[A BÍBLIA DO VBA NO ACCESS]: MACROS E PROGRAMAÇÃO VBA NO ACCESS - CURSO COMPLETO

Páginas: 1164 | Autor: Júlio Battisti | 50% de Desconto e 21 Super Bônus

Você está em: PrincipalArtigosWindows 2003 Server › Capítulo 10 : 05
Quer receber novidades e e-books gratuitos?
›››
« Lição anterior Δ Página principal ¤ Capítulos Próxima lição »
WINDOWS 2003 SERVER - CURSO COMPLETO
Autor: Júlio Battisti


Promoção: Livro Windows Server 2012 R2 e Active Directory - Curso Completo, 2100 Páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!

Promoção: Livro Windows Server 2012 R2 e Active Directory

Curso Completo, 2100 páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!


Lição 103 - Capítulo 10 - Know-how em: Criptografia de arquivos em partições NTFS

Pré-Requisitos: Conhecimento básico de discos, volumes e partições.

Metodologia: Apresentar em detalhes o conceito e os comandos relacionados com criptografia.

Técnica: Exemplos práticos de utilização das ferramentas de criptografia.

Criptografia – definições e conceitos

O Windows Server 2003 fornece suporte a criptografia de pastas e arquivos através do EFS – Encripted File System (Sistema de arquivos com Criptografia). O suporte ao EFS foi introduzido no Windows 2000 Server e também está disponível no Windows 2000 Professional e Windows XP Professional. Com o uso de criptografia o usuário tem um nível de segurança maior do que somente com o uso de permissões NTFS (assunto do Capítulo 11). Somente é possível criptografar arquivos e pastas em volumes formatados com o sistema de arquivos NTFS. Com a criptografia o Windows Server 2003 garante que somente o usuário que criptografou um determinado arquivo tenha acesso ao arquivo.

Criptografia é o processo de converter dados em um formato que não possa ser lido por um outro usuário, a não ser o usuário que criptografou o arquivo. Depois que um usuário criptografar um arquivo, esse arquivo permanecerá automaticamente criptografado quando for armazenado em disco.

Descriptografia é o processo de converter dados do formato criptografado no seu formato original. Depois que um usuário descriptografar um arquivo, esse arquivo permanecerá descriptografado quando for armazenado em disco.

Com as permissões NTFS (veja Capítulo 11) temos alguns problemas quanto a segurança dos dados:

  • O Administrador da máquina pode usar o recurso de Take Ownership (tornar-se dono), tornando-se desta forma dono dos arquivos/pastas desejados, mesmo sem ter permissão de acesso a estes arquivos/pastas. Após ter “dado um Take Ownership”, o Administrador pode atribuir permissões de acesso para si mesmo e, com isso, acessar qualquer arquivo ou pasta.
  • Um usuário pode utilizar um disquete de boot ou instalar um outro sistema operacional no computador e utilizar alguns programas comerciais existentes, para ter cesso a pastas e arquivos protegidas por permissões NTFS.

A grande questão é a seguinte: “Com o uso da criptografia, mesmo que o seu computador seja roubado ou que outro usuário tenha acesso ao computador, não será possível acessar os arquivos e pastas que você criptografou. A única maneira de ter acesso é fazendo o logon com a sua conta e senha”. Em resumo: Com a criptografia, os dados estão protegidos, mesmo que outras pessoas tenham acesso ao seu computador, a única maneira de acessar os arquivos criptografados é fazendo o logon com a conta do usuário que criptografou os arquivos ou com a conta configurada como Agente de Recuperação, conforme descreverei mais adiante. Já  com as permissões NTFS, conforme descrito anteriormente, este nível de proteção não existe, no caso do computador ser roubado ou de um usuário mal intencionado ter acesso ao computador.

Claro que existem situações adversas que podem surgir com o uso da criptografia. Por exemplo, vamos supor que um funcionário criptografou arquivos importantes para a empresa. Neste meio tempo o funcionário foi demitido. Como é que a empresa poderá ter acesso aos arquivos criptografados se o funcionário demitido se negar a fazer o logon com a sua conta e descriptografar o s arquivos ou se a sua conta tiver sido excluída?? Por isso que o EFS permite que uma conta seja configurada como Agente de Recuperação, a qual pode ser utilizada em situações como a descrita neste parágrafo. Mais adiante tratarei, em detalhes, sobre o agente de recuperação.

O uso de criptografia é especialmente recomendado para usuários de notebooks e outros dispositivos semelhantes. Não é raro a ocorrência de roubos de notebooks, sendo que estes podem conter dados importantes da empresa, tais como planos estratégicos e relatórios de pesquisa e desenvolvimento de novos produtos. O uso da criptografia é a forma mais indicada para proteger estes dados, mesmo em situações de roubo de um notebook.

A criptografia é transparente para o usuário que criptografou o arquivo. Isso significa que o usuário não precisa descriptografar manualmente o arquivo criptografado para poder usá-lo. Ele pode abrir e alterar o arquivo da maneira habitual. Por exemplo, vamos supor que você criptografou um documento do Word. Ao dar um clique duplo no documento, o Windows Server 2003 descriptografa, automaticamente, o arquivo, abre o Word e carrega o arquivo para você. Observe que para o usuário toda a operação é transparente, ou seja, é como se o arquivo não estivesse criptografado. Se outro usuário, que não o que criptografou o arquivo, tentar utiliza-lo, receberá uma mensagem de acesso negado.

O uso do EFS é semelhante ao uso de permissões para arquivos e pastas. Ambos os métodos podem ser usados para restringir o acesso aos dados. No entanto, um intruso que obtenha acesso físico não-autorizado aos seus arquivos ou pastas criptografados não conseguirá acessa-los. Se o intruso tentar abrir ou copiar sua pasta ou arquivo criptografado, verá uma mensagem de acesso negado. As permissões definidas para arquivos e pastas não os protege contra ataques físicos não-autorizados, conforme já descrito anteriormente.

