:: PÁGINA DO FABIANO :: MANUAIS E SIMULADOS :: ARTIGOS E TUTORIAIS

Artigos

WINDOWS 2000

EFS – Encrypting File System – Sistema de Arquivos com Criptografia

Autor: Fabiano de Santana

Certificações: MCP – MCSA 2000/2003 – MCSE 2000

O conteúdo deste artigo faz parte dos tópicos cobrados nos Exames 70-210, 70-215 e 70-218. Para um manual de estudos completo para os exames 70-210, 70-215 e 70-218, não deixe de conferir os manuais “Manual de Estudos MCSE 70-210”, “Manual de Estudos MCSE 70-215” e “Manual de Estudos MCSE 70-218”.

Esses manuais estão disponíveis para venda aqui no site: http://www.juliobattisti.com.br . Confira também os Simulados para os Exames 70-210 e 70-215, com 120 questões cada, com respostas e comentários detalhados, disponíveis para compra nos seguintes endereços: “Simulado MCSE 70-210” e “Simulado MCSE 70-215”.

Ao utilizarmos o sistema de arquivos NTFS, contamos com um recurso voltado a segurança: EFS – Encrypting File System (Sistema de Arquivos com Criptografia). Com esse recurso podemos criptografar pastas e arquivos confidenciais. É um recurso bastante utilizado hoje em dia, principalmente em laptops, pois com ele reforçamos a segurança em arquivos e pastas.

O recurso EFS foi introduzido no Windows 2000, e está disponível também no Windows Server 2003 e Windows XP Professional.

Um detalhe importante é que esse recurso só pode ser utilizado em sistemas de arquivos NTFS. Em outros tipos de sistemas de arquivos, esse recurso não está disponível.

A criptografia nada mais é do que a conversão de um conjunto de dados para um formato no qual não possa ser lido por um outro usuário. Ou seja, somente quem criptografa um arquivo pode acessá-lo. O Recovery Agent (Agente de Recuperação) também pode acessar um arquivo criptografado. A descriptografia consiste em converter um conjunto de dados criptografados para o seu formato original, tornando possível a sua leitura. Quando criptografamos um arquivo, ele permanecerá armazenado em disco com o atributo de criptografia.

Como já dito anteriormente, com o recurso EFS reforçamos a segurança em arquivos e pastas. Caso utilizemos somente as permissões NTFS para garantir a segurança de nossas informações, nos depararemos com os seguintes problemas:

A conta de usuário Administrator (Administrador) pode utilizar o recurso Take Ownership (Apropriar-se), ou seja, tornar-se dono do arquivo e atribuir as permissões que desejar nesse arquivo.
Outros usuários podem acessar esses arquivos com programas de terceiros, existentes no mercado. Para isso utilizam um disco de boot ou instalam um outro sistema operacional no computador.

Utilizando a criptografia, resolvemos ambos os problemas citados acima, pois somente quem criptografou os arquivos e o Recovery Agent (Agente de Recuperação) poderá ter acesso a esses arquivos.

O recurso EFS nos permite configurar uma conta com a função de Recovery Agent (Agente de Recuperação). Com esta conta, podemos acessar arquivos criptografados por outros usuários. Em computadores Member Servers (Servidores Membros), por padrão, a conta de usuário Administrator (Administrador) é configurada como Recovery Agent (Agente de Recuperação). Já em Domain Controllers (Controladores de Domínio), por padrão, a conta de usuário Domain Administrator (Administrador do Domínio) é configurada como Recovery Agent (Agente de Recuperação). O Recovery Agent (Agente de Recuperação) é útil quando excluímos a conta de um usuário que possui arquivos criptografados. Após a exclusão dessa conta de usuário, somente o Recovery Agent (Agente de Recuperação) poderá acessar esses arquivos.

O acesso aos arquivos e pastas criptografados é transparente, ou seja, é idêntico ao acesso a arquivos e pastas não criptografados. Quando acessamos um arquivo criptografado, ele é descriptografado automaticamente. E quando fechamos o arquivo, ele é criptografado novamente.

Ao tentarmos acessar um arquivo criptografado do qual não sejamos dono, receberemos uma mensagem de acesso negado, e não poderemos visualizar o conteúdo desse arquivo.

