[Tutorial] Criptografia No Windows 2000 Server

[shunt]

Introdução:

Neste tópico você aprenderí sobre os princàpios bísicos de criptgrafia em pastas e arquivos, em volumes formatados com NTFS. Dois são os pontos principais que você estudarí neste tópico:

# A criptografia somente estí disponàvel em volumes formatados com NTFS. Em volumes FAT ou FAT32 não estí disponàvel o recurso de criptografia.


# Entenda bem como é a relação entre a criptografia, os certificados digitais e, principalmente, o conceito de Agente de recuperação.

Criptografia ? definições e conceitos

O Windows 2000 Server fornece suporte a criptografia de pastas e arquivos através do EFS ? Encripted File System (Sistema de arquivos com Criptografia). O suporte ao EFS foi introduzido no Windows 2000 Server e também estí disponàvel no Windows Server 2003 e Windows XP Professional. Com o uso de criptografia o usuírio tem um nàvel de segurança maior do que somente com o uso de permissões NTFS. Somente é possàvel criptografar arquivos e pastas em volumes formatados com o sistema de arquivos NTFS. Com a criptografia o Windows 2000 Server garante que somente o usuírio que criptografou um determinado arquivo tenha acesso ao arquivo.

Criptografia é o processo de converter dados em um formato que não possa ser lido por um outro usuírio, a não ser o usuírio que criptografou o arquivo. Depois que um usuírio criptografar um arquivo, esse arquivo permanecerí automaticamente criptografado quando for armazenado em disco.

Descriptografia é o processo de converter dados do formato criptografado no seu formato original. Depois que um usuírio descriptografar um arquivo, esse arquivo permanecerí descriptografado quando for armazenado em disco.

Com as permissões NTFS, existem alguns problemas quanto a segurança dos dados:

# O Administrador da míquina pode usar o recurso de Take Ownership (tornar-se dono), tornando-se desta forma dono dos arquivos/pastas desejados, mesmo sem ter permissão de acesso a estes arquivos/pastas. Após ter "dado um Take Ownership", o Administrador pode atribuir permissões de acesso para si mesmo e, com isso, acessar qualquer arquivo ou pasta.


# Um usuírio pode utilizar um disquete de boot ou instalar um outro sistema operacional no computador e utilizar alguns programas comerciais existentes, para ter cesso a pastas e arquivos protegidas por permissões NTFS.

A grande questão é a seguinte: "Com o uso da criptografia, mesmo que o seu computador seja roubado ou que outro usuírio tenha acesso ao computador, não serí possàvel acessar os arquivos e pastas que você criptografou. A única maneira de ter acesso é fazendo o logon com a sua conta e senha". Em resumo: Com a criptografia, os dados estão protegidos, mesmo que outras pessoas tenham acesso ao seu computador, a única maneira de acessar os arquivos criptografados é fazendo o logon com a conta do usuírio que criptografou os arquivos ou com a conta configurada como Agente de Recuperação, conforme descreverei mais adiante. Jí com as permissões NTFS, conforme descrito anteriormente, este nàvel de proteção não existe, no caso do computador ser roubado ou de um usuírio mal intencionado ter acesso ao computador.

Claro que existem situações adversas que podem surgir com o uso da criptografia. Por exemplo, vamos supor que um funcionírio criptografou arquivos importantes para a empresa. Neste meio tempo o funcionírio foi demitido. Como é que a empresa poderí ter acesso aos arquivos criptografados se o funcionírio demitido se negar a fazer o logon com a sua conta e descriptografar os arquivos ou se a sua conta tiver sido excluàda?? Por isso que o EFS permite que uma conta seja configurada como Agente de Recuperação, a qual pode ser utilizada em situações como a descrita neste parígrafo. Mais adiante tratarei, em detalhes, sobre o agente de recuperação.

Não esqueça: Existe uma conta configurada como Agente de recuperação. Esta conta pode fazer o logon e descriptografar pastas e arquivos criptografados por outros usuírios. O agente de recuperação padrão é a conta Administrador.

