Práticas recomendadas para o Sistema de arquivos com criptografia

O Microsoft Windows inclui a capacidade de criptografar dados diretamente em volumes que usam o sistema de arquivos NTFS para que nenhum outro usuário possa usar os dados. Você pode criptografar arquivos e pastas definindo um atributo na caixa de diálogo Propriedades do objeto.

Como o processo de criptografia/descriptografia é transparente aos usuários, certifique-se de que as organizações que desejam usar a criptografia de arquivos sigam completamente as rígidas diretrizes sobre seu uso.

A seguir há uma lista de práticas padrão:

• Ensine aos usuários como exportar seus certificados e chaves particulares para uma mídia removível e armazená-la com segurança quando não estiver em uso. Para segurança máxima, a chave particular deve ser removida do computador sempre que ele não estiver em uso. Isto protege contra invasores que fisicamente têm acesso ao computador e que tentam obter a chave particular. Quando os arquivos criptografados precisam ser acessados, a chave particular pode ser facilmente importada da mídia removível.
• Criptografe a pasta Meus documentos para todos os usuários (Perfil_do_usuário\Meus documentos). Por padrão, isto garante que a pasta pessoal, na qual a maioria dos documentos está armazenada, seja criptografada.
• Ensine aos usuários a nunca criptografarem arquivos individuais, mas sim pastas. Os programas atuam nos arquivos de várias maneiras. Criptografar arquivos consistentemente no nível da pasta garante que eles não sejam descriptografados inesperadamente.
• As chaves particulares associadas com os certificados de recuperação são extremamente sensíveis. Estas chaves devem ser geradas em um computador fisicamente seguro ou seus certificados devem ser exportados para um arquivo .pfx, protegido com uma senha de alta segurança e salvo em um disco armazenado em um local fisicamente seguro.
• Os certificados do agente de recuperação devem ser atribuídos para contas de agente de recuperação especiais que não são usadas em nenhum outro propósito.
• Não destrua os certificados de recuperação ou chaves particulares quando os agentes de recuperação forem alterados. (Os agentes são alterados periodicamente). Mantenha todos, até que todos os aquivos que possam ter sido criptografados com eles sejam atualizados.
• Designe duas ou mais contas de agente de recuperação por unidade organizacional (OU), dependendo do tamanho da OU. Designe dois ou mais computadores para recuperação, um para cada conta de agente de recuperação designado. Conceda permissões a administradores apropriados para que eles possam usar as contas de agente de recuperação. Recomendamos ter duas contas de agente de recuperação para fornecer redundância à recuperação de arquivos. Ter dois computadores com estas chaves fornece mais redundância para permitir a recuperação de dados perdidos.
• Implemente um programa de arquivo morto de agente de recuperação para verificar se os arquivos criptografados podem ser recuperados com chaves de recuperação obsoletas. Os certificados de recuperação e as chaves particulares devem ser exportados e armazenados de maneira segura e controlada. O ideal para todos os dados seguros é armazenar os arquivos em uma caixa de acesso controlada e ter dois arquivos: um mestre e um backup. O mestre é mantido internamente, enquanto o backup permanece em um local externo seguro.
• Evite usar arquivos de spool de impressão na arquitetura do seu servidor de impressão, ou verifique se os arquivos de spool de impressão são gerados em uma pasta criptografada.
• O Sistema de arquivos com criptografia consome parte da sobrecarga da CPU sempre que um usuário criptografa e descriptografa um arquivo. Planeje o uso do servidor com bom senso. Equilibre a carga dos servidores quando houver muitos clientes usando o Sistema de arquivos com criptografia (EFS).

Como habilitar o compartilhamento de arquivos do Sistema de arquivos com criptografia

No Microsoft Windows XP, o EFS dá suporte ao compartilhamento de arquivos criptografados entre vários usuários. Com este suporte, você pode dar permissão a usuários individuais para que acessem um arquivo criptografado. A habilidade para acrescentar usuários adicionais é restrita a arquivos individuais. O suporte de vários usuários nas pastas não é fornecido no Microsoft Windows 2000 ou no Windows XP. Além disso, o suporte para o uso de grupos em arquivos criptografados não é fornecido pelo EFS.

