Protegendo dados usando o EFS para criptografar discos rígidos

Publicado em: 10 de Maio de 2004 | Atualizado em: 10 de Maio de 2004

Nesta página

	Introdução
	Antes de começar
	Gerando uma chave de recuperação e fazendo seu backup
	Criando um agente de recuperação baseado em domínio
	Criando um agente de recuperação local
	Usando o EFS
	Habilitando as opções Criptografar/Descriptografar no menu do Windows Explorer
	Habilitando o compartilhamento de arquivos EFS
	Exportando e importando chaves de recuperação de dados
	Recuperando dados
	Recomendações
	Informações relacionadas

Introdução

Em muitas empresas, os usuários compartilham computadores desktop. Alguns usuários viajam com computadores portáteis, usados sem a proteção física das empresas, em instalações de clientes, aeroportos, hotéis e em casa. Isso significa que dados valiosos geralmente ficam fora do controle das empresas. Um usuário não autorizado pode tentar ler os dados armazenados em um computador desktop. Um computador portátil pode ser roubado. Em todas essas situações, pessoas mal-intencionadas podem ter acesso a dados confidenciais da empresa.

Uma solução que ajuda a reduzir a possibilidade de roubo de dados é criptografar arquivos confidenciais usando o EFS (Sistema de Arquivos com Criptografia) para aumentar a segurança de seus dados. Criptografia é a aplicação de um algoritmo matemático que torna os dados ilegíveis aos usuários que não possuem a chave exigida. O EFS é uma tecnologia da Microsoft que lhe permite criptografar dados em seu computador e controlar quem poderá descriptografar ou recuperar os dados. Quando os arquivos são criptografados, os dados do usuário não podem ser lidos, mesmo que o invasor tenha acesso físico ao armazenamento de dados do computador. Para usar o EFS, todos os usuários devem ter certificados desse sistema, que são documentos digitais que permitem a seus possuidores criptografar e descriptografar os dados por meio do EFS. Os usuários do EFS também devem ter direitos de acesso ao NTFS para modificar os arquivos.

Dois tipos de certificados desempenham um papel no EFS:

•

Certificados do sistema de arquivos com criptografia. Este tipo de certificado permite que seu possuidor use o EFS para criptografar e descriptografar dados. Ele costuma ser denominado simplesmente de certificado EFS. Os usuários comuns do EFS recebem esse tipo de certificado. O campo Uso avançado de chave para esse tipo de certificado (visível no Snap-in de certificados do console de gerenciamento Microsoft) tem o valor Sistema de arquivos com criptografia (1.3.6.1.4.1.311.10.3.4).

•

Certificados de recuperação de arquivos. Este tipo de certificado permite que o proprietário recupere arquivos e pastas criptografados em todo um domínio ou em outro escopo, independentemente de quem os tenha criptografado. Apenas administradores de domínio ou pessoas designadas e confiáveis, denominados de agentes de recuperação de dados devem recebê-los. O campo Uso avançado de chave para esse tipo de certificado (visível no Snap-in de certificados do console de gerenciamento Microsoft) tem o valor Recuperação de arquivos (1.3.6.1.4.1.311.10.3.4.1). Esses certificados costumam ser denominados de certificados EFS DRA.

Para habilitar outra pessoa autorizada para ler seus dados criptografados, você pode dar a elas sua chave particular ou torná-las agentes de recuperação de dados. Um agente de recuperação de dados pode descriptografar todos os arquivos criptografados com o EFS no domínio ou na unidade organizacional de seu escopo. Este documento apresenta instruções passo a passo para as principais tarefas relativas ao EFS em uma empresa de pequeno ou médio porte, além de listar várias recomendações importantes para o uso do EFS.

Os procedimentos apresentados neste documento irão orientá-lo nas seguintes tarefas:

•	Criar e proteger uma chave de recuperação para garantir que os dados criptografados possam ser recuperados com segurança, quando o usuário original não puder fazê-lo.
•	Criar agentes de recuperação que poderão recuperar arquivos criptografados, quando o usuário original não puder fazê-lo.
•	Instalar o EFS em sua empresa.
•	Configurar o Windows Explorer para usar o EFS da maneira mais prática.
•	Configurar o compartilhamento de arquivos para funcionar com o EFS.
•	Exportar e importar chaves de recuperação de dados para habilitar a recuperação de arquivos e pastas criptografados com segurança.
•	Recuperar dados quando o usuário original não puder fazê-lo.

Seguindo os procedimentos apresentados neste documento, você fará as seguintes alterações no âmbito do sistema:

•	Criar uma chave para recuperação de dados de backup.
•	Criar um agente de recuperação.
•	Habilitar o EFS de modo que ele criptografe dados no disco rígido de um computador.
•	Configurar o Windows Explorer para incluir opções do EFS.

