Procedure ottimali per Crittografia file system

In Microsoft Windows è possibile crittografare i dati direttamente su volumi che utilizzano il file system NTFS in modo che nessun altro utente possa accedere ai dati. È possibile crittografare file e cartelle impostando un attributo nella finestra di dialogo Proprietà dell'oggetto.

Poiché il processo di crittografia/decrittografia è trasparente agli utenti, è importante che le organizzazioni che intendono utilizzare la crittografia promuovano attivamente linee guida rigorose sul suo utilizzo.

Di seguito è fornito un elenco delle procedure standard:

• Addestrare gli utenti a esportare i propri certificati e le chiavi private su supporti rimovibili e a conservare accuratamente tali supporti quando non sono in uso. Per garantire la massima protezione possibile, è necessario rimuovere la chiave privata dal computer quando questo non è in uso. In questo modo si evita che utenti malintenzionati possano fisicamente accedere al computer e tentare di utilizzare la chiave privata. Quando l'accesso ai file crittografati sia necessario, si potrà facilmente importare la chiave privata dal supporto rimovibile.
• Crittografare la cartella Documenti per tutti gli utenti (Profilo_utente\Documenti). In questo modo la cartella personale, in cui è archiviata la maggior parte di documenti privati, sarà crittografata per impostazione predefinita.
• Addestrare gli utenti a non crittografare mai singoli file, ma intere cartelle. I programmi utilizzano i file in vari modi. La crittografia uniforme dei file a livello di cartella consente di evitare che i file vengano inaspettatamente decrittografati.
• Le chiavi private associate ai certificati di recupero sono dati riservati e pertanto è necessario che vengano generate su un computer fisicamente protetto o che i relativi certificati vengano esportati in un file con estensione pfx protetto mediante una password complessa e salvati su un disco conservato in un luogo fisicamente sicuro.
• È necessario assegnare certificati di agente recupero dati a specifici account di agente recupero dati non utilizzati per altri scopi.
• Non eliminare i certificati di recupero o le chiavi private quando cambiano gli agenti di recupero dati (gli agenti di recupero dati vengono cambiati periodicamente). Mantenerli finché tutti i file che potrebbero essere stati crittografati con i precedenti agenti non saranno aggiornati.
• Designare due o più account di agente di recupero dati per unità organizzativa, in base alle dimensioni di quest'ultima. Designare due o più computer per il recupero, uno per ogni account di agente di recupero dati designato. Concedere agli amministratori l'autorizzazione all'utilizzo degli account di agente di recupero dati. È consigliabile utilizzare due account di agente di recupero dati per garantire la ridondanza per il recupero dei file. L'archiviazione delle chiavi in due computer garantisce maggiore ridondanza al fine del recupero dei dati perduti.
• Implementare un programma di archiviazione degli agenti di recupero dati per garantire che i file crittografati possano essere recuperati utilizzando le chiavi di recupero precedenti. I certificati di recupero dati e le chiavi private devono essere esportati e archiviati secondo modalità controllate e protette. È preferibile che, come per tutti i dati protetti, i supporti di archiviazione siano conservati in un luogo ad accesso controllato e distinti in due archivi: un archivio principale e un archivio di backup. L'archivio principale deve essere conservato sul posto, mentre l'archivio di backup deve essere conservato in un luogo esterno protetto.
• Evitare di utilizzare file di spool di stampa nell'architettura del server di stampa o assicurarsi che i file di spool di stampa vengano generati in una cartella crittografata.
• Poiché Crittografia file system (EFS, Encrypting File System) produce un certo sovraccarico della CPU a ogni operazione di crittografia e decrittografia di un file da parte dell'utente, è necessario pianificare l'utilizzo del server in modo appropriato, bilanciando il carico dei server quando molti client utilizzano EFS.

Abilitazione della condivisione di file in Crittografia file system

In Windows XP EFS supporta la condivisione dei file crittografati tra più utenti. In questo modo è possibile consentire a singoli utenti l'accesso a un file crittografato. La possibilità di aggiungere ulteriori utenti è tuttavia limitata ai singoli file. Poiché in Microsoft Windows 2000 e in Windows XP non è previsto il supporto multiutente per le cartelle, non è disponibile nemmeno il supporto EFS per l'utilizzo dei gruppi con i file crittografati.

