Criptografia no Windows 2000 Server e o Agente de Recuperação

Criptografia no Windows 2000 Server e o Agente de Recuperação

Introdução:

Neste tópico você aprenderá sobre os princípios básicos de criptgrafia em pastas e arquivos, em volumes formatados com NTFS. Dois são os pontos principais que você estudará neste tópico:

A criptografia somente está disponível em volumes formatados com NTFS. Em volumes FAT ou FAT32 não está disponível o recurso de criptografia.

Entenda bem como é a relação entre a criptografia, os certificados digitais e, principalmente, o conceito de Agente de recuperação.

Criptografia – definições e conceitos

O Windows 2000 Server fornece suporte a criptografia de pastas e arquivos através do EFS – Encripted File System (Sistema de arquivos com Criptografia). O suporte ao EFS foi introduzido no Windows 2000 Server e também está disponível no Windows Server 2003 e Windows XP Professional. Com o uso de criptografia o usuário tem um nível de segurança maior do que somente com o uso de permissões NTFS. Somente é possível criptografar arquivos e pastas em volumes formatados com o sistema de arquivos NTFS. Com a criptografia o Windows 2000 Server garante que somente o usuário que criptografou um determinado arquivo tenha acesso ao arquivo.

Criptografia é o processo de converter dados em um formato que não possa ser lido por um outro usuário, a não ser o usuário que criptografou o arquivo. Depois que um usuário criptografar um arquivo, esse arquivo permanecerá automaticamente criptografado quando for armazenado em disco.

Descriptografia é o processo de converter dados do formato criptografado no seu formato original. Depois que um usuário descriptografar um arquivo, esse arquivo permanecerá descriptografado quando for armazenado em disco.

Com as permissões NTFS, existem alguns problemas quanto a segurança dos dados:

O Administrador da máquina pode usar o recurso de Take Ownership (tornar-se dono), tornando-se desta forma dono dos arquivos/pastas desejados, mesmo sem ter permissão de acesso a estes arquivos/pastas. Após ter "dado um Take Ownership", o Administrador pode atribuir permissões de acesso para si mesmo e, com isso, acessar qualquer arquivo ou pasta.

Um usuário pode utilizar um disquete de boot ou instalar um outro sistema operacional no computador e utilizar alguns programas comerciais existentes, para ter cesso a pastas e arquivos protegidas por permissões NTFS.

A grande questão é a seguinte: "Com o uso da criptografia, mesmo que o seu computador seja roubado ou que outro usuário tenha acesso ao computador, não será possível acessar os arquivos e pastas que você criptografou. A única maneira de ter acesso é fazendo o logon com a sua conta e senha". Em resumo: Com a criptografia, os dados estão protegidos, mesmo que outras pessoas tenham acesso ao seu computador, a única maneira de acessar os arquivos criptografados é fazendo o logon com a conta do usuário que criptografou os arquivos ou com a conta configurada como Agente de Recuperação, conforme descreverei mais adiante. Já com as permissões NTFS, conforme descrito anteriormente, este nível de proteção não existe, no caso do computador ser roubado ou de um usuário mal intencionado ter acesso ao computador.

Claro que existem situações adversas que podem surgir com o uso da criptografia. Por exemplo, vamos supor que um funcionário criptografou arquivos importantes para a empresa. Neste meio tempo o funcionário foi demitido. Como é que a empresa poderá ter acesso aos arquivos criptografados se o funcionário demitido se negar a fazer o logon com a sua conta e descriptografar os arquivos ou se a sua conta tiver sido excluída?? Por isso que o EFS permite que uma conta seja configurada como Agente de Recuperação, a qual pode ser utilizada em situações como a descrita neste parágrafo. Mais adiante tratarei, em detalhes, sobre o agente de recuperação.

Não esqueça: Existe uma conta configurada como Agente de recuperação. Esta conta pode fazer o logon e descriptografar pastas e arquivos criptografados por outros usuários. O agente de recuperação padrão é a conta Administrador.

O uso de criptografia é especialmente recomendado para usuários de notebooks e outros dispositivos semelhantes. Não é raro a ocorrência de roubos de notebooks, sendo que estes podem conter dados importantes da empresa, tais como planos estratégicos e relatórios de pesquisa e desenvolvimento de novos produtos. O uso da criptografia é a forma mais indicada para proteger estes dados, mesmo em situações de roubo de um notebook.

A criptografia é transparente para o usuário que criptografou o arquivo. Isso significa que o usuário não precisa descriptografar manualmente o arquivo criptografado para poder usá-lo. Ele pode abrir e alterar o arquivo da maneira habitual. Por exemplo, vamos supor que você criptografou um documento do Word. Ao dar um clique duplo no documento, o Windows 2000 Server descriptografa, automaticamente, o arquivo, abre o Word e carrega o arquivo para você. Observe que para o usuário toda a operação é transparente, ou seja, é como se o arquivo não estivesse criptografado. Se outro usuário, que não o que criptografou o arquivo, tentar utilizá-lo, receberá uma mensagem de acesso negado.