Você criptografa ou descriptografa uma pasta ou arquivo definindo a propriedade de criptografia para pastas e arquivos da mesma forma como define qualquer outro atributo, como somente leitura, compactado ou oculto. Se você criptografar uma pasta, todos os arquivos e subpastas criados na pasta criptografada serão automaticamente criptografados. É recomendável que você use a criptografia para pastas e não para arquivos individualmente, pois isso facilita a administração dos arquivos criptografados.

Nota: Você também pode criptografar ou descriptografar um arquivo ou pasta usando o comando cipher. Tratarei deste comando mais adiante.

Antes de aprender a criptografar arquivos e pastas, vou apresentar algumas observações importantes sobre a criptografia no Windows Server 2003:

  • Somente arquivos e pastas em volumes NTFS podem ser criptografados.
  • As pastas e os arquivos compactados não podem ser criptografados. Se o usuário marcar um arquivo ou pasta para criptografia, ele será descompactado. Falarei sobre a compactação de pastas e arquivos em volumes NTFS, no Capítulo 11.
  • Se você mover arquivos descriptografados para uma pasta criptografada, esses arquivos serão automaticamente criptografados na nova pasta. No entanto, a operação inversa não descriptografa automaticamente os arquivos. Nesse caso, é necessário descriptografar manualmente os arquivos.

Os arquivos marcados com o atributo Sistema não podem ser criptografados, bem como os arquivos da pasta raiz do sistema, isto é C:\ ou D:\ e assim por diante.

  • Criptografar um arquivo ou uma pasta não protege contra exclusão ou listagem de arquivos ou pastas. Qualquer pessoa com permissões NTFS adequadas pode excluir ou listar pastas ou arquivos criptografados. A proteção da criptografia é contra o acesso aos arquivos, ou seja, somente o usuário que criptografou o arquivo terá acesso. Para proteção contra listagem e exclusão recomenda-se o uso do EFS em combinação com permissões NTFS (descritas no Capítulo 11), utilizando as permissões NTFS para impedir que outros usuários possam excluir e até mesmo listar os arquivos que estão em um pasta criptografada.
  • Você pode criptografar ou descriptografar pastas e arquivos localizados em um computador remoto ativado para criptografia remota. No entanto, se você abrir o arquivo criptografado na rede, os dados transmitidos na rede através desse processo não serão criptografados. Outros protocolos, como a camada de soquetes de segurança/segurança da camada de transporte (SSL/TLS) ou IP Seguro (IPSec), devem ser usados para criptografar dados durante a transmissão.

Agora que já temos um bom entendimento sobre os aspectos teóricos relacionados com o EFS, é hora de aprender sobre as tarefas práticas, relacionadas com a criptografia de arquivos e pastas no Windows Server 2003.

Em primeiro lugar vou falar sobre algumas medidas preventivas que devem ser tomadas, para garantir que você sempre possa terá acesso aos arquivos e pastas criptografados.

Garantindo a recuperação dos dados.

A criptografia utilizada pelo Windows Server 2003 é baseada na utilização de um par de chaves de criptografia. Uma chave é utilizada para criptografar os dados e a outra chave do par é utilizada para descriptografar os dados. A única maneira de descriptografar os dados e ter acesso às informações é tendo acesso as chaves de criptografia. Estas chaves são armazenadas em um Certificado digital, certificado este que é gerado, automaticamente, pelo Windows Server 2003, a primeira vez que o usuário criptografa um arquivo ou pasta. Neste Certificado digital estão todas as informações necessárias para criptografar e descriptografar arquivos.

Cada usuário que criptografa/descriptografa arquivos, possui o seu próprio Certificado digital, gerado automaticamente pelo Windows Server 2003. Um certificado adicional também é gerado para a conta configurada como Agente de recuperação. Desta maneira se o usuário que criptografou arquivos ou pastas deixar a empresa, será possível descriptografar os seus dados, utilizando a conta configurada como Agente de recuperação, uma vez que esta conta possui cópia do Certificado digital necessário a tal operação.

O Certificado digital nada mais é do que um arquivo que contém as informações necessárias para trabalhar com criptografia no Windows Server 2003. Como todo arquivo, fica gravado no disco rígido do computador. Acontece que se houver um problema com o disco rígido, a cópia do certificado do usuário e do certificado do agente de recuperação serão perdidas (caso não haja uma cópia de segurança) e, sem um destes certificados, ficará impossível descriptografar os arquivos/pastas criptografados pelo usuário. Na prática, significa que o acesso aos dados criptografados será perdido. Para evitar que isto aconteça, deve ser feita uma cópia de segurança, preferencialmente em disquete ou em um drive de rede, do Certificado digital gerado para o usuário. É importante lembrar que este certificado, somente será gerado na primeira vez que o usuário criptografar alguma pasta ou arquivo.

A seguir mostrarei como fazer o backup do certificado digital do usuário, do certificado do agente de recuperação e como restaurar o certificado digital do usuário. Por padrão, a conta Administrator (Administrador) é configurada como agente de recuperação.

Para um member server, o agente de recuperação padrão é a conta Administrator (Administrador) local. Para um domínio baseado no Active Directory, a conta configurada com agente de recuperação é a conta Administrator (Administrador) do domínio. No exemplo a seguir mostrarei como fazer uma cópia de segurança, em disquete, do certificado digital da conta Administrator do domínio.

Exemplo 1: Para fazer o backup do certificado do Agente de recuperação para o domínio, siga os seguintes passos:

1.         Faça o logon com uma conta com permissões de Administrador.

2.         Abra o console Default Domain Security Settings (Diretiva de segurança de domínio): Start -> Administrative Tools -> Default Domain Security Settings  (Iniciar -> Ferramentas Administrativas -> Diretiva de segurança de domínio).