O uso de criptografia é especialmente recomendado para usuírios de notebooks e outros dispositivos semelhantes. Não é raro a ocorrência de roubos de notebooks, sendo que estes podem conter dados importantes da empresa, tais como planos estratégicos e relatórios de pesquisa e desenvolvimento de novos produtos. O uso da criptografia é a forma mais indicada para proteger estes dados, mesmo em situações de roubo de um notebook.

A criptografia é transparente para o usuírio que criptografou o arquivo. Isso significa que o usuírio não precisa descriptografar manualmente o arquivo criptografado para poder usí-lo. Ele pode abrir e alterar o arquivo da maneira habitual. Por exemplo, vamos supor que você criptografou um documento do Word. Ao dar um clique duplo no documento, o Windows 2000 Server descriptografa, automaticamente, o arquivo, abre o Word e carrega o arquivo para você. Observe que para o usuírio toda a operação é transparente, ou seja, é como se o arquivo não estivesse criptografado. Se outro usuírio, que não o que criptografou o arquivo, tentar utilizí-lo, receberí uma mensagem de acesso negado.

O uso do EFS é semelhante ao uso de permissões para arquivos e pastas. Ambos os métodos podem ser usados para restringir o acesso aos dados. No entanto, um intruso que obtenha acesso fàsico não-autorizado aos seus arquivos ou pastas criptografados não conseguirí acessí-los. Se o intruso tentar abrir ou copiar sua pasta ou arquivo criptografado, verí uma mensagem de acesso negado. As permissões definidas para arquivos e pastas não os protege contra ataques fàsicos não-autorizados, conforme jí descrito anteriormente.

Você criptografa ou descriptografa uma pasta ou arquivo definindo a propriedade de criptografia para pastas e arquivos da mesma forma como define qualquer outro atributo, como somente leitura, compactado ou oculto. Se você criptografar uma pasta, todos os arquivos e subpastas criados na pasta criptografada serão automaticamente criptografados. É recomendível que você use a criptografia para pastas e não para arquivos individualmente, pois isso facilita a administração dos arquivos criptografados.

Nota: Você também pode criptografar ou descriptografar um arquivo ou pasta usando o comando cipher. Tratarei deste comando mais adiante.

Antes de aprender a criptografar arquivos e pastas, vou apresentar algumas observações importantes sobre a criptografia no Windows 2000 Server:

# Somente arquivos e pastas em volumes NTFS podem ser criptografados.


# As pastas e os arquivos compactados não podem ser criptografados. Se o usuírio marcar um arquivo ou pasta para criptografia, ele serí descompactad
o

# Se você mover arquivos descriptografados para uma pasta criptografada, esses arquivos serão automaticamente criptografados na nova pasta. No entanto, a operação inversa não descriptografa automaticamente os arquivos. Nesse caso, é necessírio descriptografar manualmente os arquivos.


# Os arquivos marcados com o atributo Sistema não podem ser criptografados, bem como os arquivos da pasta raiz do sistema, isto é C:\ ou D:\ e assim por diante.


# Criptografar um arquivo ou uma pasta não protege contra exclusão ou listagem de arquivos ou pastas. Qualquer pessoa com permissões NTFS adequadas pode excluir ou listar pastas ou arquivos criptografados. A proteção da criptografia é contra o acesso aos arquivos, ou seja, somente o usuírio que criptografou o arquivo terí acesso. Para proteção contra listagem e exclusão recomenda-se o uso do EFS em combinação com permissões NTFS, utilizando as permissões NTFS para impedir que outros usuírios possam excluir e até mesmo listar os arquivos que estão em um pasta criptografada.


# Você pode criptografar ou descriptografar pastas e arquivos localizados em um computador remoto ativado para criptografia remota. No entanto, se você abrir o arquivo criptografado na rede, os dados transmitidos na rede através desse processo não serão criptografados. Outros protocolos, como a camada de soquetes de segurança/segurança da camada de transporte (SSL/TLS) ou IP Seguro (IPSec), devem ser usados para criptografar dados durante a transmissão.

Agora que jí temos um bom entendimento sobre os aspectos teóricos relacionados com o EFS, é hora de aprender sobre as tarefas príticas, relacionadas com a criptografia de arquivos e pastas no Windows 2000 Server.