Una volta che un file è stato crittografato, nell'interfaccia utente sarà disponibile un nuovo pulsante per abilitare la condivisione del file. Prima che possano essere aggiunti ulteriori utenti, un file deve essere crittografato e quindi salvato. È possibile aggiungere gli utenti dal computer locale o dal servizio directory di Active Directory, se l'utente dispone di un certificato per EFS valido. La possibilità di aggiungere ulteriori utenti è tuttavia limitata ai singoli file. Il supporto multiutente sulle cartelle crittografate con EFS non è disponibile. Inoltre è possibile aggiungere ai file solo singoli utenti. Non è disponibile un supporto EFS per l'utilizzo dei gruppi con i file crittografati.

Per informazioni su come abilitare la crittografia EFS su cartelle e file, vedere la sezione "Crittografia e decrittografia mediante Crittografia file system (EFS)" di questo articolo.

Crittografia di un file per più utenti

Nota Questa procedura è relativa solo a Windows XP. In Windows 2000 non è possibile crittografare un file per più utenti.

Per effettuare questa operazione, attenersi alla seguente procedura:

1. Avviare Esplora risorse e selezionare il file crittografato cui si desidera aggiungere ulteriori utenti.
2. Fare clic con il pulsante destro del mouse sul file crittografato, quindi scegliere Proprietà.
3. Scegliere Avanzate per accedere alle impostazioni EFS.
4. Scegliere Dettagli per aggiungere ulteriori utenti.
5. Scegliere Aggiungi. Nella finestra di dialogo Aggiungi verranno visualizzati tutti gli altri certificati EFS presenti nell'archivio personale o quelli degli eventuali altri utenti presenti negli archivi dei certificati relativi ad altri utenti e a utenti attendibili.
   
   Se l'utente che si desidera aggiungere non è visualizzato, scegliere Trova utente per effettuare la ricerca in Active Directory. Verrà visualizzata la finestra Seleziona utente. In un'apposita finestra di dialogo verranno visualizzati i certificati EFS validi presenti in Active Directory corrispondenti ai criteri di ricerca specificati. Se non viene trovato alcun certificato valido per l'utente desiderato, verrà visualizzato un messaggio che informa che non esistono certificati appropriati per l'utente selezionato. In questo caso gli utenti interessati devono inviare una copia del loro certificato perché possa essere importato nel computer locale. A quel punto, sarà quindi possibile aggiungerli al file crittografato.
6. Selezionare il certificato dell'utente che si intende aggiungere e scegliere OK. Si passerà nuovamente alla scheda Dettagli in cui saranno visualizzati tutti gli utenti che avranno accesso al file crittografato e i relativi certificati EFS.
7. Ripetere questo processo finché tutti gli utenti desiderati non siano stati aggiunti. Scegliere OK per registrare le modifiche e continuare.

Nota Ogni utente in grado di decrittografare un file può anche rimuovere altri utenti se dispone delle autorizzazioni di scrittura sul file.

Crittografia e decrittografia mediante Crittografia file system

Con la procedura descritta di seguito è possibile crittografare e decrittografare un file o una cartella mediante Crittografia file system.

Nota Queste indicazioni si applicano a Windows 2000 e a Windows XP.

Crittografia di una cartella

Per quanto sia possibile crittografare singoli file, Microsoft consiglia di designare una cartella specifica per l'archiviazione dei dati crittografati.

Crittografia di una cartella e del relativo contenuto

Per quanto sia possibile crittografare singoli file, è preferibile designare una cartella specifica per l'archiviazione dei file crittografati e quindi crittografare tale cartella. In questo modo, tutti i file in essa creati o spostati otterranno automaticamente l'attributo di crittografia.

Per crittografare una cartella e il relativo contenuto, attenersi alla seguente procedura:

1. Fare clic con il pulsante destro del mouse sulla cartella da crittografare, quindi scegliere Proprietà.
2. Nella finestra di dialogo Proprietà scegliere Avanzate.
3. Verrà visualizzata la finestra di dialogo Attributi avanzati in cui sono presenti opzioni di attributo per la compressione e la crittografia, oltre a opzioni di attributo di archiviazione e di indicizzazione.
   
   Nota Per quanto nel file system NTFS la compressione e la crittografia siano entrambe supportate, tuttavia non sono supportate simultaneamente ed è pertanto possibile selezionare solo l'una o l'altra. Un file o una cartella non possono essere quindi contemporaneamente crittografati e compressi.
   