3.         Dê um clique no sinal de + ao lado da opção Public Key Polices (Diretivas de chave pública).

6.         Nas opções que são exibidas dê um clique na opção Encrypting File System (Sistemas de arquivos criptografados). No painel da direita será exibido o Certificado do Agente de recuperação, que por padrão é a conta Administrator (Administrador), conforme indicado na Figura 10.46:


Figura 10.46 Conta Administrator – por padrão é o agente de recuperação.

7.         No painel da direita, clique com o botão direito do mouse na conta Administrator (Administrador). No menu que é exibido selecione o comando All Tasks -> Export... (Todas as tarefas -> Exportar...). Será aberto o Assistente para exportação de certificados.

8.         A primeira tela é apenas informativa. Dê um clique no botão Next (Avançar), para ir para a próxima etapa do assistente.

9.         Nesta etapa você deve optar por exportar ou não a Chave particular do certificado. A Chave particular é um meio de proteger o acesso ao Certificado digital, através de uma senha. Se você não tiver uma senha definida, apenas estará habilitada a opção No, do not export the private key (Não, não exportar a chave privada),. Marque a opção No, do not export the private key (Não, não exportar a chave privada), conforme indicado na Figura 10.47:


Figura 10.47 Definindo opções de exportação do certificado do agente de recuperação.

10.       Certifique-se de que a opção No, do not export the private key (Não, não exportar a chave privada) esteja marcada e dê um clique no botão Avançar (Next), para ir para a próxima etapa do assistente.

11.       Surge uma tela perguntando o formato para exportação do certificado. Certifique-se de que a opção DER encode binary X.509 (.CER) (X.509 binário codificado por DER (*.cer)) esteja selecionada e dê um clique no botão Next (Avançar), para ir para a próxima etapa do assistente.

12.       Surge uma tela solicitando o nome do arquivo para o qual será exportado o certificado. É recomendado que você exporte para um disquete ou para um drive de rede. Certifique-se de que você colocou um disquete no drive e, no campo Nome do arquivo, digite: A:\cert_ag_recup.

13.       Dê um clique no botão Next (Avançar), para ir para a próxima etapa do assistente. O Windows Server 2003 exporta o certificado, para o arquivo especificado no drive de disquete.

14.       Será exibida a tela final do assistente, com um resumo das opções selecionadas. Se você quiser fazer alguma alteração, pode utilizar o botão Voltar (Back). Dê um clique no botão Finish (Concluir), para fechar o Assistente para exportação de certificados.

15.       Surge uma mensagem informando que a exportação foi concluída com êxito. Dê um clique no botão OK para fechar esta mensagem.

16.       Você estará de volta ao console Configurações locais de segurança e uma cópia do Certificado digital do Agente de recuperação, foi gravada no disquete. No evento de uma falha do disco rígido, esta cópia pode ser utilizada para descriptografar os arquivos e pastas criptografados. Feche o console Configurações locais de segurança.

Muito bem, o backup do certificado do agente de recuperação foi efetuado. Em caso de falha no HD você pode importar este certificado para descriptografar arquivos que tenham sido criptografados anteriormente a falha. Claro que deve existir backup destes arquivos, caso contrário com a falha no HD você perderá os arquivos e aí não haverá utilização para a cópia do certificado do agente de recuperação que você fez no passo 1.

Exemplo 2: Para fazer o backup do Certificado digital do usuário, gerado automaticamente pelo Windows Server 2003, quando o usuário criptografa um arquivo ou pasta pela primeira vez, faça o seguinte:

1.         Faça o logon com um a conta do usuário, para o qual você deseja fazer uma cópia de segurança do Certificado digital.

2.         Abra o Internet Explorer.

3.         Selecione o comando Tools -> Internet Options... (Ferramentas -> Opções da Internet...)

4.         Na janela Internet Options (Opções da Internet) que é aberta dê um clique na guia Content (Conteúdo).

5.         Na guia Content (Conteúdo) dê um clique no botão Certificates... (Certificados...). Será aberta a janela Certificates (Certificados).

6.         Na guia Pessoal, dê um clique no certificado que corresponde ao nome do usuário logado, conforme indicado na Figura 10.48, onde foi marcado o certificado para o usuário user01.


Figura 10.48 A guia Pessoal da janela Certificates (Certificados).

7.         Clique no botão Export... (Exportar...), será aberto o Assistente para exportação de certificados, com o qual você já trabalhou no exemplo 1.

8.         A primeira tela do assistente é apenas informativa, dê um clique no botão Avançar (Next), para ir para a próxima etapa do assistente.

9.         Nesta etapa você deve optar por exportar ou não a Chave particular do certificado.

10.       Certifique-se de que a opção Yes, export the private key (Sim, exportar a chave particular) esteja marcada e dê um clique no botão Next (Avançar), para ir para a próxima etapa do assistente.

11.       Surge uma tela perguntando o formato para exportação do certificado. Aceite as configurações sugeridas pelo assistente e dê um clique no botão Next (Avançar), para ir para a próxima etapa do assistente.

12.       Nesta etapa é solicitada uma senha de proteção para abertura do arquivo no qual será gravado o certificado. Digite a senha duas vezes para confirmação e dê um clique no botão Next (Avançar), para ir para a próxima etapa do assistente. Esta senha não precisa ser igual a senha de logon da conta do usuário.

13.       Surge uma tela solicitando o nome do arquivo para o qual será exportado o certificado. É recomendado que você exporte para um disquete ou para um drive de rede. Certifique-se de que você colocou um disquete no drive e, no campo Nome do arquivo, digite: A:\cert_user01.

