• Fale com o Autor
• Indicar Este Site
• Newsletter
• Pesquisa no Site

• Loja de Livros
• Cursos Completos em CD
• Livros do Autor
• Cursos
• Artigos e Tutoriais

 

LOJA DE LIVROS

• Ebooks de Programa...
• Administração e Ne...
• Aplicativos
• AutoCAD
• Banco de Dados
• Carreira e Trabalh...
• Criação de Sites e...
• Cultura e Interess...
• Engenharia Arquite...
• Exames de Certific...
• Excel
• Finanças e Investi...
• Gráficos e CorelDr...
• Hardware e Montage...
• Office 2007
• Programação
• Redes
• Segurança
• Windows e Linux
• Word

VÍDEO-AULAS

• Access
• Excel
• Word
• PowerPoint
• Windows
• Redes e TCP/IP
• Programação
• Concursos Públicos
• Banco de Dados
• Webdesign
• Internet
• CAD
• Vídeo e Áudio
• Programas Gráficos
• Administração e Ne...
• Hardware e Montage...

E-BOOKS/CURSOS

• Access
• Excel
• Word
• PowerPoint
• Windows
• Redes e TCP/IP
• Programação
• Certificações Micr...
• Concursos Públicos
• Banco de Dados
• Webdesign
• Internet
• BrOffice
• Linux
• CAD
• Vìdeo
• Formação Pessoal e...
• Área Gráfica
• Literatura e Outro...
• Administração e Ne...
• Livros de Office 2...

CURSOS ONLINE COM CERTIFICADO

BANCO DE DADOS

• Access Avançado, Macros e VBA
• Access 2007 Avançado, Macros e VBA
• Consultas no Access

CARREIRA

• Como Liderar, Influenciar e Motivar Pessoas
• Oratória
• Profissionalizante de Informática
• Raciocínio Lógico
• SEO
• Informática para Concursos
• Gestão de Redes Sociais

CRIAÇÃO WEB

• Actionscript 3 Avançado
• Artisteer
• Como criar video-aulas
• Como criar um site completo 2
• Como criar um site completo 3
• CSS
• Criação de Sites em 400 Lições
• Criação de Sites dinâmicos sem programação
• Dreamweaver Avançado
• Joomla
• Lógica de Programação
• Loja Virtual com Magento
• Magento - volume 2
• Moodle
• Opencart
• PagSeguro
• Prestashop
• Profissionalizante de Flash
• Programação para Web
• Temas para Wordpress
• Virtuemart
• Word 2010
• Word para TCC
• Wordpress
• Wordpress - Volume 1
• Wordpress - E-commerce
• Web Analytics

EXCEL/PROJETOS

• Excel 2007 Avançado
• Excel 2010
• Programação VBA no Excel
• Macros e Programação VBA no Excel 2007

FORMAÇÃO

• Adobe Vídeo
• Design Gráfico
• Dreamweaver
• Design e Criação de Sites
• Hardware e Redes
• Flash
• Master Collection CS5
• Web Design
• Wordpress

MANUTENÇÃO

• Hardware: Montagem e Manutenção
• Segurança de Computadores e Internet
• Configuração de Setup de Computadores
• Manutenção Preventiva e Backup
• Monte Computadores Sem Saber Hardware
• Hardware Avançado
• ITIL V3

PROGRAMAS GRÁFICOS

• After Effects CS5
• Encore DVD CS5
• Corel Draw X4
• Fireworks CS4
• Fireworks CS5
• Flash CS4
• Flash CS5
• Flash Catalyst CS5
• Illustrator CS5
• Photoshop
• Photoshop CS4
• Photoshop CS5 - Completo
• Power Point 2010
• Premiere CS5
• Vegas 9

REDES E SERVIDORES

• Configuração de Roteadores e Switches - Básico
• IPv6 - Teoria e Prática
• Profissionalizante de Redes
• SQL Server 2005
• Redes
• Cabeamento Estruturado
• Técnico de Redes WAN
• Profissional de Redes Wireless
• Windows Server 2003
• Linux para Iniciantes
• Básico de Redes
• Cobit Foundations

SAP

• Profissionalizante de SAP e Logística
• SAP Básico e Módulos Funcionais
• SAP Business One