   Per crittografare la cartella, selezionare la casella di controllo Crittografa contenuto per la protezione dei dati, quindi scegliere OK.
4. Scegliere OK per chiudere la finestra di dialogo Attributi avanzati.
5. Se la cartella selezionata per la crittografia nei passaggi dall'1 al 3 contiene file, verrà visualizzata la finestra di dialogo Conferma cambiamenti attributi.
   
   È possibile scegliere di crittografare solo la cartella in modo che tutti i file successivamente spostati o creati in essa vengano automaticamente crittografati. Se si desidera crittografare tutto il contenuto di questa cartella, fare clic su Applica cambiamenti a <cartella corrente>, a tutte le sottocartelle e a tutti i file, quindi scegliere OK.

Decrittografia di una cartella

Per decrittografare una cartella, utilizzare sostanzialmente lo stesso processo, ma in ordine inverso:

1. Fare clic con il pulsante destro del mouse sulla cartella da decrittografare, quindi scegliere Proprietà.
2. Fare clic su Avanzate.
3. Deselezionare la casella di controllo Crittografa contenuto per la protezione dei dati per decrittografare i dati.
4. Scegliere OK per chiudere la finestra di dialogo Attributi avanzati.
5. Scegliere OK per chiudere la finestra di dialogo Proprietà.
6. Se nella cartella sono presenti file, verrà visualizzata la finestra di dialogo Conferma cambiamenti attributi. È possibile scegliere di decrittografare la sola cartella. In questo caso, però, non verranno decrittografati i file contenuti in essa.
   
   Se si desidera decrittografare tutto il contenuto di questa cartella, fare clic su Applica cambiamenti a <cartella corrente>, a tutte le sottocartelle e a tutti i file, quindi scegliere OK.

Ulteriori informazioni

Modalità di crittografia dei file

I file vengono crittografati mediante l'utilizzo di algoritmi che sostanzialmente riorganizzano, riordinano e codificano i dati. Quando si esegue per la prima volta la crittografia di un file, viene generata casualmente una coppia di chiavi. Questa coppia di chiavi è composta da una chiave privata e una chiave pubblica ed è utilizzata per codificare e decodificare i file crittografati.

Se la coppia di chiavi viene perduta o danneggiata e non si è designato un agente di recupero dati, non vi sarà alcun modo per recuperare i dati.

Importanza del backup dei certificati

Poiché non vi è alcun modo per recuperare dati che siano stati crittografati con un certificato danneggiato o perso, è essenziale creare un backup dei certificati e conservarlo in un luogo protetto. È inoltre possibile specificare un agente di recupero che possa ripristinare i dati. Le funzioni di un certificato di agente di recupero dati sono specifiche e diverse da quelle del certificato dell'utente.

Backup del certificato

Per eseguire il backup dei certificati, attenersi alla seguente procedura:

1. Avviare Microsoft Internet Explorer.
2. Scegliere Opzioni Internet dal menu Strumenti.
3. Nella scheda Contenuto fare clic su Certificati nella sezione Certificati.
4. Fare clic sulla scheda Personale.
   
   Nota Potrebbero essere presenti vari certificati, qualora siano stati installati certificati per altri fini.
5. Selezionare un certificato alla volta finché nel campo Scopi richiesti certificato verrà visualizzato Crittografia file system. Questo è il certificato che è stato generato quando si è crittografata la prima cartella.
6. Fare clic su Esporta per avviare l'Esportazione guidata certificati, quindi scegliere Avanti.
7. Fare clic su Esporta la chiave privata per effettuare l'esportazione della chiave privata, quindi scegliere Avanti.
8. Fare clic su Abilita protezione avanzata, quindi scegliere Avanti.
9. Digitare la password, necessaria per proteggere la chiave privata.
10. Specificare il percorso in cui si desidera salvare la chiave. È possibile salvare la chiave su un disco floppy, in un percorso del disco rigido o su un CD. Se il disco rigido non funziona o viene riformattato, la chiave e il backup andranno perduti. Se si esegue il backup della chiave su un disco floppy o un CD, conservare il supporto in un luogo protetto.
11. Specificare la destinazione, quindi scegliere Avanti.

Per ulteriori informazioni su Crittografia file system (EFS), visitare i seguenti siti Web Microsoft (informazioni in lingua inglese):