14.       Dê um clique no botão Next (Avançar), para ir para a próxima etapa do assistente. O Windows Server 2003 exporta o certificado, para o arquivo especificado no drive de disquete.

15.       Será exibida a tela final do assistente, com um resumo das opções selecionadas. Se você quiser fazer alguma alteração, pode utilizar o botão Voltar (Back). Dê um clique no botão Finish (Concluir), para fechar o Assistente para exportação de certificados.

16.       Surge uma mensagem informando que a exportação foi concluída com êxito. Dê um clique no botão OK para fechar esta mensagem.

17.       Você estará de volta a guia Pessoal da janela Certificados e uma cópia do Certificado digital do usuário logado, foi gravada no disquete. No evento de uma falha do disco rígido, esta cópia pode ser utilizada para descriptografar os arquivos e pastas criptografados pelo usuário.

18.       Clique no botão Close (Fechar) para fechar a janela Certificados.

19.       Você estará de volta à janela Opções da Internet. Dê um clique no botão OK para fecha-la.

20.       Você estará de volta ao Internet Explorer. Feche-o.

Com estes dois exemplos, você aprendeu a exportar o certificado do agente de recuperação e também o certificado de um usuário. Estes certificados podem ser importados a partir do disquete, no evento de falha do respectivo certificado original. É sempre recomendado que você proteja os certificados com a definição de uma senha e mantenha o disquete em local seguro, pois caso contrário qualquer usuário que tiver acesso ao disquete poderá importar o certificado (conforme mostrarei logo a seguir) e utiliza-lo para ter acesso aos seus arquivos e pastas criptografados. Por isso a importância da definição de uma senha para exportação do certificado, pois esta senha será solicitada quando da importação do certificado. O certificado somente será importado com sucesso, se a senha correta for informada.

Na Figura 10.49 mostro os dois arquivos, com os certificados que foram exportados nos exemplos 1. e 2. Observe que o Windows Server 2003 usa ícones diferentes para o certificado do Agente de recuperação e para o certificado de usuário.


Figura 10.49 Cópia de segurança dos certificados.

Agora vou mostrar como importar um certificado a partir de um arquivo.

Exemplo 3: Para importar um certificado siga os passos indicados a seguir:

1.         Abra a pasta onde está o certificado. No nosso exemplo, use o Meu computador ou o Windows Explorer para acessar o disquete (A:\), onde está o arquivo com o certificado a ser importado.

2.         Clique com o botão direito do mouse no arquivo com o certificado a ser importado. Se você estiver importando o certificado do agente de recuperação, no menu que surge, dê um clique na opção Install Certificate (Instalar Certificado). Se você estiver importando o certificado de um usuário, no menu de opções que é exibido, dê um clique na opção Install PFX (Instalar PFX).

3.         No nosso exemplo você irá importar o certificado de usuário, exportado no Exemplo 2. Clique com o botão direito do mouse no arquivo correspondente ao certificado a ser importado (cert_user01.pfx) e no menu de opções que surge, dê um clique na opção Install PFX (Instalar PFX).

4.         Será aberto o Assistente para importação de certificados.

5.         A primeira tela é apenas informativa. Dê um clique no botão Next (Avançar), para seguir para a próxima etapa do assistente.

6.         O campo Nome do arquivo já vem preenchido com o caminho e o nome do arquivo no qual clicamos com o botão direito do mouse. Dê um clique no botão Next (Avançar), para seguir para a próxima etapa do assistente.

7.         Se houver uma senha definida para o certificado, surgirá uma tela solicitando que seja digitada a senha. Digite a senha e dê um clique no botão Next (Avançar), para seguir para a próxima etapa do assistente.

8.         Nesta etapa você deve indicar o local para onde será importado o certificado. Aceita a opção sugerida pelo assistente, que por padrão é Automatically select the certificate store based on the type of certificate (Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado), conforme indicado na Figura 10.50.


Figura 10.50 Definindo o local de armazenamento dos certificados.

9.         Dê um clique no botão Next (Avançar), para ir para a próxima etapa do assistente.

10.       Será exibida a tela final do assistente, com um resumo das opções selecionadas. Se você quiser fazer alguma alteração, pode utilizar o botão Back (Voltar). Dê um clique no botão Finish (Concluir), para fechar o Assistente para importação de certificados.

11.       Surge uma mensagem informando que a importação foi concluída com êxito. Dê um clique no botão OK para fechar esta mensagem.

Agora sim, você já sabe exportar e importar certificados, para garantir o acesso aos dados criptografados. Agora é hora de começar a trabalhar com a criptografia no Windows Server 2003.

Criptografando arquivos e pastas

É possível criptografar arquivos individualmente, porém é recomendado que você utilize a criptografia sempre em pastas. Ao criptografar uma pasta, todos os novos arquivos que forem criados dentro da pasta já serão automaticamente criptografados. Com isso você garante que todo o conteúdo da pasta está protegido.

Ao criptografar uma pasta e o seu conteúdo, somente o usuário que criptografou a pasta, terá acesso aos seus arquivos. Outros usuários poderão entrar na pasta e até mesmo verão uma listagem dos arquivos, porém ao tentar abrir um arquivo, receberão a mensagem indicada na Figura 10.51.


Figura 10.51 Mensagem de acesso negado.

Nota: Para impedir que outros usuários possam entrar em uma pasta que você criptografou e visualizar a listagem de arquivos, configure as permissões NTFS de tal maneira que somente você possa listar os arquivos desta pasta. Para maiores detalhes sobre a configuração de permissões NTFS, consulte o Capítulo 11.

Exemplo 1: Para criptografar uma pasta e todo o seu conteúdo, siga os passos indicados a seguir:

1.         Faça o logon com a sua conta de usuário. Somente você terá acesso aos arquivos da pasta que forem criptografados enquanto você estava logado com a sua conta de usuário.

