Pages

O objetivo deste artigo é tentar explicar de uma maneira clara e concisa como funciona a criptografia de arquivos nativo do sistema de arquivos NTFS da Microsoft.

Resumidamente, criptografar o arquivo é uma forma de garantir que apenas você poderá ter acesso às informações contidas nele. Ao criptografar um arquivo, ele pode ser aberto apenas por você e, se definido anteriormente, um agente de recuperação do seu computador ou do seu domínio. O agente de recuperação é uma conta de usuário que também consegue abrir algum arquivo criptografado.

Como criptografar?

Criptografar um arquivo ou pasta é tão simples quanto alterar qualquer outro atributo e o usuário normalmente não precisa entender este processo a fundo. Basta seguir os seguintes passos:

1 - Botão da direita em cima do arquivo ou pasta
2 - Propriedades
3 - Avançado
4 - Selecionar a opção de criptografar conteúdo para proteger dados

Aconselho sempre evitar criptografar apenas um arquivo. O processo de criptografia de um arquivo individual não faz com que novos arquivos sejam criptografados. Ao abrir um arquivo criptogrado em algum programa que gera um arquivo temporário para salvar as alterações, no momento que você clicar em salvar, ele vai excluir o arquivo original, salvando em definitivo o arquivo temporário. Neste momento o arquivo deixará de ser criptografado. Para evitar isso, marque a criptografia na pasta, selecionando para criptografar todos os arquivos contidos nesta pasta.

Como funciona?

Dentro do perfil do usuário ele tem um par de chaves de certificado específico para manipular arquivos criptografados. Com uma chave pública ele criptografa o arquivo e com a chave privada ele abre o arquivo criptogrado. Atenção, o certificado está dentro do perfil do usuário. Caso você tenha algum problam com este perfil, caso ele seja corrompido, se você não tiver um backup deste certificado, não será mais possível abrir algum arquivo criptogrado. Então certifique-se de fazer uma cópia deste certificado e guardá-lo em local seguro.

Para visualizar este certificado:

1 - Execute o MMC
2 - Clique em "Adicionar remover Snap-in"
3 - Selecione Certificado
4 - Selecione "Usuário Atual"
5 - Em Pessoal, clique em Certificados

Você verá um certificado com o objetivo de "Sistema de Arquivo Criptofado" ou "Encripting File System", com o nome do usuário logado.

Este é o certificado que você deve copiar em backup para não correr o risco de perder os arquivos criptogrados.  Antes tarde do que nunca, se você trabalha com arquivo criptogrado e não tem backup disso, corra.

O que é o agente de recuperação EFS?

Em um computador, ou no domínio é possível ter um agente de recuperação para arquivos criptogrados. Se isso estiver definido na sua máquina ou na sua rede corretamente, existe uma conta que, se tiver um certificado correto, pode abrir qualquer arquivo criptografado por qualquer pessoa. Você pode até não gostar disso, mas é a única forma que foi pensada para que uma empresa não perca informações críticas em sua rede ou nos seus computadores com a perda de um perfil de usuário.

Atenção, você precisa definir o agente de recuperação ANTES de criptografar qualquer dado. Se o agente de recuperação for definido corretamente, sua chave pública também é usada no algorítmo de criptografia do arquivo ou pasta, logo, sua chave privada também pode ser usada para descriptofar o arquivo, entendeu?

Para definir um agente de recuperação EFS, faça o seguinte:

1. Faça logon como um Administrador.
2. execute o seguinte comando um prompt de comando "cipher /r: certificado" onde certificado é o nome do arquivo do certificado do agente de recuperação.
3. Quando solicitado, digite uma senha que será usada para proteger esse certificado.

Pronto, você gerou um par de chaves para atribuir a uma conta. Este procedimento acima vai gerar um arquivo .cer (chave pública) e um arquivo .pfx (chave privada).

Agora vamos designar a conta para ser o agente de recuperação propriamente dito.

