dir – efetua a operação selecionada na pasta especificada.
  • /a – efetua a operação nos arquivos e pastas.
  • /i – continua a operação mesmo após a ocorrência de um erro.
  • /f – força a criptografia ou descriptografia de todos os objetos especificados.
  • /q – exibe somente informações essenciais.
  • /h – exibe os arquivos com o atributo sistema ou oculto.
  • /k – cria uma nova chave de criptografia de arquivo para o usuário.
  • /u – atualiza a chave de criptografia de arquivo do usuário ou a chave do agente de recuperação. Só funciona com a opção /n.
  • /n – evita que as chaves sejam atualizadas. Só funciona com a opção /u.

É isso pessoal, espero ter ajudado

[  ]’s

4 respostas em “EFS – Criptografia de pastas e arquivos

  1. Fabio,
    Criptografar as pastas tudo bem, mas como fazer com que um usuário que esteja na rede com dominio autenticado via AD consiga ler o conteudo desta pasta?
    Ele terá que ter a chave de criptografia pra poder abrir os arquivos.
    Como faço pra que essa chave seja compartilhada somente aos usuários que tem permissão naquela determinada pasta?! no caso via GPO

    valeu

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s