O uso do EFS é semelhante ao uso de permissões para arquivos e pastas. Ambos os métodos podem ser usados para restringir o acesso aos dados. No entanto, um intruso que obtenha acesso físico não-autorizado aos seus arquivos ou pastas criptografados não conseguirá acessá-los. Se o intruso tentar abrir ou copiar sua pasta ou arquivo criptografado, verá uma mensagem de acesso negado. As permissões definidas para arquivos e pastas não os protege contra ataques físicos não-autorizados, conforme já descrito anteriormente.

Você criptografa ou descriptografa uma pasta ou arquivo definindo a propriedade de criptografia para pastas e arquivos da mesma forma como define qualquer outro atributo, como somente leitura, compactado ou oculto. Se você criptografar uma pasta, todos os arquivos e subpastas criados na pasta criptografada serão automaticamente criptografados. É recomendável que você use a criptografia para pastas e não para arquivos individualmente, pois isso facilita a administração dos arquivos criptografados.

Nota: Você também pode criptografar ou descriptografar um arquivo ou pasta usando o comando cipher. Tratarei deste comando mais adiante.

Antes de aprender a criptografar arquivos e pastas, vou apresentar algumas observações importantes sobre a criptografia no Windows 2000 Server:

Somente arquivos e pastas em volumes NTFS podem ser criptografados.

As pastas e os arquivos compactados não podem ser criptografados. Se o usuário marcar um arquivo ou pasta para criptografia, ele será descompactad
o

Se você mover arquivos descriptografados para uma pasta criptografada, esses arquivos serão automaticamente criptografados na nova pasta. No entanto, a operação inversa não descriptografa automaticamente os arquivos. Nesse caso, é necessário descriptografar manualmente os arquivos.

Os arquivos marcados com o atributo Sistema não podem ser criptografados, bem como os arquivos da pasta raiz do sistema, isto é C:\ ou D:\ e assim por diante.

Criptografar um arquivo ou uma pasta não protege contra exclusão ou listagem de arquivos ou pastas. Qualquer pessoa com permissões NTFS adequadas pode excluir ou listar pastas ou arquivos criptografados. A proteção da criptografia é contra o acesso aos arquivos, ou seja, somente o usuário que criptografou o arquivo terá acesso. Para proteção contra listagem e exclusão recomenda-se o uso do EFS em combinação com permissões NTFS, utilizando as permissões NTFS para impedir que outros usuários possam excluir e até mesmo listar os arquivos que estão em um pasta criptografada.

Você pode criptografar ou descriptografar pastas e arquivos localizados em um computador remoto ativado para criptografia remota. No entanto, se você abrir o arquivo criptografado na rede, os dados transmitidos na rede através desse processo não serão criptografados. Outros protocolos, como a camada de soquetes de segurança/segurança da camada de transporte (SSL/TLS) ou IP Seguro (IPSec), devem ser usados para criptografar dados durante a transmissão.

Agora que já temos um bom entendimento sobre os aspectos teóricos relacionados com o EFS, é hora de aprender sobre as tarefas práticas, relacionadas com a criptografia de arquivos e pastas no Windows 2000 Server.

Em primeiro lugar vou falar sobre algumas medidas preventivas que devem ser tomadas, para garantir que você sempre possa terá acesso aos arquivos e pastas criptografados.

Garantindo a recuperação dos dados.

A criptografia utilizada pelo Windows 2000 Server é baseada na utilização de um par de chaves de criptografia. Uma chave é utilizada para criptografar os dados e a outra chave do par é utilizada para descriptografar os dados. A única maneira de descriptografar os dados e ter acesso às informações é tendo acesso as chaves de criptografia. Estas chaves são armazenadas em um Certificado digital, certificado este que é gerado, automaticamente, pelo Windows 2000 Server, a primeira vez que o usuário criptografa um arquivo ou pasta. Neste Certificado digital estão todas as informações necessárias para criptografar e descriptografar arquivos.

Cada usuário que criptografa/descriptografa arquivos, possui o seu próprio Certificado digital, gerado automaticamente pelo Windows 2000 Server. Um certificado adicional também é gerado para a conta configurada como Agente de recuperação. Desta maneira se o usuário que criptografou arquivos ou pastas deixar a empresa, será possível descriptografar os seus dados, utilizando a conta configurada como Agente de recuperação, uma vez que esta conta possui cópia do Certificado digital necessário a tal operação.