• 

CURSOS
COMPLETOS EM CD

• CD-01

• 

• CD-02

• 

• CD-03

• 

• CD-04

• 

• CD-05

• 

• CD-06

• 

• CD-07

• 

• CD-08

• 

• CD-09

• 

• CD-10

• 

CONTATO

• Indique este site
• Enviar a um amigo
• Contato por e-mail
• (0xx51) 9627-3434

:: PÁGINA DO FABIANO :: MANUAIS E SIMULADOS :: ARTIGOS E TUTORIAIS

 

Você está aqui: Principal » Fabiano » Artigos

 

Windows Server 2003

EFS - Encrypting File System

 

Autor: Fabiano de Santana

Certificações: MVP – MCSA 2000/2003 Security – MCSE 2000/2003 Security – ITIL Foundation
Data de criação: 29/09/2008

 

Este artigo aplica-se aos seguintes produtos e tecnologias:

• Windows Server 2003.

Resumo

 

Neste artigo veremos com implementar e utilizar o recurso EFS. Com esse recurso podemos criptografar pastas e arquivos confidenciais. É um recurso bastante utilizado hoje em dia, principalmente em laptops, pois com ele reforçamos a segurança em arquivos e pastas.

 

Introdução

 

Ao utilizarmos o sistema de arquivos NTFS, contamos com um recurso voltado a segurança: EFS – Encrypting File System (Sistema de Arquivos com Criptografia). Com esse recurso podemos criptografar pastas e arquivos confidenciais. É um recurso bastante utilizado hoje em dia, principalmente em laptops, pois com ele reforçamos a segurança em arquivos e pastas.

 

O recurso EFS foi introduzido no Windows 2000, e está disponível também no Windows Server 2003 e Windows XP Professional.

 

Um detalhe importante é que esse recurso só pode ser utilizado em sistemas de arquivos NTFS. Em outros tipos de sistemas de arquivos, esse recurso não está disponível.

 

A criptografia nada mais é do que a conversão de um conjunto de dados para um formato no qual não possa ser lido por um outro usuário. Ou seja, somente quem criptografa um arquivo pode acessá-lo. O Recovery Agent (Agente de Recuperação) também pode acessar um arquivo criptografado. A descriptografia consiste em converter um conjunto de dados criptografados para o seu formato original, tornando possível a sua leitura. Quando criptografamos um arquivo, ele permanecerá armazenado em disco com o atributo de criptografia.

 

Como já dito anteriormente, com o recurso EFS reforçamos a segurança em arquivos e pastas. Caso utilizemos somente as permissões NTFS para garantir a segurança de nossas informações, nos depararemos com os seguintes problemas:

• A conta de usuário Administrator (Administrador) pode utilizar o recurso Take Ownership (Apropriar-se), ou seja, tornar-se dono do arquivo e atribuir as permissões que desejar nesse arquivo.

• Outros usuários podem acessar esses arquivos com programas de terceiros, existentes no mercado. Para isso utilizam um disco de boot ou instalam um outro sistema operacional no computador.

Utilizando a criptografia, resolvemos ambos os problemas citados acima, pois somente quem criptografou os arquivos e o Recovery Agent (Agente de Recuperação) poderá ter acesso a esses arquivos.

 

O recurso EFS nos permite configurar uma conta com a função de Recovery Agent (Agente de Recuperação). Com esta conta, podemos acessar arquivos criptografados por outros usuários. Em computadores Member Servers (Servidores Membros), por padrão, a conta de usuário Administrator (Administrador) é configurada como Recovery Agent (Agente de Recuperação). Já em Domain Controllers (Controladores de Domínio), por padrão, a conta de usuário Domain Administrator (Administrador do Domínio) é configurada como Recovery Agent (Agente de Recuperação). O Recovery Agent (Agente de Recuperação) é útil quando excluímos a conta de um usuário que possui arquivos criptografados. Após a exclusão dessa conta de usuário, somente o Recovery Agent (Agente de Recuperação) poderá acessar esses arquivos.

 

O acesso aos arquivos e pastas criptografados é transparente, ou seja, é idêntico ao acesso a arquivos e pastas não criptografados. Quando acessamos um arquivo criptografado, ele é descriptografado automaticamente. E quando fechamos o arquivo, ele é criptografado novamente.

 

Ao tentarmos acessar um arquivo criptografado do qual não sejamos dono, receberemos uma mensagem de acesso negado, e não poderemos visualizar o conteúdo desse arquivo.

 

Algumas considerações sobre o EFS:

• Arquivos de sistema não podem ser criptografados.