Esses procedimentos também o habilitam a implementar as seguintes alterações ou precauções:

•	Oferecer acesso compartilhado a dados criptografados selecionados.
•	Gerenciar chaves de recuperação de dados para serem usadas na recuperação de dados criptografados.
•	Recuperar dados criptografados quando for necessário.

Início da página

Antes de começar

Os procedimentos apresentados neste documento irão ajudá-lo a configurar seus computadores para usar o EFS, além de ilustrar como usar o EFS para proteger dados nos discos rígidos dos computadores de sua empresa. Antes de começar estes procedimentos, é preciso buscar a orientação de seu departamento jurídico para verificar se suas diretivas e seus procedimentos planejados de criptografia estão de acordo com as leis e regulamentações pertinentes. Especificamente, se sua empresa possuir escritórios fora dos Estados Unidos, você precisará estar familiarizado com as leis de controle de exportação relativas a softwares de criptografia. Também é preciso estar familiarizado com alguns requisitos e condições básicas para o uso do EFS:

•

Arquivos e pastas só podem ser criptografados em volumes do sistema de arquivos NTFS. Portanto, não é possível usar o EFS para proteger dados em discos rígidos que utilizam o sistema de arquivos FAT ou FAT32. A menos que haja um motivo específico para continuar usando o sistema de arquivos FAT, é recomendável converter esses volumes para utilizar o NTFS. Os sistemas operacionais Windows 95, Windows 98 e Windows Millennium Edition não oferecem suporte ao NTFS ou ao EFS. O Windows XP Home Edition oferece suporte ao NTFS, mas não ao EFS.

•

Arquivos ou pastas compactados também não podem ser criptografados. Se você criptografar um arquivo ou uma pasta compactados, esse arquivo ou essa pasta serão descompactados.

•

Os arquivos marcados com o atributo Sistema não poderão ser criptografados nem será possível criptografar arquivos na pastasystemroot .

•

As opções selecionadas em uma caixa de diálogo pop-up na primeira vez que você criptografar arquivos ou pastas determinarão a maneira como a criptografia funcionará no futuro:

•	Se você decidir criptografar a pasta pai, ao criptografar um único arquivo, todos os arquivos e todas as subpastas que forem adicionados à pasta no futuro serão criptografados no momento em que forem adicionados.
•	Se decidir criptografar todos os arquivos e todas as subpastas, ao criptografar uma pasta, todos os arquivos e todas as subpastas que estiverem atualmente na pasta serão criptografados, bem como todos os arquivos e todas as subpastas que forem adicionados à pasta no futuro.
•	Se decidir criptografar a pasta apenas ao criptografar uma pasta, nenhum arquivo e nenhuma subpasta que estiverem atualmente na pasta serão criptografados. No entanto, todos os arquivos e todas as subpastas que forem adicionados à pasta no futuro serão criptografados no momento em que forem adicionados.

A menos que especificado nos procedimentos descritos neste documento, os servidores executarão o sistema operacional Windows Server 2003 e os clientes executarão o Windows XP Professional.

No ambiente Active Directory, pressupõe-se que os usuários tenham perfis móveis de usuário. Observe que as capturas de tela neste documento refletem um ambiente de teste. Portanto, as informações podem ser diferentes das informações exibidas em seu computador.

Todas as instruções passo a passo foram desenvolvidas usando o menu Iniciar, que é exibido por padrão na instalação do sistema operacional. Se você tiver modificado seu menu Iniciar, as etapas poderão ser ligeiramente diferentes.

Início da página

Gerando uma chave de recuperação e fazendo seu backup

A ausência de uma chave de recuperação com cópia de backup pode levar à perda irreversível dos dados criptografados. O backup de uma chave de recuperação ajuda a garantir que os dados criptografados possam ser recuperados, caso o usuário que possui o certificado de criptografia EFS não consiga descriptografar os dados.

Requisitos

•

Credenciais: esta operação deve ser realizada, usando a conta do agente de recuperação que possuir o certificado de recuperação de arquivos e uma chave particular em seu local particular de armazenamento. O administrador de domínio é o agente de recuperação padrão; em um ambiente doméstico ou que não seja de domínio, não existe nenhum agente de recuperação padrão, mas é possível criar um agente de recuperação local para todas as contas no computador. Em um ambiente doméstico, é mais comum que cada possuidor do certificado EFS faça backup de suas próprias chaves particulares.,

•

Ferramentas: snap-in de certificados para o MMC (Console de Gerenciamento Microsoft).

CUIDADO: antes de fazer qualquer alteração na diretiva de recuperação padrão, não deixe de fazer backup das chaves de recuperação padrão. As chaves de recuperação padrão de um domínio ficam armazenadas no primeiro controlador do domínio em questão.