Algumas considerações sobre o EFS:

Arquivos de sistema não podem ser criptografados.
Arquivos e pastas não podem ser criptografados e compactados ao mesmo tempo.
O EFS não retém a criptografia nas pastas e arquivos enquanto estes estão sendo enviados pela rede. Caso precise que os arquivos e pastas sejam mantidos criptografados enquanto são enviados pela rede, utilize o IPSEC.
Para armazenar arquivos e pastas criptografados em um servidor remoto, este servidor deverá estar configurado como um servidor confiável para delegação.
A criptografia não pode ser aplicada em disquetes.
Quando um arquivo temporário é criado, se o arquivo original estiver criptografado, o arquivo temporário também será criado criptografado.
Um arquivo criptografado pode ser excluído por um outro usuário que possua permissões para tal tarefa. Portanto, devemos proteger os arquivos confidenciais com o recurso EFS e com as permissões NTFS.
Quando movemos um arquivo criptografado em uma mesma partição, ele retém seu status de criptografia.
Quando movemos um arquivo criptografado para uma partição que não seja NTFS, ele perde seu status de criptografia.
Quando movemos um arquivo criptografado para uma partição diferente, ele retém seu status de criptografia.
Quando copiamos um arquivo criptografado para a mesma partição ou para uma outra partição, ele retém seu status de criptografia.
Quando copiamos um arquivo não criptografado para uma pasta criptografada em uma mesma partição, o arquivo se torna criptografado.
Quando copiamos um arquivo não criptografado para uma pasta criptografada em uma outra partição, o arquivo se torna criptografado.

Quando um usuário criptografa um arquivo ou pasta pela primeira vez, o Windows 2000 gera automaticamente um certificado digital composto por duas chaves de criptografia. São estas duas chaves que nos permitem criptografar e descriptografar arquivos e pastas. Com uma chave podemos criptografar arquivos e pastas, e com a outra chave podemos descriptografar arquivos e pastas. Este processo é realizado para cada usuário que criptografa um arquivo ou pasta pela primeira vez, ou seja, cada usuário possui seu certificado digital. E é gerado também um certificado adicional para o Recovery Agent (Agente de Recuperação). Esses certificados digitais são armazenados no disco rígido do computador. Aqui está o problema. Caso ocorra um desastre com o disco rígido, poderemos perder esses certificados caso não tenhamos uma cópia de segurança destes, o que significa que o acesso aos arquivos criptografados não será mais possível. Devemos então fazer uma cópia de segurança desses certificados, preferencialmente em um disquete ou em um drive de rede. Apresentamos abaixo alguns exemplos de como efetuar a cópia de segurança de certificados digitais:

Exemplo prático – Realizar a cópia de segurança do certificado digital do Recovery Agent (Agente de Recuperação) do domínio.

Efetue logon em um Domain Controller (Controlador de Domínio) com uma conta com direitos administrativos;
Clique em Start (Iniciar), Programs (Programas), Administrative Tools (Ferramentas Administrativas) e Domain Security Policy (Diretiva de Segurança de Domínio);
Clique 2 vezes sobre Security Settings (Configurações de Segurança);
Clique 2 vezes sobre Public Key Policies (Diretivas de Chave Pública);
Clique sobre Encrypted Data Recovery Agents (Agentes de Recuperação de Dados Criptografados). Observe que do lado direito da janela será exibido o certificado do Recovery Agent (Agente de Recuperação);

Figura 1 – Domain Security Policy – Diretiva de Segurança de Domínio

Clique com o botão direito sobre o certificado digital Administrator (Administrador) e escolha a opção All Tasks (Todas as Tarefas), Export (Exportar). Será exibido o Certificate Export Wizard (Assistente de Exportação de Certificados);

Figura 2 – Certificate Export Wizard – Assistente de Exportação de Certificados

Clique em Next (Avançar);
Defina se deseja exportar ou não a chave particular do certificado. Com essa chave, podemos proteger o acesso ao certificado digital através de uma senha. Marque a opção No, do not export the private key (Não, não exportar a chave particular) e clique em Next (Avançar);

Figura 3 – Export Private Key – Importar Chave Privada

Defina o formato no qual o certificado digital será exportado. Escolha a opção DER encoded binary X.509 (.CER) (X.509 binário codificado por DER (*.cer)) e clique em Next (Avançar);

Figura 4 – Export File Format – Formato de Exportação do Certificado

Defina agora o nome do arquivo para o qual o certificado digital será importado. Digite o nome A:\Cert-Adm.cer e clique em Next (Avançar);

Figura 5 – File to Export – Arquivo para Exportação

Clique em Finish (Concluir). Será exibida uma mensagem indicando que a exportação do certificado digital foi efetuada com sucesso. Clique em OK.

Figura 6 – Exportação efetuada com sucesso

Exemplo prático – Realizar a cópia de segurança do certificado digital de um usuário.