• Arquivos e pastas não podem ser criptografados e compactados ao mesmo tempo.

• O EFS não retém a criptografia nas pastas e arquivos enquanto estes estão sendo enviados pela rede. Caso precise que os arquivos e pastas sejam mantidos criptografados enquanto são enviados pela rede, utilize o IPSEC.

• Para armazenar arquivos e pastas criptografados em um servidor remoto, este servidor deverá estar configurado como um servidor confiável para delegação.

• A criptografia não pode ser aplicada em disquetes.

• Quando um arquivo temporário é criado, se o arquivo original estiver criptografado, o arquivo temporário também será criado criptografado.

• Um arquivo criptografado pode ser excluído por um outro usuário que possua permissões para tal tarefa. Portanto, devemos proteger os arquivos confidenciais com o recurso EFS e com as permissões NTFS.

• Quando movemos um arquivo criptografado em uma mesma partição, ele retém seu status de criptografia.

• Quando movemos um arquivo criptografado para uma partição que não seja NTFS, ele perde seu status de criptografia.

• Quando movemos um arquivo criptografado para uma partição diferente, ele retém seu status de criptografia.

• Quando copiamos um arquivo criptografado para a mesma partição ou para uma outra partição, ele retém seu status de criptografia.

• Quando copiamos um arquivo não criptografado para uma pasta criptografada em uma mesma partição, o arquivo se torna criptografado.

• Quando copiamos um arquivo não criptografado para uma pasta criptografada em uma outra partição, o arquivo se torna criptografado.

Quando um usuário criptografa um arquivo ou pasta pela primeira vez, o Windows gera automaticamente um certificado digital composto por duas chaves de criptografia. São estas duas chaves que nos permitem criptografar e descriptografar arquivos e pastas. Com uma chave podemos criptografar arquivos e pastas, e com a outra chave podemos descriptografar arquivos e pastas. Este processo é realizado para cada usuário que criptografa um arquivo ou pasta pela primeira vez, ou seja, cada usuário possui seu certificado digital. E é gerado também um certificado adicional para o Recovery Agent (Agente de Recuperação). Esses certificados digitais são armazenados no disco rígido do computador. Aqui está o problema. Caso ocorra um desastre com o disco rígido, poderemos perder esses certificados caso não tenhamos uma cópia de segurança destes, o que significa que o acesso aos arquivos criptografados não será mais possível. Devemos então fazer uma cópia de segurança desses certificados, preferencialmente em um disquete ou em um drive de rede. Apresentamos abaixo alguns exemplos de como efetuar a cópia de segurança de certificados digitais:

 

Realizar a cópia de segurança do certificado digital do Recovery Agent (Agente de Recuperação) do domínio.

• Efetue logon em um Domain Controller (Controlador de Domínio) com uma conta com direitos administrativos;

• Clique em Start (Iniciar), Programs (Programas), Administrative Tools (Ferramentas Administrativas) e Domain Security Policy (Diretiva de Segurança de Domínio);

• Clique 2 vezes sobre Security Settings (Configurações de Segurança);

• Clique 2 vezes sobre Public Key Policies (Diretivas de Chave Pública);

• Clique sobre Encryptyng File System. Observe que do lado direito da janela será exibido o certificado do Recovery Agent (Agente de Recuperação);

Figura 1 – Domain Security Policy – Diretiva de Segurança de Domínio

• Clique com o botão direito sobre o certificado digital Administrator (Administrador) e escolha a opção All Tasks (Todas as Tarefas), Export (Exportar). Será exibido o Certificate Export Wizard (Assistente de Exportação de Certificados);

Figura 2 – Certificate Export Wizard – Assistente de Exportação de Certificados

• Clique em Next (Avançar);

• Defina se deseja exportar ou não a chave particular do certificado. Com essa chave, podemos proteger o acesso ao certificado digital através de uma senha. Marque a opção No, do not export the private key (Não, não exportar a chave particular) e clique em Next (Avançar);

Figura 3 – Export Private Key – Importar Chave Privada

• Defina o formato no qual o certificado digital será exportado. Escolha a opção DER encoded binary X.509 (.CER) e clique em Next (Avançar);

Figura 4 – Export File Format – Formato de Exportação do Certificado

• Defina agora o nome do arquivo para o qual o certificado digital será importado. Digite o nome A:\Cert-Adm.cer e clique em Next (Avançar);

Figura 5 – File to Export – Arquivo para Exportação

• Clique em Finish (Concluir). Será exibida uma mensagem indicando que a exportação do certificado digital foi efetuada com sucesso. Clique em OK.