•

Para fazer backup das chaves de recuperação padrão em um disquete

1.	Clique em Iniciar, clique em Executar, digite mmc e, em seguida, clique em OK. O Console de Gerenciamento Microsoft é aberto.
2.	No menu Arquivo , clique em Adicionar/Remover Snap-in e, em seguida, clique em Adicionar.
3.	Em Adicionar Snap-in Autônomo, clique em Certificados e, em seguida, clique em Adicionar.
4.	Clique em Minha Conta de Usuário e, em seguida, clique em Concluir.
5.	Clique em Fechar e em OK.
6.	Clique duas vezes em Certificados - Usuário Atual, mais duas vezes em Pessoal e mais duas vezes em Certificados.
7.	Clique no certificado que exibe as palavras Recuperação de Arquivo na coluna Finalidades.
8.	Clique com o botão direito do mouse no certificado, aponte para Todas as Tarefas e, em seguida, clique em Exportar.
9.	Siga as instruções apresentadas no Assistente para Exportação de Certificados para exportar o certificado e a chave particular associada no formato de arquivo .pfx.

Início da página

Criando um agente de recuperação baseado em domínio

Para permitir que uma conta leia ou recupere dados criptografados usando o EFS, ela deve ser transformada em um agente de recuperação. Em um ambiente de domínio, é recomendável usar contas de domínio para essa finalidade. Você pode criar um agente de recuperação para qualquer site, domínio ou unidade organizacional em uma floresta do serviço de diretório Active Directory®. Por padrão, a conta interna de Administrador de um domínio é um agente de recuperação; nesse caso, não é necessário criar um agente de recuperação.

Requisitos

•	Credenciais: administrador de domínio.
•	Ferramentas: snap-in de usuários e computadores do Active Directory para o MMC.

•

Para criar um agente de recuperação baseado em domínio

1.	Clique em Iniciar, clique em Painel de Controle, mais duas vezes em Ferramentas Administrativas e, em seguida, mais duas vezes em Usuários e Computadores do Active Directory.
2.	Clique com o botão direito do mouse no domínio cuja diretiva de recuperação você deseja alterar e, em seguida, clique em Propriedades.
3.	Clique na guia Diretiva de Grupo.
4.	Clique com o botão direito do mouse na diretiva de recuperação que deseja alterar e, em seguida, clique em Editar.
5.	Na árvore de console (à esquerda), clique em Sistema de Arquivos com Criptografia. Essa opção pode ser encontrada em Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas de chave pública\Sistema de arquivos com criptografia.
6.	No painel de detalhes (à direita), clique com o botão direito do mouse e, em seguida, clique em Criar Agente de Recuperação de Dados. Observação: o Assistente para criação de agente de recuperação solicita que você adicione um usuário como agente de recuperação, seja de um arquivo ou do Active Directory. Ao adicionar um agente de recuperação a partir de um arquivo, o usuário é identificado como USER_UNKNOWN. Isso ocorre porque o nome do usuário não está armazenado no arquivo. Para adicionar um agente de recuperação a partir do Active Directory, os certificados EFS de agente de recuperação (certificados de recuperação de arquivos) devem estar publicados no Active Directory. No entanto, como o modelo de certificado de recuperação de arquivos EFS padrão não publica esses certificados, é necessário criar um modelo para fazer isso. Para criar um modelo, no Snap-in de Modelos de Certificado, copie o modelo de certificado EFS de recuperação de arquivos padrão para criar um novo modelo, clique com o botão direito do mouse no novo modelo, selecione Propriedades e, na guia Geral da caixa de diálogo Propriedades do certificado copiado, marque a caixa de seleção Publicar o Certificado no Active Directory.
7.	Siga as instruções do Assistente para Criação de Agente de Recuperação para concluir a criação de um agente de recuperação baseado em domínio.

Início da página

Criando um agente de recuperação local

Em um ambiente que não seja de domínio, como um computador autônomo ou em um grupo de trabalho, é possível criar um agente de recuperação local. A criação de um agente de recuperação local pode ser útil se o computador for compartilhado por vários usuários. Em um computador utilizado por um único usuário, é mais fácil que ele simplesmente faça backup da chave de recuperação em uma mídia removível.