2.         Usando o Meu computador ou o Windows Explorer, localize a pasta a ser criptografada.

3.         Clique com o botão direito do mouse na pasta a ser criptografada e, no menu de opções que é exibido, dê um clique na opção Properties (Propriedades). Será aberta a janela de propriedades da pasta, com a guia General (Geral) selecionada.

4.         Dê um clique no botão Advanced... (Avançado...). Será aberta a janela Advanced Attributes (Atributos avançados).

5.         Para criptografar a pasta marque a opção Encrypt Contentes to secure data (Criptografar o conteúdo para proteger os dados), conforme indicado no exemplo da Figura 10.52.


Figura 10.52 A opção Criptografar o conteúdo para proteger os dados.

6.         Dê um clique no botão OK. Você estará de volta à janela de propriedades da pasta.

7.         Dê um clique no botão OK. Surge uma janela perguntando se você deseja criptografar somente a pasta em questão ou todas as suas subpastas e arquivos. Selecione a opção Apply changes to this folder, subfolders and files (Aplicar as alterações a esta pasta , subpastas e arquivos) e dê um clique no botão OK.

8.         O Windows Server 2003 inicia o processo de criptografia da pasta e de todo o seu conteúdo. Dependendo da quantidade de arquivos e subpastas, o processo de criptografia pode demorar alguns minutos. Durante este processo é exibida uma janela com o progresso da criptografia.

Pronto. A pasta está criptografada e somente o usuário que a criptografou terá acesso a pasta.

Algumas observações:

  • As pastas e os arquivos compactados não podem ser, ao mesmo tempo, criptografados. Se você criptografar uma pasta ou um arquivo compactado, essa pasta ou esse arquivo será descompactado.
  • Os arquivos marcados com o atributo Sistema não podem ser criptografados, bem como os arquivos que se encontram na estrutura de diretórios  raiz dos volumes (C:\, D:\ e assim por diante).
  • Ao criptografar um único arquivo, você poderá optar se deseja criptografar a pasta que contém o arquivo. Se você escolher essa opção, todos os arquivos e subpastas que forem adicionados posteriormente à pasta serão criptografados quando forem adicionados.
  • Ao criptografar uma pasta, você poderá optar se deseja que todos os arquivos e subpastas dentro da pasta também sejam criptografados. Se você escolher essa opção, todos os arquivos e subpastas atualmente na pasta serão criptografados, bem como quaisquer arquivos e subpastas que forem adicionados à pasta mais tarde. Se você optar por criptografar somente a pasta, todos os arquivos e subpastas que se encontram atualmente na pasta não serão criptografados. No entanto, quaisquer arquivos e subpastas que forem adicionados à pasta mais tarde serão criptografados quando forem adicionados. É aconselhável que você sempre opte por criptografar todo o conteúdo da pasta, conforme descrito no passo 7 do Exemplo anterior. Com isso você não terá que manter um controle sobre quais pastas e/ou arquivos estão criptografados e quais não estão.

Para criptografar um único arquivo, o processo é semelhante a criptografar uma pasta, conforme descrito nos passos a seguir:

1.         Utilizando o Windows Explorer ou o Meu computador, localize o arquivo a ser criptografado.

2.         Clique com o botão direito do mouse no arquivo a ser criptografado. No menu de opções que surge, dê um clique na opção Properties (Propriedades). Será aberta a janela de propriedades do arquivo, com a guia General (Geral) selecionada por padrão.

3.         Dê um clique no botão Advanced... (Avançado...). Será exibida a janela Advanced Attributes (Atributos avançados).

4.         Marque a opção Encrypt Contentes to secure data (Criptografar o conteúdo para proteger os dados) e dê um clique no botão OK.

5.         Será aberta a janela Aviso de criptografia, perguntando se você deseja criptografar o arquivo e a pasta pai (pasta onde está o arquivo) ou somente o arquivo, conforme indicado na Figura 10.53.


Figura 10.53 A janela Aviso de criptografia.

Nota: Se você não quiser mais receber este aviso e fazer com que o Windows Server 2003 faça sempre a criptografia somente do arquivo, marque a opção Allways encrypt only the file (Sempre criptografar somente o arquivo).

6.         Na janela Aviso de criptografia selecione a opção desejada e dê um clique no botão OK.

7.         Você estará de volta à janela de propriedades do arquivo.

8.         Dê um clique no botão OK. O Windows criptografa o arquivo e, dependendo das opções que você selecionou, também a pasta onde está o arquivo.

Nota: Você também pode criptografar arquivos e pastas que estão em pastas compartilhadas, em outros computadores da rede. Basta mapear uma unidade para a pasta compartilhada (pastas compartilhadas e mapeamento de unidades será assunto do Capítulo 11), onde estão os arquivos e pastas a ser criptografados e utilizar os procedimentos descritos neste tópico, para criptografá-los.

Operações com arquivos criptografados

Ao copiar ou mover arquivos criptografados, diferentes situações podem ocorrer dependendo de a pasta de destino ser ou não criptografada e de estar ou não em um volume formatado com NTFS. A seguir descrevo algumas situações envolvendo ações de copiar e mover com arquivos criptografados.

  • Ao copiar um arquivo não criptografado, para uma pasta criptografada, a cópia do arquivo será criptografada na pasta de destino. Por exemplo, você copia o arquivo não criptografado memo.doc, da pasta Meus documentos para a pasta Documentos pessoais, a qual está criptografada. O arquivo memo.doc copiado para a pasta Documentos pessoais será criptografado.
  • Ao copiar um arquivo criptografado, para um volume NTFS em outro computador com o Windows 2000, Windows XP Professional ou Windows Server 2003, o arquivo manterá a criptografia. Se o computador de destino estiver rodando o Windows NT ou o volume for formatado com FAT, a cópia do arquivo não será criptografada.
  • Se você mover um arquivo criptografado para outra pasta, no mesmo volume, o arquivo mantém a criptografia. Se você mover um arquivo criptografado para outro volume, o Windows Server 2003 considerará esta operação como sendo uma cópia, onde o arquivo é excluído na pasta de origem e copiado para a pasta de destino. Neste caso, o arquivo segue as regras explicadas no primeiro item.