O Certificado digital nada mais é do que um arquivo que contém as informações necessárias para trabalhar com criptografia no Windows 2000 Server. Como todo arquivo, fica gravado no disco rígido do computador. Acontece que se houver um problema com o disco rígido, a cópia do certificado do usuário e do certificado do agente de recuperação serão perdidas (caso não haja uma cópia de segurança) e, sem um destes certificados, ficará impossível descriptografar os arquivos/pastas criptografados pelo usuário. Na prática, significa que o acesso aos dados criptografados será perdido. Para evitar que isto aconteça, deve ser feita uma cópia de segurança, preferencialmente em disquete ou em um drive de rede, do Certificado digital gerado para o usuário. É importante lembrar que este certificado, somente será gerado na primeira vez que o usuário criptografar alguma pasta ou arquivo.

A seguir mostrarei como fazer o backup do certificado digital do usuário, do certificado do agente de recuperação e como restaurar o certificado digital do usuário. Por padrão, a conta Administrator (Administrador) é configurada como agente de recuperação.

Para um Member Server, o agente de recuperação padrão é a conta Administrator (Administrador) local. Para um domínio baseado no Active Directory, a conta configurada com agente de recuperação é a conta Administrator (Administrador) do domínio. No exemplo a seguir mostrarei como fazer uma cópia de segurança, em disquete, do certificado digital da conta Administrator de um domínio.

Exemplo 1: Para fazer o backup do certificado do Agente de recuperação para o domínio, siga os seguintes passos:

1. Faça o logon com uma conta com permissões de Administrador.

2. Abra o console Diretiva de segurança de domínio: Iniciar -> Programas -> Ferramentas Administrativas -> Diretiva de segurança de domínio.

3. Dê um clique no sinal de + ao lado da opção Configurações de segurança. Nas opções que são exibidas, dê um clique no sinal de + ao lado da opção Diretivas de chave pública.

4. Nas opções que são exibidas dê um clique na opção Agentes de recuperação de dados criptografados. No painel da direita será exibido o Certificado do Agente de recuperação, que por padrão é a conta Administrador, conforme indicado na Figura 1:

Figura 1 - Conta Administrator – por padrão é o agente de recuperação.

5. No painel da direita, clique com o botão direito do mouse na conta Administrador. No menu que é exibido selecione o comando Todas as tarefas -> Exportar... Será aberto o Assistente para exportação de certificados.

6. A primeira tela é apenas informativa. Dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

7. Nesta etapa você deve optar por exportar ou não a Chave particular do certificado. A Chave particular é um meio de proteger o acesso ao Certificado digital, através de uma senha. Se você não tiver uma senha definida, apenas estará habilitada a opção Não, não exportar a chave particular,. Marque a opção Não, não exportar a chave particular e dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

8. Surge uma tela perguntando o formato para exportação do certificado. Certifique-se de que a opção X.509 binário codificado por DER (*.cer) esteja selecionada e dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

9. Surge uma tela solicitando o nome do arquivo para o qual será exportado o certificado. É recomendado que você exporte para um disquete ou para um drive de rede. Certifique-se de que você colocou um disquete no drive e, no campo Nome do arquivo, digite: A:\cert_ag_recup.

10. Dê um clique no botão Avançar, para ir para a próxima etapa do assistente. O Windows 2000 Server exporta o certificado, para o arquivo especificado no drive de disquete.

11. Será exibida a tela final do assistente, com um resumo das opções selecionadas. Se você quiser fazer alguma alteração, pode utilizar o botão Voltar. Dê um clique no botão Concluir, para fechar o Assistente para exportação de certificados.

12. Surge uma mensagem informando que a exportação foi concluída com êxito. Dê um clique no botão OK para fechar esta mensagem.

13. Você estará de volta ao console Diretiva de segurança de domínio e uma cópia do Certificado digital do Agente de recuperação, foi gravada no disquete. No evento de uma falha do disco rígido, esta cópia pode ser utilizada para descriptografar os arquivos e pastas criptografados. Feche o console Diretiva de segurança de domínio.

Muito bem, o backup do certificado do agente de recuperação foi efetuado. Em caso de falha no HD você pode importar este certificado para descriptografar arquivos que tenham sido criptografados anteriormente a falha. Claro que deve existir backup destes arquivos, caso contrário com a falha no HD você perderá os arquivos e aí não haverá utilização para a cópia do certificado do agente de recuperação que você fez no Exemplo 1.

Exemplo 2: Para fazer o backup do Certificado digital do usuário, gerado automaticamente pelo Windows 2000 Server, quando o usuário criptografa um arquivo ou pasta pela primeira vez, faça o seguinte:

1. Faça o logon com um a conta do usuário, para o qual você deseja fazer uma cópia de segurança do Certificado digital.

2. Abra o Internet Explorer.

3. Selecione o comando Ferramentas -> Opções da Internet...

4. Na janela Opções da Internet que é aberta dê um clique na guia Conteúdo.

5. Na guia Conteúdo dê um clique no botão Certificados... Será aberta a janela Certificados.

6. Na guia Pessoal, da janela de Certificados, dê um clique no certificado que corresponde ao nome do usuário logado, conforme exemplo da Figura 2, onde foi marcado o certificado para o usuário user01.