1 - Crie uma conta para este fim
2 - Faça logon na conta que deseja designar como agente de recuperação
3 - Em certificados, selecione a pasta Certificados - Usuário Atual\Pessoal\Certificados
4 - No menu Ação, todas as tarefas, clique em Importar
5 - Na página Arquivo a ser importado, digite o caminho e o nome do arquivo do certificado (.pfx)
6 - Digite a senha que você definiu anteriormente
7 - Marque para Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado
8 - Clique em Concluir
9 -  Agora que certificado foi importado com sucesso, vamos atribuí-lo para ser usado como agente de recuperação.  Execute o aplicativo secpol.msc
10 Em configurações locais, Configurações de Segurança, Diretivas de Chave Públicas, Sistema de arquivos Criptografados, no menu Ação, clique em Adicionar agente de recuperação de dados
11. Na página Selecionar agentes de recuperação, clique em Procurar nas pastas, e vá para a pasta que contém o arquivo .cer criado anteriormente (chave pública);
12 Selecionar o arquivo e clique em Abrir
13. A página selecionar agentes de recuperação, mostra um agente chamado "USER_UNKOWN", ou usuário desconhecido, Não se preocupe com isso, é normal, não existe a informação do nome do usuário dentro do arquivo
14. Clique em Avançar e Concluir

Agora este usuário pode ser usado para abrir qualquer arquivo criptografado a partir de agora neste computador. Se você administra um domínio, poderá usar uma group policy para poder distribuir esta chave pública do agente de recuperação para todas as máquinas. Assim a conta designada como agente de recuperação é atribuída a todas as máquinas.

Um procedimento de segurança é você fazer um backup da chave privada deste agente em uma ou mais mídias, excluí-la de qualquer computador e deixar a mídia armazenada em cofre. Lembre-se que esta conta tem acesso a todo arquivo dentro da corporação que esteja criptografado.

Reações: 

10 Responses so far.

  1. Gostei bastante. Me ajudou muito no TCC que estou fazendo.

  2. Fiz um logon no win7ultimate e troquei a senha; neste momento o win7 me avisou que perco a criptografia EFS, etc.
    Gostaria de saber se tudo isso que ele avisa é muito mais importante que a senha que adicionei?
    Obrigada,
    Aprilo.
    aprilo@ig.com.br

  3. Fiz um logon no win7ultimate e troquei a senha; neste momento o win7 me avisou que perco a criptografia EFS, etc.
    Gostaria de saber se tudo isso que ele avisa é muito mais importante que a senha que adicionei?
    Obrigada,
    Aprilo.
    aprilo@ig.com.br

  4. Este comentário foi removido por um administrador do blog.
  5. Este comentário foi removido pelo autor.
  6. Olá Aprilo,

    Confesso que não entendi muito bem a pergunta. Como assim mais importante? Olha só: É diferente trocar a senha e redefinir a senha. Quando você troca a senha, através do CTRL+ALT+DEL, você informa a senha antiga e muda e altera para uma senha nova. Este procedimento você consegue executar sem perder nada, nem sua chave de criptografia EFS. Se você redefinir a senha, através do Gerenciamento do Computador, sem informar a senha antiga, o Windows invalida todos os certificados e chaves privadas do usuário, para evitar que alguém consiga redefinir sua senha e ter acesso a dados protegidos. É sobre isso mesmo que você perguntou? Forte abraço.

  7. eu consegui seguir passo a passo, mas mesmo assim os arquivos estão corrompidos e não abrem.. tarde demais para a diretiva de recuperação criada?

  8. Como falei, o agente de recuperação precisa ser configurado antes de criptografar o arquivo, para que a chave dele também seja usada durante a criptografia.

  9. Caro Amigo, Cláudio.

    Fiz um pequeno teste aqui aparentemente tudo certo. Porém quando copiamos o arquivo criptografado em uma mídia que não seja NTFS, perde-se a criptografia e o arquivo fica novamente acessível (como se nunca fosse criptografado).

    Alguma explicação?!

  10. Olá Claudio Costa, muito bom seu site, meu parabéns.

    Me tira uma duvida, estou com um probleminha aqui na empresa em que trabalho, um funcionário da equipe de segurança criptografou todos os arquivos da maquina, mas não criou uma chave de recuperação. O Cara pediu para um rapaz da TI formatar este PC e para piorar a situação o cara não tirou a criptografia antes de formatar o PC.

    Agora, não consigo abrir arquivo algum deste usuário e para piorar ainda mais a situação, são mais de 30Gb de fotos, documentos e videos de segurança... rsrs... tu saberia me dizer como recuperar estes arquivos ?

    qualquer coisa me contate por e-mail. "paulomaraba@gmail.com"

Postar um comentário