Requisitos

•	Credenciais: administrador do computador local.
•	Ferramentas: editor de objeto de diretiva de grupo

•

Para criar um agente de recuperação local

1.	Clique em Iniciar, clique em Executar, digite mmc e, em seguida, clique em OK.
2.	No menu Arquivo , clique em Adicionar/remover snap-in e, em seguida, clique em Adicionar.
3.	Em Adicionar Snap-in Autônomo, clique em Editor de objeto de Diretiva de Grupo e, em seguida, clique em Adicionar.
4.	Em Objeto de Diretiva de Grupo, verifique se Computador Local é exibido e, em seguida, clique em Concluir.
5.	Clique em Fechar e em OK.
6.	Em Diretiva do computador local, navegue até a pasta Local\Diretiva do computador\Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas de chave pública. $Console 1 - [Raiz do console\Diretiva do computador local\Com...$
7.	No painel de detalhes, clique com o botão direito do mouse em Sistema de Arquivos com Criptografia e, em seguida, clique em Adicionar Agente de Recuperação de Dados ou em Criar Agente de Recuperação de Dados. Observação: o assistente solicita que você informe um nome de usuário para ser atribuído ao agente de recuperação. No assistente, você pode digitar o nome de um usuário que possui um certificado de recuperação de arquivos publicado, ou procurar certificados de recuperação de arquivos (arquivos .cer) que contenham informações sobre o agente de recuperação que você deseja adicionar. Os certificados podem ser obtidos junto às Autoridades de certificação. Para identificar um certificado de recuperação de arquivos, procure o valor Recuperação de arquivos (1.3.6.1.4.1.311.10.3.4.1) no campo Uso Avançado de Chave do painel de detalhes do Snap-in de certificados. Os certificados de recuperação de arquivos ficam armazenados como arquivos.cer no sistema de arquivos do computador local ou no Active Directory. Ao adicionar um agente de recuperação a partir de um arquivo, o usuário é identificado como USER_UNKNOWN, porque o nome desse usuário não está armazenado no arquivo.
8.	Siga as instruções do assistente para concluir o processo.

Início da página

Usando o EFS

Após concluir a criação de um agente de recuperação, gerar uma chave de recuperação e fazer backup dela, você está pronto para começar a usar o EFS, que ajudará a proteger arquivos e pastas contra acesso não autorizado. Esta seção apresenta instruções sobre como habilitar o EFS.

Requisitos

•	Credenciais: você precisa ser um usuário com um certificado EFS e com permissão NTFS para modificar o arquivo ou pasta.
•	Ferramentas: Windows Explorer.

•

Para criptografar um arquivo ou pasta usando o EFS

Abra o Windows Explorer.

Meus documentos

Clique com o botão direito do mouse no arquivo ou pasta que deseja criptografar e, em seguida, clique em Propriedades.

Na guia Geral , clique em Avançado.

Propriedades do Novo Documento de Texto Propriedades.txt

Marque a caixa de seleção Criptografar o conteúdo para proteger os dados e, em seguida, clique em OK.

Atributos avançados

Na caixa de diálogo Propriedades, clique em OK e, em seguida, execute uma das seguintes ações:

•	Para criptografar um arquivo e a pasta pai, clique em Criptografar o arquivo e a pasta pai na caixa de diálogo Aviso de Criptografia.
•	Para criptografar somente o arquivo, clique em Criptografar somente o arquivo na caixa de diálogo Aviso de Criptografia.
•	Para criptografar somente a pasta, clique em Aplicar alterações somente a esta pasta na caixa de diálogo Confirmar Alterações de Atributo.
•	Para criptografar a pasta, suas subpastas e os arquivos, clique em Aplicar alterações a esta pasta, suas subpastas e aos arquivos na caixa de diálogo Confirmar Alterações de Atributo.

Clique em OK para aceitar e aplicar suas opções de criptografia.

Início da página

Habilitando as opções Criptografar/Descriptografar no menu do Windows Explorer

Para algumas empresas, a implementação do EFS pode ser mais fácil, caso o Windows Explorer seja configurado para exibir "Criptografar" e "Descriptografar" no menu de atalho, quando o usuário clica em um arquivo com o botão direito do mouse. Para habilitar essa opção, é preciso editar o registro do Windows para criar um novo valor do registro que não existe por padrão.

CUIDADO: a edição incorreta do registro pode danificar gravemente o seu sistema. Antes de fazer alterações no registro, você deve fazer backup de todos os dados importantes armazenados no computador.

Requisitos

•	Credenciais: um administrador com experiência na edição do registro e que conheça os perigos dessa edição.
•	Ferramentas: o Editor do Registro.

•

Para habilitar as opções Criptografar/Descriptografar no menu do Windows Explorer

1.	Abra o Editor do Registro e navegue até o seguinte caminho do registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
2.	No painel de detalhes (à direita), clique com o botão direito do mouse, clique em Novo e em Valor DWORD.
3.	Digite EncryptionContextMenu como nome do valor DWORD e, em seguida, pressione ENTER.
4.	Clique com o botão direito do mouse no valor DWORD que você acabou de criar e clique em Modificar.
5.	Na caixa Dados do Valor da caixa de diálogo Editar Valor DWORD, digite um valor para e, em seguida, clique em OK.
6.	Clique em Arquivo e em Sair para fechar o Editor do Registro.