Figura 2 A guia Pessoal da janela Certificados.

7. Clique no botão Exportar..., será aberto o Assistente para exportação de certificados, com o qual você já trabalhou no Exemplo 1.

8. A primeira tela do assistente é apenas informativa, dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

9. Nesta etapa você deve optar por exportar ou não a Chave particular do certificado.

10. Certifique-se de que a opção Sim, exportar a chave particular esteja marcada e dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

11. Surge uma tela perguntando o formato para exportação do certificado. Aceite as configurações sugeridas pelo assistente e dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

12. Nesta etapa é solicitada uma senha de proteção para abertura do arquivo no qual será gravado o certificado. Digite a senha duas vezes para confirmação e dê um clique no botão Avançar, para ir para a próxima etapa do assistente. Esta senha não precisa ser igual a senha de logon da conta do usuário.

13. Surge uma tela solicitando o nome do arquivo para o qual será exportado o certificado. É recomendado que você exporte para um disquete ou para um drive de rede. Certifique-se de que você colocou um disquete no drive e, no campo Nome do arquivo, digite: A:\cert_user01.

14. Dê um clique no botão Avançar, para ir para a próxima etapa do assistente. O Windows 2000 Server exporta o certificado, para o arquivo especificado no drive de disquete.

15. Será exibida a tela final do assistente, com um resumo das opções selecionadas. Se você quiser fazer alguma alteração, pode utilizar o botão Voltar. Dê um clique no botão Concluir, para fechar o Assistente para exportação de certificados.

16. Surge uma mensagem informando que a exportação foi concluída com êxito. Dê um clique no botão OK para fechar esta mensagem.

17. Você estará de volta a guia Pessoal da janela Certificados e uma cópia do Certificado digital do usuário logado, foi gravada no disquete. No evento de uma falha do disco rígido, esta cópia pode ser utilizada para descriptografar os arquivos e pastas criptografados pelo usuário.

18. Clique no botão Fechar para fechar a janela Certificados.

19. Você estará de volta à janela Opções da Internet. Dê um clique no botão OK para fechá-la.

20. Você estará de volta ao Internet Explorer. Feche-o.]

Com estes dois exemplos, você aprendeu a exportar o certificado do agente de recuperação e também o certificado de um usuário. Estes certificados podem ser importados a partir do disquete, no evento de falha do respectivo certificado original. É sempre recomendado que você proteja os certificados com a definição de uma senha e mantenha o disquete em local seguro, pois caso contrário qualquer usuário que tiver acesso ao disquete poderá importar o certificado (conforme mostrarei logo a seguir) e utilizá-lo para ter acesso aos seus arquivos e pastas criptografados. Claro que o usuário teria que saber a senha que você definiu ao exportar o certificado pessoal. Por isso a importância da definição de uma senha para exportação do certificado, pois esta senha será solicitada quando da importação do certificado. O certificado somente será importado com sucesso, se a senha correta for informada.

Na Figura 3 mostro os dois arquivos, com os certificados que foram exportados nos exemplos 1. e 2. Observe que o Windows 2000 Server usa ícones diferentes para o certificado do Agente de recuperação e para o certificado de usuário.

Figura 3 - Cópia de segurança dos certificados.

Agora vou mostrar como importar um certificado a partir de um arquivo.

Exemplo 3: Para importar um certificado siga os passos indicados a seguir:

1. Abra a pasta onde está o certificado. No nosso exemplo, use o Meu computador ou o Windows Explorer para acessar o disquete (A:\), onde está o arquivo com o certificado a ser importado.

2. Clique com o botão direito do mouse no arquivo com o certificado a ser importado. Se você estiver importando o certificado do agente de recuperação, no menu que surge, dê um clique na opção Instalar Certificado. Se você estiver importando o certificado de um usuário, no menu de opções que é exibido, dê um clique na opção Instalar PFX.

3. No nosso exemplo você irá importar o certificado de usuário, exportado no Exemplo 2. Clique com o botão direito do mouse no arquivo correspondente ao certificado a ser importado (cert_user01.pfx) e no menu de opções que surge, dê um clique na opção Instalar PFX.

4. Será aberto o Assistente para importação de certificados.

5. A primeira tela é apenas informativa. Dê um clique no botão Avançar, para seguir para a próxima etapa do assistente.

6. O campo Nome do arquivo já vem preenchido com o caminho e o nome do arquivo no qual clicamos com o botão direito do mouse. Dê um clique no botão Avançar, para seguir para a próxima etapa do assistente.

7. Se houver uma senha definida para o certificado, surgirá uma tela solicitando que seja digitada a senha. Digite a senha e dê um clique no botão Avançar, para seguir para a próxima etapa do assistente.