Efetue logon com a conta de usuário da qual deseja fazer a cópia de segurança do certificado digital;
Abra o Internet Explorer;
Clique no menu Ferramentas e escolha a opção Opções de Internet;
Escolha a aba Conteúdo;
Clique em Certificados. Será exibida a seguinte janela;

Figura 7 – Certificates – Certificados

Clique sobre o certificado digital do usuário e clique em Export (Exportar). Será exibido o Certificate Export Wizard (Assistente de Exportação de Certificados);
Clique em Next (Avançar);
Defina se deseja exportar ou não a chave particular do certificado. Com essa chave, podemos proteger o acesso ao certificado digital através de uma senha. Marque a opção Yes, export the private key (Sim, exportar a chave particular) e clique em Next (Avançar);
Defina o formato no qual o certificado digital será exportado. Aceite as configurações já definidas pelo assistente e clique em Next (Avançar);

Figura 8 – Export File Format – Formato de Exportação do Certificado

Defina agora a senha de proteção do arquivo onde o certificado digital será armazenado. Digite a mesma senha 2 vezes e clique em Next (Avançar);

Figura 9 – Password – Senha

Defina agora o nome do arquivo para o qual o certificado digital será importado. Digite o nome A:\Cert-Adm01.cer e clique em Next (Avançar);
Clique em Finish (Concluir). Será exibida uma mensagem indicando que a exportação do certificado digital foi efetuada com sucesso. Clique em OK;
Clique em Close (Fechar), OK e feche o Internet Explorer;
Agora observe os ícones dos 2 certificados digitais que exportamos para o disquete. Perceba que ambos são diferentes.

Figura 10 – Ícones dos certificados digitais

Exemplo prático – Importar um certificado digital a partir de um arquivo.

Através do Windows Explorer, localize os arquivos nos quais salvamos os certificados digitais nos exemplos anteriores;
Clique com o botão direito sobre o certificado digital Cert-Adm01.cer e escolha a opção Install PFX (Instalar PFX);
Será aberto o Certificate Import Wizard (Assistente de Importação de Certificados). Clique em Next (Avançar);

Figura 11 – Certificate Import Wizard – Assistente de Importação de Certificados

Clique em Next (Avançar) novamente;
Agora digite a senha definida para o certificado, caso tenha sido configurada durante a exportação do certificado, e clique em Next (Avançar);

Figura 12 – Password – Senha

Defina agora o local para onde o certificado será importado. Selecione a opção Automatically select the certificate store based on the type of certificate (Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado). Clique em Next (Avançar);

Figura 13 – Cerificate Store – Armazenamento do Certificado

Clique em Finish (Concluir) e em OK

Quando estamos trabalhando em um domínio, podemos alterar a diretiva de segurança (GPO) do domínio para que uma conta de usuário específica possa ser configurada como Recovery Agent (Agente de Recuperação), e também excluir todas as contas de usuários configuradas como Recovery Agent (Agente de Recuperação), o que impedirá a utilização do recurso EFS.

Exemplo prático – Alterar a diretiva de segurança relacionada com o Recovery Agent (Agente de Recuperação).

Efetue logon em um Domain Controller (Controlador de Domínio) com uma conta com direitos administrativos;
Clique em Start (Iniciar), Programs (Programas), Administrative Tools (Ferramentas Administrativas) e Domain Security Policy (Diretiva de Segurança de Domínio);
Clique 2 vezes sobre Security Settings (Configurações de Segurança);
Clique 2 vezes sobre Public Key Policies (Diretivas de Chave Pública);
Clique com o botão direito sobre Encrypted Data Recovery Agents (Agentes de Recuperação de Dados Criptografados). Siga um dos procedimentos abaixo;

Para adicionar uma conta de usuário como Recovery Agent (Agente de Recuperação), escolha a opção Add (Adicionar) e siga os passos do assistente;
Para solicitar um novo certificado de recuperação de arquivo, escolha a opção New (Novo), Encrypted Recovery Agent (Agente de Recuperação Criptografado) e siga os passos do assistente;
Para excluir a diretiva de segurança do EFS e todos os Recovery Agents (Agentes de Recuperação), escolha a opção All Tasks (Todas as Tarefas), Delete Policy (Excluir Diretiva) e clique em Yes (Sim). Observe que ao excluir a diretiva de EFS, o recurso de criptografia não poderá mais ser utilizado no domínio.

Exemplo prático – Criptografar um arquivo.