Figura 6 – Exportação efetuada com sucesso

 

Realizar a cópia de segurança do certificado digital de um usuário.

• Efetue logon com a conta de usuário da qual deseja fazer a cópia de segurança do certificado digital;

• Abra o Internet Explorer;

• Clique no menu Tools (Ferramentas) e escolha a opção (Internet Options) Opções de Internet;

• Escolha a aba Content (Conteúdo);

• Clique em Certificates (Certificados). Será exibida a seguinte janela;

Figura 7 – Certificates – Certificados

• Clique sobre o certificado digital do usuário e clique em Export (Exportar). Será exibido o Certificate Export Wizard (Assistente de Exportação de Certificados);

• Clique em Next (Avançar);

• Defina se deseja exportar ou não a chave particular do certificado. Com essa chave, podemos proteger o acesso ao certificado digital através de uma senha. Marque a opção Yes, export the private key (Sim, exportar a chave particular) e clique em Next (Avançar);

• Defina o formato no qual o certificado digital será exportado. Aceite as configurações já definidas pelo assistente e clique em Next (Avançar);

Figura 8 – Export File Format – Formato de Exportação do Certificado

• Defina agora a senha de proteção do arquivo onde o certificado digital será armazenado. Digite a mesma senha 2 vezes e clique em Next (Avançar);

Figura 9 – Password – Senha

• Defina agora o nome do arquivo para o qual o certificado digital será importado. Digite o nome A:\Cert-Adm01.cer e clique em Next (Avançar);

• Clique em Finish (Concluir). Será exibida uma mensagem indicando que a exportação do certificado digital foi efetuada com sucesso. Clique em OK;

• Clique em Close (Fechar), OK e feche o Internet Explorer;

• Agora observe os ícones dos 2 certificados digitais que exportamos para o disquete. Perceba que ambos são diferentes.

Figura 10 – Ícones dos certificados digitais

 

Importar um certificado digital a partir de um arquivo.

• Através do Windows Explorer, localize os arquivos nos quais salvamos os certificados digitais nos exemplos anteriores;

• Clique com o botão direito sobre o certificado digital Cert-Adm01.cer e escolha a opção Install PFX (Instalar PFX);

• Será aberto o Certificate Import Wizard (Assistente de Importação de Certificados). Clique em Next (Avançar);

Figura 11 – Certificate Import Wizard – Assistente de Importação de Certificados

• Clique em Next (Avançar) novamente;

• Agora digite a senha definida para o certificado, caso tenha sido configurada durante a exportação do certificado, e clique em Next (Avançar);

Figura 12 – Password – Senha

• Defina agora o local para onde o certificado será importado. Selecione a opção Automatically select the certificate store based on the type of certificate (Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado). Clique em Next (Avançar);

Figura 13 – Cerificate Store – Armazenamento do Certificado

• Clique em Finish (Concluir) e em OK

Quando estamos trabalhando em um domínio, podemos alterar a diretiva de segurança (GPO) do domínio para que uma conta de usuário específica possa ser configurada como Recovery Agent (Agente de Recuperação), e também excluir todas as contas de usuários configuradas como Recovery Agent (Agente de Recuperação), o que impedirá a utilização do recurso EFS.

 

Alterar a diretiva de segurança relacionada com o Recovery Agent (Agente de Recuperação).

• Efetue logon em um Domain Controller (Controlador de Domínio) com uma conta com direitos administrativos;

• Clique em Start (Iniciar), Programs (Programas), Administrative Tools (Ferramentas Administrativas) e Domain Security Policy (Diretiva de Segurança de Domínio);

• Clique 2 vezes sobre Security Settings (Configurações de Segurança);

• Clique 2 vezes sobre Public Key Policies (Diretivas de Chave Pública);

• Clique com o botão direito sobre Encryptyng File System. Siga um dos procedimentos abaixo;

• Para adicionar uma conta de usuário como Recovery Agent (Agente de Recuperação), escolha a opção Add Data Recovery Agent (Adicionar Agente de Recuperação) e siga os passos do assistente;

• Para excluir a diretiva de segurança do EFS e todos os Recovery Agents (Agentes de Recuperação), escolha a opção All Tasks (Todas as Tarefas), Delete Policy (Excluir Diretiva) e clique em Yes (Sim). Observe que ao excluir a diretiva de EFS, o recurso de criptografia não poderá mais ser utilizado no domínio.