Observação: no Windows Server 2003, também é possível adicionar o botão Detalhes de Criptografia ao menu do Explorer criando um arquivo em lotes do registro (*.reg) com as informações a seguir e executando esse arquivo em lotes para cada usuário:

[HKEY_CLASSES_ROOT\*\Shell\Encrypt To User...\Command]

@="rundll32 efsadu.dll,AddUserToObject %1"

Início da página

Habilitando o compartilhamento de arquivos EFS

Normalmente, as empresas preferem usar a criptografia para proteger dados confidenciais, mas também precisam permitir que vários usuários tenham acesso a esses dados. Com o EFS, um usuário pode criptografar um arquivo e, em seguida, permitir que outros usuários tenham acesso aos dados criptografados. Para permitir que diversos usuários tenham acesso a um arquivo criptografado, o usuário que criptografou o arquivo designa o arquivo como compartilhado e, em seguida, habilita o acesso compartilhado, adicionando os certificados de criptografia EFS de cada um dos outros usuários ao arquivo criptografado. Dessa forma, as empresas podem melhorar sua segurança sem prejudicar a disponibilidade dos dados.

É preciso conhecer alguns requisitos e algumas limitações do compartilhamento de dados criptografados:

•	Não é possível adicionar grupos de usuários aos arquivos criptografados nem adicionar usuários a pastas criptografadas.
•	Todos os usuários que forem adicionados a um arquivo criptografado precisam ter um certificado de criptografia EFS no computador no qual se encontra o arquivo. Geralmente, uma autoridade de certificação como a Verisign emite certificados. Além disso, se um usuário tiver feito logon no computador e criptografado algum arquivo, esse usuário terá um certificado de criptografia EFS no computador. Para importar certificados, consulte To import a certificate, no site Microsoft TechNet em http://go.microsoft.com/fwlink/?LinkId=22846 (site em inglês).
•	Todos os usuários que podem descriptografar o arquivo também precisam ter acesso à leitura do arquivo. As permissões NTFS precisam ser configuradas corretamente, de modo que esse acesso seja permitido. Se for negado acesso a um usuário devido à insuficiência de permissões NTFS, ele não poderá ler o arquivo criptografado nem descriptografar os dados. Para definir permissões para arquivos, consulte To set, view, change, or remove permissions on files and folders, no site Microsoft TechNet Web em http://go.microsoft.com/fwlink/?LinkId=22847 (site em inglês).

Requisitos

•	Credenciais: são necessários um certificado EFS e a posse do arquivo.
•	Ferramentas: Windows Explorer.

Todos os usuários adicionados ao arquivo devem ter um certificado localizado no computador.

•

Para permitir que um usuário criptografe ou descriptografe um arquivo

Abra o Windows Explorer.

Clique com o botão direito do mouse no arquivo que deseja alterar e, em seguida, clique em Propriedades.

Na guia Geral , clique em Avançado.

Em Atributos Avançados, clique em Detalhes.

Para adicionar um usuário a esse arquivo, clique em Adicionar e, em seguida, execute uma das seguintes ações:

•	Para adicionar um usuário cujo certificado de criptografia EFS esteja nesse computador, clique no certificado e em OK.
•	Para exibir um certificado nesse computador antes de adicioná-lo ao arquivo, clique no certificado e, em seguida, clique em Exibir Certificado.
•	Para adicionar um usuário a partir do Active Directory, clique em Localizar Usuário e, em seguida, localize o usuário na lista e clique em OK.
•	Para remover um usuário desse arquivo, clique no nome do usuário e em Remover.

Observação: quando um usuário é adicionado a um arquivo e o certificado de criptografia EFS desse usuário for importado, o certificado é validado junto a uma CA (Autoridade de Certificação) raiz confiável. O certificado desse usuário é, então, armazenado no armazenamento de certificados de outras pessoas.

Início da página

Exportando e importando chaves de recuperação de dados

As chaves de recuperação de dados, ou chaves DRA, devem estar disponíveis para o agente de recuperação de dados para habilitar o agente, de modo que ele recupere dados criptografados quando a recuperação normal não for possível. Portanto, é importante proteger as chaves de recuperação. Uma boa maneira de proteção contra a perda de chaves de recuperação é exportar os certificados de recuperação de dados e as chaves particulares dos agentes de recuperação de dados em arquivos no formato .pfx para mídia removível que possa ser protegida. Você poderá, então, recuperar os dados perdidos por meio da importação deles.

Os procedimentos a seguir descrevem o processo de exportação e importação de chaves de DRA.