Em primeiro lugar vou falar sobre algumas medidas preventivas que devem ser tomadas, para garantir que você sempre possa terí acesso aos arquivos e pastas criptografados.


Garantindo a recuperação dos dados.

A criptografia utilizada pelo Windows 2000 Server é baseada na utilização de um par de chaves de criptografia. Uma chave é utilizada para criptografar os dados e a outra chave do par é utilizada para descriptografar os dados. A única maneira de descriptografar os dados e ter acesso às informações é tendo acesso as chaves de criptografia. Estas chaves são armazenadas em um Certificado digital, certificado este que é gerado, automaticamente, pelo Windows 2000 Server, a primeira vez que o usuírio criptografa um arquivo ou pasta. Neste Certificado digital estão todas as informações necessírias para criptografar e descriptografar arquivos.

Cada usuírio que criptografa/descriptografa arquivos, possui o seu próprio Certificado digital, gerado automaticamente pelo Windows 2000 Server. Um certificado adicional também é gerado para a conta configurada como Agente de recuperação. Desta maneira se o usuírio que criptografou arquivos ou pastas deixar a empresa, serí possàvel descriptografar os seus dados, utilizando a conta configurada como Agente de recuperação, uma vez que esta conta possui cópia do Certificado digital necessírio a tal operação.

O Certificado digital nada mais é do que um arquivo que contém as informações necessírias para trabalhar com criptografia no Windows 2000 Server. Como todo arquivo, fica gravado no disco ràgido do computador. Acontece que se houver um problema com o disco ràgido, a cópia do certificado do usuírio e do certificado do agente de recuperação serão perdidas (caso não haja uma cópia de segurança) e, sem um destes certificados, ficarí impossàvel descriptografar os arquivos/pastas criptografados pelo usuírio. Na prítica, significa que o acesso aos dados criptografados serí perdido. Para evitar que isto aconteça, deve ser feita uma cópia de segurança, preferencialmente em disquete ou em um drive de rede, do Certificado digital gerado para o usuírio. É importante lembrar que este certificado, somente serí gerado na primeira vez que o usuírio criptografar alguma pasta ou arquivo.

A seguir mostrarei como fazer o backup do certificado digital do usuírio, do certificado do agente de recuperação e como restaurar o certificado digital do usuírio. Por padrão, a conta Administrator (Administrador) é configurada como agente de recuperação.

Para um Member Server, o agente de recuperação padrão é a conta Administrator (Administrador) local. Para um domànio baseado no Active Directory, a conta configurada com agente de recuperação é a conta Administrator (Administrador) do domànio. No exemplo a seguir mostrarei como fazer uma cópia de segurança, em disquete, do certificado digital da conta Administrator de um domànio.

Exemplo 1: Para fazer o backup do certificado do Agente de recuperação para o domànio, siga os seguintes passos:

1. Faça o logon com uma conta com permissões de Administrador.

2. Abra o console Diretiva de segurança de domànio: Iniciar -> Programas -> Ferramentas Administrativas -> Diretiva de segurança de domànio.

3. Dê um clique no sinal de + ao lado da opção Configurações de segurança. Nas opções que são exibidas, dê um clique no sinal de + ao lado da opção Diretivas de chave pública.

4. Nas opções que são exibidas dê um clique na opção Agentes de recuperação de dados criptografados. No painel da direita serí exibido o Certificado do Agente de recuperação, que por padrão é a conta Administrador, conforme indicado na Figura 1:

Figura 1

5. No painel da direita, clique com o botão direito do mouse na conta Administrador. No menu que é exibido selecione o comando Todas as tarefas -> Exportar... Serí aberto o Assistente para exportação de certificados.