Nota: Se você tentar mover um arquivo criptografado por outro usuário, para um volume formatado com FAT, na tentativa de obter uma cópia não criptografada do arquivo, você receberá uma mensagem de Acesso negado, pois para descriptografar o arquivo (o que é necessário para move-lo para um volume FAT), você teria que ter acesso ao Certificado digital do usuário que criptografou o arquivo, conforme descrito anteriormente.

  • Se você renomear um arquivo criptografado, o arquivo continuará criptografado.
  • Ao excluir um arquivo, a cópia do arquivo que fica na Lixeira, continuará criptografada.
  • Se você fizer uma cópia de segurança de arquivos criptografados para uma fita de Backup ou para um outro volume NTFS, a cópia de segurança permanecerá criptografada.
  • Se você quiser utilizar arquivos criptografados em outro computador, terá que importar o seu Certificado digital no computador de destino, conforme descrito anteriormente.

Descriptografando arquivos e pastas

Enquanto um determinado arquivo estiver criptografado, o uso deste arquivo não muda para o usuário, ou seja, quando o usuário abre um arquivo criptografado, o Windows Server 2003 utiliza as informações do Certificado digital do usuário para descriptografar o arquivo e fornecer os dados para o usuário. Este processo é completamente transparente para o usuário, conforme já descrito anteriormente.

O usuário pode descriptografar um arquivo e/ou pasta a qualquer momento que desejar. O usuário pode utilizar este mecanismo em diversas situações, como por exemplo, para fornecer acesso ao arquivo para outros usuários. Para descriptografar um arquivo ou pasta é extremamente simples, basta seguir os seguintes passos:

1.         Localize o arquivo ou pasta a ser descriptografado e dê um clique com o botão direito do mouse nele.

2.         No menu de opções que surge dê um clique em Properties (Propriedades). Será exibida a janela de propriedades do arquivo/pasta.

3.         Na guia General (Geral), da janela de Propriedades, dê um clique no botão Advanced... (Avançado...).

4.         Na janela Advanced Attributes (Atributos avançados), desmarque a opção Encrypt Contentes to secure data (Criptografar o conteúdo para proteger os dados).

5.         Dê um clique no botão OK.

6.         Você estará de volta à janela Propriedades. Dê um clique no botão OK.

7.         Se você estiver descriptografando uma pasta, surge a mensagem indicada perguntando se você deseja descriptografar apenas a pasta ou todo o seu conteúdo. Selecione a opção desejada e dê um clique no botão OK.

8.         A pasta será descriptografada e também o seu conteúdo, dependendo das opções selecionadas. Se você optar por descriptografar somente a pasta, novos arquivos criados na pasta não serão criptografados, porém os arquivos já existentes, manterão a criptografia.

Permitindo que outros usuários tenham acesso a arquivos e pastas que você criptografou

Você pode permitir que outros usuários acessem arquivos ou pastas que você criptografou. Pode ser que além de você, outros usuários também devam ter acesso ao arquivo criptografado. Nesta situação você continua utilizando a criptografia, para garantir a segurança dos dados e pode autorizar um ou mais usuários a acessar o arquivo.

Exemplo: Para permitir o acesso de outros usuários a um arquivo criptografado, faça o seguinte:

1.         Faça o logon com a sua conta de usuário.

2.         Usando o Meu computador ou o Windows Explorer, localize e o arquivo que você criptografou e para o qual você quer configurar acesso para outros usuários.

3.         Clique com o botão direito do mouse no arquivo e no menu que é exibido dê um clique na opção Properties (Propriedades). A janela Propriedades do arquivo será aberta, com a guia General (Geral) selecionada.

4.         Dê um clique no botão Advanced... (Avançados...) Será exibida a janela Atributos avançados.

5.         Dê um clique no botão Details (Detalhes), ao lado da opção Encrypt Contentes to secure data (Criptografar o conteúdo para proteger os dados). Será exibida a janela Detalhes de criptografia. Nesta janela é exibida a lista de usuários com acesso ao arquivo criptografado. Por padrão, consta na lista, apenas o nome do usuário que criptografou o arquivo. Para adicionar permissão de acesso a outros usuários, dê um clique no botão Add... (Adcionar...)

6.         Será exibida a janela Selecione o usuário. Nesta janela é exibida a listagem de todos os usuários que possuem um Certificado digital, ou seja, de todos os usuários que já criptografaram pelo menos um arquivo ou pasta no computador que você está utilizando. Selecione o usuário para o qual você deseja permitir acesso, conforme exemplo da Figura 10.54 e dê um clique no botão OK.


Figura 10.54 Permitindo acesso para outros usuários.

7.         Você estará de volta à janela Details (Detalhes) de criptografia e o usuário selecionado na janela da Figura 10.54 já aparece na lista, conforme indicado na Figura 10.55.


Figura 10.55 A janela Detalhes de criptografia.

8.         Repita os passos 5, 6 e 7 para adicionar mais usuários a lista de usuários com permissão de acesso ao arquivo criptografado.

9.         Dê um clique no botão OK. Você estará de volta à janela Advanced Attributes (Atributos avançados).

10.       Dê um clique no botão OK para fechar a janela Advanced Attributes (Atributos avançados). Você estará de volta à janela de propriedades do arquivo.