Abra o Windows Explorer;
Clique com o botão direito sobre um arquivo;
Escolha Properties (Propriedades);
Clique em Advanced (Avançados);
Clique em Encrypt contents to secure data (Criptografar o conteúdo para proteger os dados);

Figura 14 – Advanced Attributes – Atributos Avançados

Clique em OK 2 vezes.

Temos ainda o comando cipher, o qual é utilizado para exibir ou alterar o status de criptografia de pastas e arquivos. Apresentamos abaixo, alguns parâmetros que podem ser utilizados com esse comando:

/e – faz a criptografia das pastas especificadas.
/d - descriptografa as pastas especificadas.
/s:dir – efetua a operação selecionada na pasta especificada.
/a – efetua a operação nos arquivos e pastas.
/i – continua a operação mesmo após a ocorrência de um erro.
/f – força a criptografia ou descriptografia de todos os objetos especificados.
/q – exibe somente informações essenciais.
/h – exibe os arquivos com o atributo sistema ou oculto.
/k – cria uma nova chave de criptografia de arquivo para o usuário.
/u – atualiza a chave de criptografia de arquivo do usuário ou a chave do agente de recuperação. Só funciona com a opção /n.
/n – evita que as chaves sejam atualizadas. Só funciona com a opção /u.

Para maiores informações sobre o EFS, visite os sites abaixo:

Conclusão

Finalizamos aqui o artigo sobre o EFS.

Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabianodesantana@terra.com.br.

E visitem nossa página www.juliobattisti.com.br/fabiano.

© Júlio Battisti, 2001 - 2010. Todos os direitos reservados.
É expressamente proibida a reprodução total ou parcial do conteúdo deste site e dos textos disponíveis, seja através de mídia eletrônica, impressa, ou qualquer outra forma de distribuição. Os infratores serão indiciados e punidos com base na lei nº 9.610 de 19/02/1998. Este tutorial só pode ser publicado no site www.juliobattisti.com.br e no site do Autor do tutorial. Nenhum outro site tem permissão para copiar e publicar este tutorial, mesmo que sejam mantidas todas as referências ao autor e ao site www.juliobattisti.com.br. Não é permitida a publicação deste tutorial em nenhum outro site.

LOJA DE LIVROS

VÍDEO-AULAS

E-BOOKS/CURSOS

CURSOS ONLINE COM CERTIFICADO

CURSOS
COMPLETOS EM CD

CD-01

CD-02

CD-03

CD-04

CD-05

CD-06

CD-07

CD-08

CD-09

CD-10

CONTATO

:: PÁGINA DO FABIANO :: MANUAIS E SIMULADOS :: ARTIGOS E TUTORIAIS

Você está aqui: Principal » Fabiano » Artigos

WINDOWS 2000

EFS – Encrypting File System – Sistema de Arquivos com Criptografia

Autor: Fabiano de Santana

Certificações: MCP – MCSA 2000/2003 – MCSE 2000

Exemplo prático – Realizar a cópia de segurança do certificado digital do Recovery Agent (Agente de Recuperação) do domínio.

Exemplo prático – Realizar a cópia de segurança do certificado digital de um usuário.

Exemplo prático – Importar um certificado digital a partir de um arquivo.

Exemplo prático – Alterar a diretiva de segurança relacionada com o Recovery Agent (Agente de Recuperação).

Exemplo prático – Criptografar um arquivo.

Conclusão

LOJA DE LIVROS

VÍDEO-AULAS

E-BOOKS/CURSOS

CURSOS ONLINE COM CERTIFICADO

CURSOS COMPLETOS EM CD

CD-01

CD-02

CD-03

CD-04

CD-05

CD-06

CD-07

CD-08

CD-09

CD-10

CONTATO

:: PÁGINA DO FABIANO :: MANUAIS E SIMULADOS :: ARTIGOS E TUTORIAIS

Você está aqui: Principal » Fabiano » Artigos

WINDOWS 2000

EFS – Encrypting File System – Sistema de Arquivos com Criptografia

Autor: Fabiano de Santana

Certificações: MCP – MCSA 2000/2003 – MCSE 2000

Exemplo prático – Realizar a cópia de segurança do certificado digital do Recovery Agent (Agente de Recuperação) do domínio.

Exemplo prático – Realizar a cópia de segurança do certificado digital de um usuário.

Exemplo prático – Importar um certificado digital a partir de um arquivo.

Exemplo prático – Alterar a diretiva de segurança relacionada com o Recovery Agent (Agente de Recuperação).

Exemplo prático – Criptografar um arquivo.

Conclusão

CURSOS
COMPLETOS EM CD