Criptografar um arquivo.

• Abra o Windows Explorer;

• Clique com o botão direito sobre um arquivo;

• Escolha Properties (Propriedades);

• Clique em Advanced (Avançados);

• Clique em Encrypt contents to secure data (Criptografar o conteúdo para proteger os dados);

Figura 14 – Advanced Attributes – Atributos Avançados

• Clique em OK 2 vezes.

Temos ainda o comando cipher, o qual é utilizado para exibir ou alterar o status de criptografia de pastas e arquivos. Apresentamos abaixo, alguns parâmetros que podem ser utilizados com esse comando:

• /e – faz a criptografia das pastas especificadas.

• /d - descriptografa as pastas especificadas.

• /s:dir – efetua a operação selecionada na pasta especificada.

• /a – efetua a operação nos arquivos e pastas.

• /i – continua a operação mesmo após a ocorrência de um erro.

• /f – força a criptografia ou descriptografia de todos os objetos especificados.

• /q – exibe somente informações essenciais.

• /h – exibe os arquivos com o atributo sistema ou oculto.

• /k – cria uma nova chave de criptografia de arquivo para o usuário.

• /u – atualiza a chave de criptografia de arquivo do usuário ou a chave do agente de recuperação. Só funciona com a opção /n.

• /n – evita que as chaves sejam atualizadas. Só funciona com a opção /u.

Links relacionados

• http://www.technetbrasil.com.br

• http://support.microsoft.com/default.aspx?scid=kb;pt-br;241201.

• http://technet2.microsoft.com/WindowsServer/f/?en/library/17728f1e-cbdb-4b10-ab9d-a89e558562a31033.mspx.

• http://technet2.microsoft.com/WindowsServer/f/?en/library/997fdd99-73ec-4041-9cf4-1370739a59201033.mspx.

• http://technet2.microsoft.com/WindowsServer/f/?en/library/102ee636-ca4b-4754-baf4-0eea64189c7f1033.mspx.

• http://technet2.microsoft.com/WindowsServer/f/?en/library/288af14d-66e3-4cee-bc3d-38795b046c251033.mspx.

• http://technet2.microsoft.com/WindowsServer/f/?en/library/04122595-5d30-4b19-945a-b6e4bb33bd6f1033.mspx.

Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível:

• http://forums.microsoft.com/technet-br/default.aspx?siteid=29

Conclusão

 

É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicado neste site, entre com contato através de e-mail: fabianodesantana@terra.com.br.

_____________________________________________________________________________
Fabiano de Santana, bacharelado em Análise de Sistemas e Pós Graduado em Segurança da Informação, trabalha com TI a mais de oito anos. Realizou vários projetos, entre eles implementação do WSUS, migração de correio eletrônico, implementação do ISA Server 2004 e 2006, implementação de Lotus Notes, implementação de políticas de segurança, implementação do Active Directory, entre outros. Possui as certificações MCP, MCSA / MCSE 2000 Security, MCSA 2003 Security, MCSE 2003, Itil Foundation e IBM Certified System Administrator – Lotus Notes and Domino 7. Em 2008 foi nomeado MVP na categoria Windows Server Management Infrastructure.

Autor de e-books e artigos em parceria com o Julio Battisti há mais de quatro anos, moderador do Fórum de Windows e Certificações do site www.juliobattisti.com.br. Autor de artigos para o Technet Brasil e iMasters. Atua também como professor e autor de cursos para o site iPED.

Visite o site do autor: www.juliobattisti.com.br/fabiano

© Júlio Battisti, 2001 - 2010. Todos os direitos reservados.
É expressamente proibida a reprodução total ou parcial do conteúdo deste site e dos textos disponíveis, seja através de mídia eletrônica, impressa, ou qualquer outra forma de distribuição. Os infratores serão indiciados e punidos com base na lei nº 9.610 de 19/02/1998. Este tutorial só pode ser publicado no site www.juliobattisti.com.br e no site do Autor do tutorial. Nenhum outro site tem permissão para copiar e publicar este tutorial, mesmo que sejam mantidas todas as referências ao autor e ao site www.juliobattisti.com.br. Não é permitida a publicação deste tutorial em nenhum outro site.