11.       Dê um clique no botão OK para fechar a janela de Propriedades do arquivo.

Nota: Não é possível adicionar grupos para acessar a criptografia de arquivos, a permissão tem que ser definida usuário por usuário.

Alterando a diretiva de recuperação do Computador local

É possível alterar as configurações do Agente de recuperação do seu computador ou no caso de trabalhar em um domínio, do domínio como um todo. Você pode adicionar novas contas, além da conta padrão Administrador, pode inclusive excluir todos os usuários da lista de Agentes de recuperação, o que implicará na desabilitação do sistema de criptografia, conforme será detalhado mais adiante.

Exemplo: Para alterar a diretiva de recuperação do domínio, faça o seguinte:

1.         Faça o logon com uma conta com permissões de Administrador.

2.         Abra o console Default Domain Security Settings (Diretiva de segurança de domínio): Start -> Administrative Tools -> Default Domain Security Settings  (Iniciar -> Ferramentas Administrativas -> Diretiva de segurança de domínio).

3.         Dê um clique no sinal de + ao lado da opção Public Key Polices (Diretivas de chave pública).

4.         Nas opções que são exibidas dê um clique na opção Encrypting File System (Sistemas de arquivos criptografados). No painel da direita será exibido o Certificado do Agente de recuperação, que por padrão é a conta Administrator (Administrador).

5.         Clique com o botão direito do mouse na opção (Encrypting File System) Sistema de arquivos criptografados e siga uma dos seguintes caminhos:

5.1.      Para designar um usuário como agente de recuperação adicional através do Assistente para adicionar agente de recuperação, clique na opção Add Data Recovery Agent... (Adicionar agente de recuperação de dados...) e siga os passos do assistente.

5.2.      Para solicitar um novo certificado de recuperação de arquivo através do Assistente para solicitação de certificados, clique em New -> Dara Recovery Agent... (Novo -> Agente de recuperação de dados....) Será aberto o Assistente para adicionar agente de recuperação. Siga os passos do assistente. 

5.3.      Para excluir essa diretiva de EFS e todos os agentes de recuperação, clique em All Tasks -> Delete Policy (Todas as Tarefas -> Excluir diretiva). Se você selecionar essa opção, os usuários não poderão mais usar criptografia nos computadores do domínio. O Windows Server 2003 não permite que você faça a criptografia de arquivos se não houver um Agente de recuperação configurado. Para voltar a habilitar a criptografia de arquivos, você deve seguir os passos descritos neste exemplo e adicionar um Agente de recuperação.

6.         Após ter configurado as opções desejadas, feche o MMC. Surge uma janela perguntando se você deseja salvar o console. Clique em Não.

Algumas observações importantes:

  • Antes de qualquer alteração na diretiva de recuperação, você deve fazer um backup das chaves de recuperação em um disquete, conforme descrito nos exemplos anteriores. Este procedimento garante que os arquivos poderão ser descriptografados caso haja algum problema com as configurações do Agente de recuperação.
  • É necessário fazer logon como administrador ou com uma conta com permissões de administrador para executar estas ações.
  • Se a sua conta for configurado como Agente de recuperação, você poderá descriptografar arquivos criptografados por outros usuários, simplesmente acessando as propriedades do arquivo, clicando no botão Advanced... (Avançado...) e desmarcando a opção Encrypt Contentes to secure data (Criptografar o conteúdo para proteger os dados). Para realizar tal operação, o Certificado digital correspondente a conta do Agente de recuperação deve estar instalado no computador onde a operação será realizada. Para maiores detalhes sobre a Importação e Exportação de certificados, consulte a parte inicial deste tópico.

Recomendações sobre a criptografia de pastas e arquivos

Neste item coloco algumas recomendações sobre a criptografia de pastas e arquivos. Estas recomendações são baseadas na documentação oficial da Microsoft:

  • Para obter o máximo de segurança, criptografe as pastas antes de criar arquivos importantes nelas. Isso faz com que os arquivos criados sejam automaticamente criptografados e seus dados nunca sejam gravados em disco como texto sem formatação.
  • Se você salvar a maior parte dos seus documentos na pasta Meus documentos, criptografe-a. Isso assegura que seus documentos pessoais sejam criptografados por padrão. No caso de perfis de usuários móveis, deve-se fazer isso apenas se a pasta Meus documentos for redirecionada para um local de rede.
  • Criptografe pastas em vez de arquivos individuais para que, caso um programa crie arquivos temporários durante a edição, eles também sejam criptografados. 
  • O agente de recuperação designado deverá exportar o certificado de recuperação de dados e a chave particular para um disco, guardá-los em um local seguro e excluir do sistema a chave particular de recuperação de dados. Dessa forma, a única pessoa que poderá recuperar dados do sistema será aquela que possui acesso físico à chave particular de recuperação de dados.  Estes procedimentos foram descritos no início deste tópico.
  • Deve-se manter o menor número possível de agentes de recuperação designados. Desse modo, menos chaves ficarão expostas ao ataque criptográfico e haverá mais garantias de que os dados criptografados não sejam descriptografados inadequadamente.

O comando cipher

O comando cipher é utilizado para exibir ou altera a criptografia de pastas e arquivos em volumes NTFS. Quando utilizado sem parâmetros, cipher exibe o estado de criptografia da pasta atual e de quaisquer arquivos que ela contenha.

Sintaxe para o comando cipher, conforme documentação oficial da Microsoft:

cipher  [{/e|/d}] [/s:dir] [/a] [/i] [/f] [/q] [/h] [/k] [/u[/n]] [nome_de_caminho [...]] 
[/r:nome_de_caminho_sem_extensão] |
[/w:nome_de_caminho]

Na tabela 10.1, apresento a descrição dos parâmetros do comando cipher.