8. Nesta etapa você deve indicar o local para onde será importado o certificado. Aceita a opção sugerida pelo assistente, que por padrão é: Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado)

9. Dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

10. Será exibida a tela final do assistente, com um resumo das opções selecionadas. Se você quiser fazer alguma alteração, pode utilizar o botão Voltar. Dê um clique no botão Concluir, para fechar o Assistente para importação de certificados.

11. Surge uma mensagem informando que a importação foi concluída com êxito. Dê um clique no botão OK para fechar esta mensagem.

Agora sim, você já sabe exportar e importar certificados, para garantir o acesso aos dados criptografados. Agora é hora de começar a trabalhar com a criptografia no Windows 2000 Server.

Criptografando arquivos e pastas

É possível criptografar arquivos individualmente, porém é recomendado que você utilize a criptografia sempre em pastas. Ao criptografar uma pasta, todos os novos arquivos que forem criados dentro da pasta já serão automaticamente criptografados. Com isso você garante que todo o conteúdo da pasta esteja protegido.

Ao criptografar uma pasta e o seu conteúdo, somente o usuário que criptografou a pasta, terá acesso aos seus arquivos. Outros usuários poderão entrar na pasta e até mesmo verão uma listagem dos arquivos, porém ao tentar abrir um arquivo, receberão a mensagem indicada na Figura 4.

Figura 4 - Mensagem de acesso negado.

Nota: Para impedir que outros usuários possam entrar em uma pasta que você criptografou e visualizar a listagem de arquivos, configure as permissões NTFS de tal maneira que somente você possa listar os arquivos desta pasta.

Exemplo 3: Para criptografar uma pasta e todo o seu conteúdo, siga os passos indicados a seguir:

1. Faça o logon com a sua conta de usuário. Somente o usuário logado terá acesso aos arquivos da pasta que forem criptografados enquanto você estava logado com a sua conta de usuário.

2. Usando o Meu computador ou o Windows Explorer, localize a pasta a ser criptografada.

3. Clique com o botão direito do mouse na pasta a ser criptografada e, no menu de opções que é exibido, dê um clique na opção Propriedades. Será aberta a janela de propriedades da pasta, com a guia Geral selecionada.

4. Dê um clique no botão Avançados... Será aberta a janela Atributos avançados.

5. Para criptografar a pasta marque a opção Criptografar o conteúdo para proteger os dados, conforme indicado no exemplo da Figura 5.

Figura 5 - A opção Criptografar o conteúdo para proteger os dados.

6. Dê um clique no botão OK. Você estará de volta à janela de propriedades da pasta.

7. Dê um clique no botão OK. Surge uma janela perguntando se você deseja criptografar somente a pasta em questão ou todas as suas subpastas e arquivos. Aplicar as alterações a esta pasta, subpastas e arquivos e dê um clique no botão OK.

8. O Windows 2000 Server inicia o processo de criptografia da pasta e de todo o seu conteúdo. Dependendo da quantidade de arquivos e subpastas, o processo de criptografia pode demorar alguns minutos. Durante este processo é exibida uma janela com o progresso da criptografia.

Pronto. A pasta está criptografada e somente o usuário que a criptografou terá acesso a pasta.

Algumas observações:

As pastas e os arquivos compactados não podem ser, ao mesmo tempo, criptografados. Se você criptografar uma pasta ou um arquivo compactado, essa pasta ou esse arquivo será descompactado.

Os arquivos marcados com o atributo Sistema não podem ser criptografados, bem como os arquivos que se encontram na estrutura de diretórios raiz dos volumes (C:\, D:\ e assim por diante).

Ao criptografar um único arquivo, você poderá optar se deseja criptografar a pasta que contém o arquivo. Se você escolher essa opção, todos os arquivos e subpastas que forem adicionados posteriormente à pasta serão criptografados quando forem adicionados.

Ao criptografar uma pasta, você poderá optar se deseja que todos os arquivos e subpastas dentro da pasta também sejam criptografados. Se você escolher essa opção, todos os arquivos e subpastas atualmente na pasta serão criptografados, bem como quaisquer arquivos e subpastas que forem adicionados à pasta mais tarde. Se você optar por criptografar somente a pasta, todos os arquivos e subpastas que se encontram atualmente na pasta não serão criptografados. No entanto, quaisquer arquivos e subpastas que forem adicionados à pasta mais tarde serão criptografados quando forem adicionados. É aconselhável que você sempre opte por criptografar todo o conteúdo da pasta, conforme descrito no passo 7 do Exemplo anterior. Com isso você não terá que manter um controle sobre quais pastas e/ou arquivos estão criptografados e quais não estão.

Para criptografar um único arquivo, o processo é semelhante a criptografar uma pasta, conforme descrito nos passos a seguir:

1. Utilizando o Windows Explorer ou o Meu computador, localize o arquivo a ser criptografado.

2. Clique com o botão direito do mouse no arquivo a ser criptografado. No menu de opções que surge, dê um clique na opção Propriedades. Será aberta a janela de propriedades do arquivo, com a guia Geral selecionada por padrão.