Requisitos

•	Credenciais: você precisa fazer logon com a conta de administrador no primeiro controlador do domínio em questão.
•	Ferramentas: snap-in de certificados do MMC.

Exportando chaves de recuperação de dados

•

Para exportar o certificado e a chave particular do agente de recuperação de dados padrão do domínio

1.	Faça logon no domínio com a conta de administrador no primeiro controlador do domínio em questão.
2.	Clique em Iniciar e em Executar.
3.	Digite mmc.exe e pressione ENTER.
4.	Clique em Arquivo e, em seguida, clique em Adicionar/Remover Snap-in.
5.	Clique em Adicionar. É exibida uma lista de todos os snap-ins registrados no computador atual.
6.	Clique duas vezes no Snap-in de certificados , clique em Minha Conta de Usuário e em Concluir.
7.	Na caixa de diálogo Adicionar Snap-in Autônomo, clique em Fechar e, em seguida, na caixa de diálogo Adicionar/Remover Snap-in, clique em OK. Agora, o MMC exibe os certificados pessoais da conta de Administrador.
8.	Navegue até a pasta Certificados\Usuário atual\Pessoal\Certificados. O painel de detalhes (à direita) exibe uma lista de todos os certificados da conta de administrador. Por padrão, normalmente estão presentes dois certificados. Localize o certificado DRA padrão do domínio.
9.	Clique com o botão direito do mouse no certificado DRA padrão do domínio, clique em Todas as Tarefas e, em seguida, clique em Exportar para iniciar o Assistente para Exportação de Certificados. IMPORTANTE: é essencial que você selecione a chave correta durante o processo de exportação, pois, quando esse processo for concluído, a chave particular original e o certificado correspondente serão excluídos do computador. Se a chave não puder ser restaurada no computador, então não será possível efetuar a recuperação de arquivos por meio desse certificado DRA.
10.	Clique em Sim, exportar a chave particular e, em seguida, clique em Avançar. Isso fará com que a chave particular seja removida quando a exportação for concluída.
11.	Na página Formato do Arquivo de Exportação, clique em Troca de informações pessoais – PKCS #12 (.PFX), marque as caixas de seleção Habilitar proteção de alta segurança e Excluir a chave particular se a exportação tiver êxito e, em seguida, clique em Avançar. Recomendamos que a chave particular seja excluída do sistema quando uma exportação for concluída com êxito, e que seja usada uma proteção de alta segurança para chave particular como nível extra de segurança. Na exportação de uma chave particular, é usado o formato de arquivo .pfx. Esse formato baseia-se no padrão PKCS #12, um formato portátil de armazenamento ou transporte de informações de usuários, entre elas chaves particulares, certificados e dados confidenciais diversos. O formato de arquivo .pfx (PKCS #12) também permite que uma senha proteja a chave particular armazenada no arquivo.
12.	Nas caixas de texto Senha e Confirmar Senha da página Senha, digite uma senha de alto nível e, em seguida, clique em Avançar. A última etapa é salvar o arquivo .pfx real. O certificado e a chave particular podem ser exportados para qualquer dispositivo gravável, inclusive uma unidade de rede ou um disquete.
13.	Na página Arquivo a Ser Exportado , digite ou procure o nome e o caminho de um arquivo e, em seguida, clique em Avançar. Uma notificação relatará se a exportação foi bem-sucedida. Se o arquivo e sua chave particular associada forem perdidos, será impossível descriptografar qualquer arquivo existente que tenha usado esse certificado DRA específico como agente de recuperação de dados. Após a exportação do arquivo .pfx e da chave particular, proteja o arquivo em uma mídia removível estável, armazenada em um local seguro, de acordo com as diretrizes e práticas de segurança de sua empresa. Por exemplo, uma empresa pode guardar o arquivo .pfx em um ou mais CD-ROMs armazenados em um cofre seguro cujo acesso físico seja rigorosamente controlado.

Importando chaves de recuperação de dados

Caso você precise recuperar dados criptografados por meio de uma chave de recuperação de dados exportada, antes será necessário importá-la. A importação de chaves é mais simples que a exportação. Para importar uma chave armazenada como um arquivo no formato PKCS #12 (arquivo .pfx), basta clicar duas vezes no arquivo para abrir o Assistente para importação de certificados, ou iniciar o assistente e importar a chave por meio das seguintes etapas:

Requisitos

•	Credenciais: conta de administrador de domínio no computador.
•	Ferramentas: snap-in de certificados do MMC.