Depois que um arquivo tiver sido criptografado, o compartilhamento de arquivos é habilitado por meio de um novo botão na interface do usuário. Um arquivo deve ser criptografado primeiro e salvo depois, antes que usuários adicionais possam ser adicionados. Os usuários podem ser adicionados tanto do computador local quanto do serviço de diretório do Active Directory se o usuário tiver um certificado válido para EFS. A habilidade para acrescentar usuários adicionais é restrita a arquivos individuais. O suporte para vários usuários em pastas criptografadas EFS não é fornecido. Além disso, somente usuários individuais podem ser adicionados aos arquivos. O suporte para o uso de grupos em arquivos criptografados não é fornecido pelo EFS.

Para obter informações adicionais sobre como habilitar a criptografia de EFS em pastas e arquivos, leia a seção "Como criptografar e descriptografar usando o Sistema de arquivos com criptografia".

Como criptografar um arquivo para vários usuários

Observação Este procedimento aplica-se somente ao Windows XP. Você não pode criptografar um arquivo para vários usuários no Windows 2000.

Para fazer isto, execute as seguintes etapas:

1. Inicie o Microsoft Windows Explorer e selecione o arquivo criptografado ao qual deseja acrescentar usuários adicionais.
2. Clique com o botão direito do mouse no arquivo criptografado e clique em Propriedades.
3. Clique em Avançado para acessar as configurações de EFS.
4. Clique em Detalhes para acrescentar usuários adicionais.
5. Clique em Adicionar. A caixa de diálogo Adicionar exibirá quaisquer outros certificados com capacidade de EFS que estejam em seu armazenamento pessoal ou os certificados de quaisquer outros usuários que possam estar em seus armazenamentos de certificado "Outras pessoas" e "Pessoas confiáveis".
   
   Caso você não veja o usuário que deseja adicionar, clique em Localizar usuário para pesquisar no Active Directory. A janela Selecionar usuário aparece. Uma caixa de diálogo exibe certificados EFS válidos no Active Directory com base nos critérios de busca. Se nenhum certificado válido for encontrado para aquele usuário, uma mensagem informará que não há certificados adequados para o usuário selecionado. Neste caso, os usuários interessados devem enviar uma cópia dos certificados para que você os importe. Então você pode adicioná-los ao arquivo criptografado.
6. Selecione o certificado do usuário que deseja adicionar e clique em OK. Você retornará à guia Detalhes que exibirá os vários usuários que terão acesso ao arquivo criptografado e aos certificados EFS de usuário.
7. Repita este processo para adicionar todos os usuários que deseja. Clique em OK para registrar a mudança e continue.

Observação Qualquer usuário que possa descriptografar um arquivo também pode remover outros usuários, se também tiver permissões de gravação no arquivo.

Como criptografar e descriptografar usando o Sistema de arquivos com criptografia

As etapas seguintes criptografam e descriptografam um arquivo ou pasta usando o Sistema de arquivos com criptografia.

Observação Estas diretrizes se aplicam ao Windows 2000 e Windows XP.

Criptografando uma pasta

Embora você possa criptografar os arquivos individualmente, é altamente recomendável que você designe uma pasta específica para armazenar os dados criptografados.

Criptografar uma pasta e seu conteúdo

Embora você possa criptografar arquivos individualmente, geralmente é uma boa idéia designar uma pasta específica para armazenar seus arquivos criptografados e criptografar esta pasta. Se fizer isto, todos os arquivos criados nesta pasta ou movidos para ela automaticamente obterão o atributo criptografado.

Para criptografar uma pasta e seu conteúdo atual, execute as seguintes etapas:

1. Clique com o botão direito do mouse na pasta que você deseja criptografar e clique em Propriedades.
2. Na caixa de diálogo Propriedades, clique em Avançado.
3. A caixa de diálogo Atributos avançados exibe as opções de atributo para compactação e criptografia. Esta caixa de diálogo também inclui atributos de arquivo e indexação.
   