3. Dê um clique no botão Avançados.... Será exibida a janela Atributos avançados.

4. Marque a opção Criptografar o conteúdo para proteger os dados e dê um clique no botão OK.

5. Será aberta a janela Aviso de criptografia, perguntando se você deseja criptografar o arquivo e a pasta pai (pasta onde está o arquivo) ou somente o arquivo, conforme indicado na Figura 6.

Figura 6 - A janela Aviso de criptografia.

Nota: Se você não quiser mais receber este aviso e fazer com que o Windows 2000 Server faça sempre a criptografia somente do arquivo, marque a opção Sempre criptografar somente o arquivo.

6. Na janela Aviso de criptografia selecione a opção desejada e dê um clique no botão OK.

7. Você estará de volta à janela de propriedades do arquivo.

8. Dê um clique no botão OK. O Windows criptografa o arquivo e, dependendo das opções que você selecionou, também a pasta onde está o arquivo.

Nota: Você também pode criptografar arquivos e pastas que estão em pastas compartilhadas, em outros computadores da rede. Basta mapear uma unidade para a pasta compartilhada, onde estão os arquivos e pastas a ser criptografados e utilizar os procedimentos descritos neste tópico, para criptografá-los.

Operações com arquivos criptografados.

Ao copiar ou mover arquivos criptografados, diferentes situações podem ocorrer dependendo de a pasta de destino ser ou não criptografada e de estar ou não em um volume formatado com NTFS. A seguir descrevo algumas situações envolvendo ações de copiar e mover com arquivos criptografados.

Ao copiar um arquivo não criptografado, para uma pasta criptografada, a cópia do arquivo será criptografada na pasta de destino. Por exemplo, você copia o arquivo não criptografado memo.doc, da pasta Meus documentos para a pasta Documentos pessoais, a qual está criptografada. O arquivo memo.doc copiado para a pasta Documentos pessoais será criptografado.

Ao copiar um arquivo criptografado, para um volume NTFS em outro computador com o Windows 2000, Windows XP Professional ou Windows Server 2003, o arquivo manterá a criptografia. Se o computador de destino estiver rodando o Windows NT ou o volume for formatado com FAT, a cópia do arquivo não será criptografada.

Se você mover um arquivo criptografado para outra pasta, no mesmo volume, o arquivo mantém a criptografia. Se você mover um arquivo criptografado para outro volume, o Windows 2000 Server considerará esta operação como sendo uma cópia, onde o arquivo é excluído na pasta de origem e copiado para a pasta de destino. Neste caso, o arquivo segue as regras explicadas no primeiro item.

Não esqueça: Se você tentar mover um arquivo criptografado por outro usuário, para um volume formatado com FAT, na tentativa de obter uma cópia não criptografada do arquivo, você receberá uma mensagem de Acesso negado, pois para descriptografar o arquivo (o que é necessário para movê-lo para um volume FAT), você teria que ter acesso ao Certificado digital do usuário que criptografou o arquivo, conforme descrito anteriormente.

Se você renomear um arquivo criptografado, o arquivo continuará criptografado.

Ao excluir um arquivo, a cópia do arquivo que fica na Lixeira, continuará criptografada.

Se você fizer uma cópia de segurança de arquivos criptografados para uma fita de Backup ou para um outro volume NTFS, a cópia de segurança permanecerá criptografada.

Se você quiser utilizar arquivos criptografados em outro computador, terá que importar o seu Certificado digital no computador de destino, conforme descrito anteriormente.

Descriptografando arquivos e pastas.

Enquanto um determinado arquivo estiver criptografado, o uso deste arquivo não muda para o usuário, ou seja, quando o usuário abre um arquivo criptografado, o Windows 2000 Server utiliza as informações do Certificado digital do usuário para descriptografar o arquivo e fornecer os dados para o usuário. Este processo é completamente transparente para o usuário, conforme já descrito anteriormente.

O usuário pode descriptografar um arquivo e/ou pasta a qualquer momento que desejar. O usuário pode utilizar este mecanismo em diversas situações, como por exemplo, para fornecer acesso ao arquivo para outros usuários. Para descriptografar um arquivo ou pasta é extremamente simples, basta seguir os seguintes passos:

1. Localize o arquivo ou pasta a ser descriptografado e dê um clique com o botão direito do mouse nele.

2. No menu de opções que surge dê um clique em Propriedades. Será exibida a janela de propriedades do arquivo/pasta.

3. Na guia General, da janela de Propriedades, dê um clique no botão Avançados...

4. Na janela Atributos avançados, desmarque a opção Criptografar o conteúdo para proteger os dados.

5. Dê um clique no botão OK.

6. Você estará de volta à janela Propriedades. Dê um clique no botão OK.

7. Se você estiver descriptografando uma pasta, surge a mensagem indicada perguntando se você deseja descriptografar apenas a pasta ou todo o seu conteúdo. Selecione a opção desejada e dê um clique no botão OK.