•

Para importar uma chave de recuperação de dados

1.	Faça logon no computador com uma conta válida.
2.	Clique em Iniciar e em Executar.
3.	Digite mmc.exe e, em seguida, pressione ENTER.
4.	No MMC, clique em Adicionar/Remover Snap-in no menu Arquivo.
5.	Clique em Adicionar. É exibida uma lista de todos os snap-ins registrados no computador atual.
6.	Clique duas vezes no Snap-in de certificados , clique em Minha Conta de Usuário e em Concluir.
7.	Na caixa de diálogo Adicionar Snap-in autônomo, clique em Fechar e, em seguida, na caixa de diálogo Adicionar/Remover Snap-in, clique em OK. Agora, o MMC contém o armazenamento de certificados pessoais da conta de administrador.
8.	Navegue até a pasta Certificados\Usuário atual\Pessoal\Certificados, clique com o botão direito do mouse na pasta, clique em Todas as Tarefas e, em seguida, clique em Importar para iniciar o Assistente para importação de certificados.
9.	Clique em Avançar, digite o nome e o caminho do arquivo que deve ser importado e, em seguida, clique em Avançar.
10.	Na caixa Senha da página Senha , digite a senha do arquivo que está sendo importado se ele for um arquivo PKCS #12. É recomendado que as chaves particulares sejam armazenadas e protegidas com uma senha de alto nível.
11.	Se quiser exportar a chave novamente a partir do computador atual, é importante marcar a caixa de seleção Marcar esta chave como exportável . Clique em Avançar.
12.	O assistente pode solicitar o nome do armazenamento para o qual o certificado e a chave particular devem ser importados. Para garantir que a chave particular seja importada para o armazenamento pessoal, não clique em Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado; em vez disso, clique em Colocar todos os certificados no armazenamento a seguir e, em seguida, clique em Avançar.
13.	Realce o armazenamento Pessoal e clique em OK.
14.	Clique em Avançar e, em seguida, clique em Concluir para concluir a importação. Uma notificação relatará se a importação foi bem-sucedida.

IMPORTANTE: uma conta baseada em domínio deve ser sempre usada em associação com um agente de recuperação de dados , pois as contas locais podem ser suscetíveis a ataques físicos offline.

Início da página

Recuperando dados

Caso os dados criptografados não possam ser recuperados pelo usuário original, por exemplo, porque esse usuário deixou a empresa, você precisa encontrar uma maneira para recuperar os dados e torná-los acessíveis para a empresa. Esta seção mostra como recuperar um arquivo ou uma pasta criptografados. Para isso, você usará o Backup ou outra ferramenta de backup para restaurar o arquivo ou a pasta criptografados do usuário no computador em que se encontram o certificado de recuperação de arquivos e a chave de recuperação do agente de recuperação de dados.

Você precisa ser um agente de recuperação designado para executar esse procedimento. Em outras palavras, você deve ser possuidor da chave particular e do certificado, de modo que um DRA (Agente de Recuperação de Dados) identificado no arquivo ou na pasta possa ser recuperado.

Requisitos

•	Credenciais: agente de recuperação de dados.
•	Ferramentas: Windows Explorer.

•

Para restaurar um arquivo ou uma pasta criptografados

1.	Abra o Windows Explorer.
2.	Clique com o botão direito do mouse no arquivo ou na pasta criptografados e, em seguida, clique em Propriedades.
3.	Na guia Geral , clique em Avançado.
4.	Desmarque a caixa de seleção Criptografar o conteúdo para proteger os dados.
5.	Faça um backup do arquivo ou da pasta descriptografados e devolva-o ao usuário. Observação: você pode retornar o backup do arquivo ou da pasta descriptografados ao usuário como um anexo de email, em um disco, ou em um compartilhamento de arquivo na rede. Uma outra abordagem de recuperação de dados envolve o transporte físico da chave particular e do certificado do agente de recuperação para o computador no qual se encontra o arquivo criptografado, a importação da chave particular e do certificado, a descriptografia do arquivo ou da pasta e, finalmente, a exclusão da chave particular e do certificado que foram importados. Esse procedimento expõe mais a chave particular que o procedimento anterior, mas não exige nenhuma operação de backup ou de restauração, nem o transporte de arquivos.

Início da página

Recomendações

As seguintes recomendações podem ajudar uma empresa a usar e gerenciar com eficiência os arquivos e as pastas criptografados.

•

Os agentes de recuperação devem fazer backup de seus certificados de recuperação de arquivos em um local seguro.
Se você for o agente de recuperação, use o comando Exportar em Certificados no MMC para exportar para um disquete o certificado de recuperação de arquivos e a chave particular. Mantenha o disquete em um local seguro. Em seguida, se o certificado de recuperação de arquivos ou a chave particular no seu computador forem danificados ou excluídos, você poderá usar o comando Importar em Certificados no MMC para substituir o certificado e a chave particular danificados ou excluídos pelos que você tem em backup no disquete.