   Observação Embora o sistema de arquivos NTFS dê suporte à compactação e à criptografia, ele não dá suporte a ambos ao mesmo tempo. Isto significa que você somente pode selecionar um ou outro. Um arquivo ou pasta não podem ser ambos criptografados e compactados ao mesmo tempo.
   
   Para criptografar a pasta, marque a caixa de seleção Criptografar conteúdo para dados seguros e clique em OK.
4. Clique em OK para fechar a caixa de diálogo Atributos avançados.
5. Se a pasta que você escolheu para criptografar nas etapas 1 a 3 já contém arquivos, uma caixa de diálogo Confirmar alterações de atributo aparecerá.
   
   Você pode escolher criptografar somente a pasta para que todos os arquivos movidos posteriormente para ela ou criados nela sejam criptografados. Se também desejar criptografar todo o conteúdo desta pasta, clique em Aplicar alterações a essa pasta, subpastas e arquivos e em OK.

Descriptografando uma pasta

Para descriptografar uma pasta, use basicamente o mesmo processo, mas na ordem inversa:

1. Clique com o botão direito do mouse na pasta que você deseja descriptografar e clique em Propriedades.
2. Clique em Avançado.
3. Desmarque a caixa de seleção Criptografar o conteúdo para proteger os dados para descriptografar os dados.
4. Clique em OK para fechar a caixa de diálogo Atributos avançados.
5. Clique em OK para fechar a caixa de diálogo Propriedades.
6. Se a pasta contém arquivos, a caixa de diálogo Confirmar alterações de atributo é exibida. É possível optar por descriptografar somente a pasta. Porém, isto não descriptografa nenhum arquivo atualmente contido na pasta.
   
   Se você desejar descriptografar todo o conteúdo desta pasta, clique em Aplicar alterações a essa pasta, subpastas e arquivos e em OK.

Informações adicionais

Como os arquivos são criptografados

Os arquivos são criptografados por meio do uso de algoritmos que essencialmente reorganizam, embaralham e codificam os dados. Um par de chaves é aleatoriamente gerado quando você criptografa seu primeiro arquivo. Este par de chaves é composto de uma chave pública e uma chave particular. O par de chaves é usado para codificar e decodificar os arquivos criptografados.

Se um par de chaves for perdido ou danificado e não existir nenhum agente de recuperação designado, os dados não serão recuperados de forma alguma.

Por que você deve fazer backup dos certificados

Como não existe uma maneira de recuperar dados criptografados com um certificado corrompido ou inexistente, é essencial fazer o backup dos certificados e armazená-los em um local seguro. Também é possível especificar um agente de recuperação. Este agente de recuperação pode restaurar os dados. O certificado do agente de recuperação serve a um propósito diferente do certificado de usuário.

Como fazer backup do certificado

Para fazer backup dos certificados, execute as seguintes etapas:

1. Inicie o Microsoft Internet Explorer.
2. No menu Ferramentas, clique em Opções da Internet.
3. Na guia Conteúdo, na seção Certificados, clique em Certificados.
4. Clique na guia Pessoal.
   
   Observação Pode haver muitos certificados presentes, caso os certificados tenham sido instalados para outro propósito.
5. Selecione um certificado por vez até que o campo Finalidades do certificado exiba Sistema de arquivos com criptografia. Este é o certificado gerado quando a primeira pasta foi criptografada.
6. Clique em Exportar para compartilhar o Assistente para exportação de certificados e clique em Avançar.
7. Clique em Sim, exportar a chave particular para exportar a chave particular e clique em Avançar.
8. Clique em Ativar proteção de alta segurança e em Avançar.
9. Digite sua senha. (Você deve ter uma senha para proteger a chave particular.)
10. Especifique o caminho no qual você deseja salvar a chave. A chave pode ser salva em um disquete, em outra localização no disco rígido ou em um CD. Se o disco rígido falhar ou for reformatado, a chave e o backup serão perdidos. (Se fizer backup da chave em um disquete ou CD, você deverá armazenar este disco ou CD em um local seguro.)
11. Especifique o destino e clique em Avançar.

Para obter informações adicionais sobre o Sistema de arquivos com criptografia (EFS), visite o seguinte site da Microsoft (em inglês):