8. A pasta será descriptografada e também o seu conteúdo, dependendo das opções selecionadas. Se você optar por descriptografar somente a pasta, novos arquivos criados na pasta não serão criptografados, porém os arquivos já existentes, manterão a criptografia.

Alterando a diretiva de recuperação do Computador local

É possível alterar as configurações do Agente de recuperação do seu computador ou no caso de trabalhar em um domínio, do domínio como um todo. Você pode adicionar novas contas, além da conta padrão Administrador, pode inclusive excluir todos os usuários da lista de Agentes de recuperação, o que implicará na desabilitação do sistema de criptografia, conforme será detalhado mais adiante.

Exemplo 4: Para alterar a diretiva de recuperação do domínio, faça o seguinte:

1. Faça o logon com uma conta com permissões de Administrador.

2. Abra o console Diretiva de segurança de domínio: Iniciar -> Programas -> Ferramentas Administrativas -> Diretiva de segurança de domínio.

3. Dê um clique no sinal de + ao lado da opção Configurações de segurança. Nas opções que são exibidas, dê um clique no sinal de + ao lado da opção Diretivas de chave pública.

4. Nas opções que são exibidas dê um clique na opção Agentes de recuperação de dados criptografados. No painel da direita será exibido o Certificado do Agente de recuperação, que por padrão é a conta Administrador.

5. Clique com o botão direito do mouse na opção Agentes de recuperação de dados criptografados e siga uma dos seguintes caminhos:
5.1. Para designar um usuário como agente de recuperação adicional através do Assistente para adicionar agente de recuperação, clique na opção Adicionar...) e siga os passos do assistente.

5.2. Para solicitar um novo certificado de recuperação de arquivo através do Assistente para solicitação de certificados, clique em Novo -> Agente de recuperação criptografado.... Será aberto o Assistente para adicionar agente de recuperação. Siga os passos do assistente.

5.3. Para excluir essa diretiva de EFS e todos os agentes de recuperação, clique em Todas as Tarefas -> Excluir diretiva. Se você selecionar essa opção, os usuários não poderão mais usar criptografia nos computadores do domínio. O Windows 2000 Server não permite que você faça a criptografia de arquivos se não houver um Agente de recuperação configurado. Para voltar a habilitar a criptografia de arquivos, você deve seguir os passos descritos neste exemplo e adicionar um Agente de recuperação.
6. Após ter configurado as opções desejadas, feche o MMC. Surge uma janela perguntando se você deseja salvar o console. Clique em Não.

Algumas observações importantes:

Antes de qualquer alteração na diretiva de recuperação, você deve fazer um backup das chaves de recuperação em um disquete, conforme descrito nos exemplos anteriores. Este procedimento garante que os arquivos poderão ser descriptografados caso haja algum problema com as configurações do Agente de recuperação.

É necessário fazer logon como administrador ou com uma conta com permissões de administrador para executar estas ações.

Se a sua conta for configurado como Agente de recuperação, você poderá descriptografar arquivos criptografados por outros usuários, simplesmente acessando as propriedades do arquivo, clicando no botão Avançado...s e desmarcando a opção Criptografar o conteúdo para proteger os dados. Para realizar tal operação, o Certificado digital correspondente a conta do Agente de recuperação deve estar instalado no computador onde a operação será realizada. Para maiores detalhes sobre a Importação e Exportação de certificados, consulte a parte inicial deste tópico.

Recomendações sobre a criptografia de pastas e arquivos

Neste item coloco algumas recomendações sobre a criptografia de pastas e arquivos. Estas recomendações são baseadas na documentação oficial da Microsoft:

Para obter o máximo de segurança, criptografe as pastas antes de criar arquivos importantes nelas. Isso faz com que os arquivos criados sejam automaticamente criptografados e seus dados nunca sejam gravados em disco como texto sem formatação.

Se você salvar a maior parte dos seus documentos na pasta Meus documentos, criptografe-a. Isso assegura que seus documentos pessoais sejam criptografados por padrão. No caso de perfis de usuários móveis, deve-se fazer isso apenas se a pasta Meus documentos for redirecionada para um local de rede.

Criptografe pastas em vez de arquivos individuais para que, caso um programa crie arquivos temporários durante a edição, eles também sejam criptografados.

O agente de recuperação designado deverá exportar o certificado de recuperação de dados e a chave particular para um disco, guardá-los em um local seguro e excluir do sistema a chave particular de recuperação de dados. Dessa forma, a única pessoa que poderá recuperar dados do sistema será aquela que possui acesso físico à chave particular de recuperação de dados. Estes procedimentos foram descritos no início deste tópico.

Deve-se manter o menor número possível de agentes de recuperação designados. Desse modo, menos chaves ficarão expostas ao ataque criptográfico e haverá mais garantias de que os dados criptografados não sejam descriptografados inadequadamente.