•

Use a Configuração padrão de domínio.
Por padrão, o administrador de um domínio é o DRA padrão em um domínio Windows 2000 ou Windows Server 2003. Quando o administrador de um domínio faz logon pela primeira vez com essa conta, é gerado um certificado auto-assinado, a chave particular é armazenada no perfil desse computador e a Diretiva de Grupo padrão do domínio contém a chave pública desse certificado como o DRA padrão do domínio.

•

Não demore para atualizar chaves particulares de DRA perdidas ou expiradas.
Embora a expiração de um certificado DRA seja um acontecimento de pouca importância, a perda ou corrupção das chaves particulares pertencentes ao DRA são potencialmente catastróficas para uma empresa.

Um certificado DRA expirado (chave particular) pode, assim mesmo, ser usado para descriptografar arquivos anteriormente criptografados. No entanto, arquivos criptografados novos ou atualizados não podem usar o certificado expirado (chave pública). Quando uma empresa perde as chaves particulares de um DRA ou quando o certificado de um DRA expirou, recomenda-se a geração imediata de um ou mais certificados DRA e a atualização da Diretiva de Grupo para refletir os novos DRAs. Quando os usuários criptografam novos arquivos ou atualizam arquivos criptografados que já existem, esses arquivos serão automaticamente atualizados com as novas chaves públicas do DRA. Talvez seja necessário incentivar os usuários a atualizar todos os arquivos existentes para refletir os novos DRAs.

No Windows XP, o utilitário de linha de comando cipher.exe foi atualizado com um parâmetro /U para atualizar a chave de criptografia de arquivos ou as chaves do agente de recuperação em todos os arquivos que se encontram nas unidades locais. O exemplo a seguir atualiza dois arquivos criptografados na unidade local em que o Cipher.exe é executado:

Observação: ao usar o certificado auto-assinado padrão em um domínio sem uma autoridade de certificação, o tempo de vida útil do certificado será de 99 anos.

As recomendações a seguir podem ajudar uma empresa a proteger os dados de seus usuários móveis, em caso de perda ou roubo:

•	A proteção física do computador está acima de tudo. Não há nenhuma tecnologia que substitua a tomada de todas as precauções para garantir que o computador não seja roubado ou fisicamente comprometido.
•	Sempre use o computador móvel como parte de um domínio do Active Directory.
•	Guarde as chaves particulares dos usuários separadamente do computador móvel e importe-as, quando for necessário.
•	Para pastas de armazenamento comum, como Meus Documentos e pastas temporárias, criptografe a pasta, de modo que todos os arquivos novos e temporários sejam criptografados assim que forem criados.
•	Sempre crie novos arquivos ou copie arquivos de texto simples que já existem em uma pasta criptografada, quando os dados forem extremamente confidenciais. Essa prática garantirá que todos os arquivos nunca tenham existido na forma de texto simples no computador, e que os arquivos temporários de dados não poderão ser recuperados por meio de ataques sofisticados de análise de disco.
•	As pastas criptografadas podem ser aplicadas a um domínio por meio de uma combinação de Diretiva de Grupo, scripts de logon e modelos de segurança para garantir que as pastas padrão, como Meus Documentos, sejam configuradas como pastas criptografadas.
•	O sistema operacional Windows XP permite a criptografia de dados em arquivos offline. Arquivos e pastas offline armazenados em cache localmente devem ser criptografados, quando eles usarem diretivas de cache no cliente.
•	Use o utilitário de chave de sistema SYSKEY no modo 2 ou no modo 3 (disquete de inicialização ou senha de inicialização) no computador móvel para impedir que o sistema seja inicializado por usuários mal-intencionados. O utilitário de chave de sistema e suas opções estão documentados na ajuda online de sua versão do Windows.
•	Habilite o SMB (Bloco de Mensagens do Servidor), registrando-se na Diretiva de Grupo dos servidores confiáveis para delegação e usados para armazenar arquivos criptografados. Essa configuração encontra-se na Diretiva de Grupo em: GPO-nome\Configuração do computador\Configurações do Windows\Cofigurações de segurança\Diretivas locais\Opções de segurança\Servidor de rede Microsoft. Sempre assine digitalmente as comunicações.
•	Verifique se os dados não criptografados são removidos do disco rígido após a criptografia dos arquivos e, daí em diante, periodicamente.

Início da página

Informações relacionadas

Para obter mais informações sobre o EFS, consulte:

•	"Encrypting File System", no site Microsoft TechNet em http://go.microsoft.com/fwlink/?LinkID=22412 (site em inglês).
•	"Encrypting File System in Windows XP and Windows Server 2003", no site Microsoft TechNet em http://go.microsoft.com/fwlink/?LinkID=22412 (site em inglês).

Início da página