Parâmetro Descrição
/e Criptografa as pastas especificadas. As pastas serão marcadas para que os arquivos adicionados a elas posteriormente também sejam criptografados.
/d Descriptografa as pastas especificadas.
/s:dir Efetua a operação selecionada na pasta especificada e em todas as subpastas.
/a Efetua a operação nos arquivos e pastas.
/i Continua a efetuar a operação especificada mesmo após a ocorrência de erros. Por padrão, cipher é interrompido quando um erro é encontrado.
/f Força a criptografia ou descriptografia de todos os objetos especificados. Por padrão, os arquivos que já tenham sido criptografados ou descriptografados serão ignorados por cipher.
/q Reporta somente as informações mais essenciais.
/h Exibe arquivos com atributos de sistema ou ocultos. Por padrão, esses arquivos não são criptografados ou descriptografados.
/k Cria uma nova chave de criptografia de arquivo para o usuário que estiver executando o comando cipher. Se você usar esta opção, cipher ignorará todas as outras opções.
/u Atualiza a chave de criptografia de arquivo do usuário ou a chave do agente de recuperação, utilizando as mais atuais em todos os arquivos criptografados nas unidades locais (isto é, se as chaves tiverem sido alteradas). Esta opção só funciona com /n.
/n Evita que as chaves sejam atualizadas. Use esta opção para localizar todos os arquivos criptografados nas unidades locais. Esta opção só funciona com /u.
nome_de_caminho Especifica um padrão, arquivo ou pasta.
/r: nome_de_caminho_sem_extensão Gera uma nova chave particular e um novo certificado de agente de recuperação e grava-os nos arquivos com o nome de arquivo especificado em nome_de_caminho_sem_extensão.Se você usar esta opção, cipher ignorará todas as outras opções.
/w: nome_de_caminho Remove os dados que se encontram em partes não utilizadasde um volume. nome_de_caminho pode indicar qualquer pasta no volume desejado. Se você usar esta opção, cipher ignorará todas as outras opções.
/? Exibe informações de ajuda no prompt de comando. O comando cipher não criptografa arquivos que estejam marcados como somente leitura.

Tabela 10.1 Parâmetros do comando cipher

Eis alguns exemplos do comando cipher:

1.         Para usar o comando cipher para criptografar uma subpasta denominada Memorandos em uma pasta denominada Documentos, utilize o seguinte comando:

cipher  /e Documentos\Memorandos

2.         Para criptografar a pasta Documentos, e todas as sua subpastas, digite o seguinte comando:

cipher  /e /s:Documentos 

3.         Para criptografar apenas o arquivo finanças.xls na subpasta Planilhas, da pasta Documentos, utilize o seguinte comando:

cipher  /e /a Documentos\Planilhas\finanças.xls

4.         Para criptografar todos os arquivos .xls da subpasta Planilhas, da pasta Documentos, digite o seguinte comando:

cipher  /e /a Documentos\Planilhas\*.xls

5.         Para determinar se a pasta Documentos está criptografada, utilize o seguinte comando:

cipher  Documentos 

Para determinar os arquivos na pasta Documentos que estão criptografados, utilize o seguinte comando:

cipher  Documentos\* 


Promoção: Livro Windows Server 2012 R2 e Active Directory - Curso Completo, 2100 Páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!

Promoção: Livro Windows Server 2012 R2 e Active Directory

Curso Completo, 2100 páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!


« Lição anterior Δ Página principal ¤ Capítulos Próxima lição »

Best Sellers de Excel do Julio Battisti

Todos com Vídeo Aulas, E-books e Planilhas de Bônus!

Aprenda com Júlio Battisti:
Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos - Passo a Passo

 Aprenda com Júlio Battisti: Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos

 

Autor: Júlio Battisti | Páginas: 540 | Editora: Instituto Alpha

 

[Livro]: Aprenda com Júlio Battisti: Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos

Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

Livro: Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

 

Autor: Júlio Battisti | Páginas: 952 | Editora: Instituto Alpha

 

Livro: Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

 

[LIVRO]: Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

 

Autor: Júlio Battisti | Páginas: 1124 | Editora: Instituto Alpha

 

[LIVRO]: Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos

 

[A BÍBLIA DO EXCEL]: Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos Passo a Passo

 

Autor: Júlio Battisti | Páginas: 1338 | Editora: Instituto Alpha

 

[A BÍBLIA DO EXCEL]: Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos Passo a Passo

Todos os livros com dezenas de horas de vídeo aulas de bônus, preço especial (alguns com 50% de desconto). Aproveite. São poucas unidades de cada livro e por tempo limitado.

Dúvidas?

Utilize a área de comentários a seguir.

Me ajude a divulgar este conteúdo gratuito!

Use a área de comentários a seguir, diga o que achou desta lição, o que está achando do curso.
Compartilhe no Facebook, no Google+, Twitter e Pinterest.

Indique para seus amigos. Quanto mais comentários forem feitos, mais lições serão publicadas.

Quer receber novidades e e-books gratuitos?
›››

Novidades e E-books grátis

Fique por dentro das novidades, lançamento de livros, cursos, e-books e vídeo-aulas, e receba ofertas de e-books e vídeo-aulas gratuitas para download.



Institucional

  • Quem somos
  • Garantia de Entrega
  • Formas de Pagamento
  • Contato
  • O Autor
  • Endereço

  • Júlio Battisti Livros e Cursos Ltda
  • CNPJ: 08.916.484/0001-25
  • Rua Vereador Ivo Cláudio Weigel, 537 Universitário
  • Santa Cruz do Sul/RS
  • CEP 96816-208
  • Todos os direitos reservados, Júlio Battisti 2001-2017 ®

    [LIVRO]: MACROS E PROGRAMAÇÃO VBA NO EXCEL 2010 - PASSO-A-PASSO

    APRENDA COM JULIO BATTISTI - 1124 PÁGINAS: CLIQUE AQUI