O comando cipher

O comando cipher é utilizado para exibir ou altera a criptografia de pastas e arquivos em volumes formatados com NTFS. Quando utilizado sem parâmetros, cipher exibe o estado de criptografia da pasta atual e de quaisquer arquivos que ela contenha.

Sintaxe para o comando cipher, conforme documentação oficial da Microsoft:

cipher [{/e|/d}] [/s:dir] [/a] [/i] [/f] [/q] [/h] [/k] [/u[/n]] [nome_de_caminho [...]] | [/r:nome_de_caminho_sem_extensão] | [/w:nome_de_caminho]

Na tabela 1, apresento a descrição dos parâmetros do comando cipher.

Tabela .1 Parâmetros do comando cipher

Parâmetro	Descrição
/e	Criptografa as pastas especificadas. As pastas serão marcadas para que os arquivos adicionados a elas posteriormente também sejam criptografados.
/d	Descriptografa as pastas especificadas.
/s:dir	Efetua a operação selecionada na pasta especificada e em todas as subpastas.
/a	Efetua a operação nos arquivos e pastas.
/i	Continua a efetuar a operação especificada mesmo após a ocorrência de erros. Por padrão, cipher é interrompido quando um erro é encontrado.
/f	Força a criptografia ou descriptografia de todos os objetos especificados. Por padrão, os arquivos que já tenham sido criptografados ou descriptografados serão ignorados por cipher.
/q	Reporta somente as informações mais essenciais.
/h	Exibe arquivos com atributos de sistema ou ocultos. Por padrão, esses arquivos não são criptografados ou descriptografados.
/k	Cria uma nova chave de criptografia de arquivo para o usuário que estiver executando o comando cipher. Se você usar esta opção, cipher ignorará todas as outras opções.
/u	Atualiza a chave de criptografia de arquivo do usuário ou a chave do agente de recuperação, utilizando as mais atuais em todos os arquivos criptografados nas unidades locais (isto é, se as chaves tiverem sido alteradas). Esta opção só funciona com /n.
/n	Evita que as chaves sejam atualizadas. Use esta opção para localizar todos os arquivos criptografados nas unidades locais. Esta opção só funciona com /u.
nomedecaminho	Especifica um padrão, arquivo ou pasta.
/r :nome de caminho sem extensão	Gera uma nova chave particular e um novo certificado de agente de recuperação e grava-os nos arquivos com o nome de arquivo especificado em nome_de_caminho_sem_extensão. Se você usar esta opção, cipher ignorará todas as outras opções.
/w:nome de caminho	Remove os dados que se encontram em partes não utilizadas de um volume. nome_de_caminho pode indicar qualquer pasta no volume desejado. Se você usar esta opção, cipher ignorará todas as outras opções.
/?	Exibe informações de ajuda no prompt de comando.

Nota: O comando cipher não criptografa arquivos que estejam marcados como somente leitura.

Eis alguns exemplos do comando cipher:

1. Para usar o comando cipher para criptografar uma subpasta denominada Memorandos em uma pasta denominada Documentos, utilize o seguinte comando:

cipher /e Documentos\Memorandos

2. Para criptografar a pasta Documentos, e todas as sua subpastas, digite o seguinte comando:

cipher /e /s:Documentos

3. Para criptografar apenas o arquivo finanças.xls na subpasta Planilhas, da pasta Documentos, utilize o seguinte comando:

cipher /e /a Documentos\Planilhas\finanças.xls

4. Para criptografar todos os arquivos .xls da subpasta Planilhas, da pasta Documentos, digite o seguinte comando:

cipher /e /a Documentos\Planilhas\*.xls

5. Para determinar se a pasta Documentos está criptografada, utilize o seguinte comando:

cipher Documentos

Para determinar os arquivos na pasta Documentos que estão criptografados, utilize o seguinte comando:

cipher Documentos\*

Conclusão

Neste tutorial você aprendeu sobre o recurso de criptografia de pastas e arquivos no Windows 2000 (Professional ou Server). Você aprendeu sobre o uso de certificados e a sua relação com o recurso de criptografia. Falei sobre o conceito de Agente de Recuperação e sobre como fazer um backup do certificado da conta configurada como agente de recuperação. Também mostrei como executar as operações práticas, relacionadas com criptografia, tais como criptografar e descriptografar arquivos e pastas.

Aproveite para ir aprimorando os seus conhecimentos sobre TCP/IP e Windows 2000, com os artigos, tutoriais e simulados que eu disponibilizo aqui no site. Fique também em dia com os estudos de TCP/IP, com a série de tutoriais sobre TCP/IP e com os links indicados no endereço: http://www.juliobattisti.com.br/tcpip.asp, pois estes conhecimentos serão muito importantes para os exames de Certificação do Windows 2000 Server e do Active Directory.

Artigos