6. A primeira tela é apenas informativa. Dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

7. Nesta etapa você deve optar por exportar ou não a Chave particular do certificado. A Chave particular é um meio de proteger o acesso ao Certificado digital, através de uma senha. Se você não tiver uma senha definida, apenas estarí habilitada a opção Não, não exportar a chave particular,. Marque a opção Não, não exportar a chave particular e dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

8. Surge uma tela perguntando o formato para exportação do certificado. Certifique-se de que a opção X.509 binírio codificado por DER (*.cer) esteja selecionada e dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

9. Surge uma tela solicitando o nome do arquivo para o qual serí exportado o certificado. É recomendado que você exporte para um disquete ou para um drive de rede. Certifique-se de que você colocou um disquete no drive e, no campo Nome do arquivo, digite: A:\cert_ag_recup.

10. Dê um clique no botão Avançar, para ir para a próxima etapa do assistente. O Windows 2000 Server exporta o certificado, para o arquivo especificado no drive de disquete.

11. Serí exibida a tela final do assistente, com um resumo das opções selecionadas. Se você quiser fazer alguma alteração, pode utilizar o botão Voltar. Dê um clique no botão Concluir, para fechar o Assistente para exportação de certificados.

12. Surge uma mensagem informando que a exportação foi concluàda com êxito. Dê um clique no botão OK para fechar esta mensagem.

13. Você estarí de volta ao console Diretiva de segurança de domànio e uma cópia do Certificado digital do Agente de recuperação, foi gravada no disquete. No evento de uma falha do disco ràgido, esta cópia pode ser utilizada para descriptografar os arquivos e pastas criptografados. Feche o console Diretiva de segurança de domànio.

Muito bem, o backup do certificado do agente de recuperação foi efetuado. Em caso de falha no HD você pode importar este certificado para descriptografar arquivos que tenham sido criptografados anteriormente a falha. Claro que deve existir backup destes arquivos, caso contrírio com a falha no HD você perderí os arquivos e aà não haverí utilização para a cópia do certificado do agente de recuperação que você fez no Exemplo 1.

Exemplo 2: Para fazer o backup do Certificado digital do usuírio, gerado automaticamente pelo Windows 2000 Server, quando o usuírio criptografa um arquivo ou pasta pela primeira vez, faça o seguinte:

1. Faça o logon com um a conta do usuírio, para o qual você deseja fazer uma cópia de segurança do Certificado digital.

2. Abra o Internet Explorer.

3. Selecione o comando Ferramentas -> Opções da Internet...

4. Na janela Opções da Internet que é aberta dê um clique na guia Conteúdo.

5. Na guia Conteúdo dê um clique no botão Certificados... Serí aberta a janela Certificados.

6. Na guia Pessoal, da janela de Certificados, dê um clique no certificado que corresponde ao nome do usuírio logado, conforme exemplo da Figura 2, onde foi marcado o certificado para o usuírio user01.

Figura 2

7. Clique no botão Exportar..., serí aberto o Assistente para exportação de certificados, com o qual você jí trabalhou no Exemplo 1.

8. A primeira tela do assistente é apenas informativa, dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

9. Nesta etapa você deve optar por exportar ou não a Chave particular do certificado.

10. Certifique-se de que a opção Sim, exportar a chave particular esteja marcada e dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

11. Surge uma tela perguntando o formato para exportação do certificado. Aceite as configurações sugeridas pelo assistente e dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

12. Nesta etapa é solicitada uma senha de proteção para abertura do arquivo no qual serí gravado o certificado. Digite a senha duas vezes para confirmação e dê um clique no botão Avançar, para ir para a próxima etapa do assistente. Esta senha não precisa ser igual a senha de logon da conta do usuírio.

13. Surge uma tela solicitando o nome do arquivo para o qual serí exportado o certificado. É recomendado que você exporte para um disquete ou para um drive de rede. Certifique-se de que você colocou um disquete no drive e, no campo Nome do arquivo, digite: A:\cert_user01.

14. Dê um clique no botão Avançar, para ir para a próxima etapa do assistente. O Windows 2000 Server exporta o certificado, para o arquivo especificado no drive de disquete.

15. Serí exibida a tela final do assistente, com um resumo das opções selecionadas. Se você quiser fazer alguma alteração, pode utilizar o botão Voltar. Dê um clique no botão Concluir, para fechar o Assistente para exportação de certificados.

16. Surge uma mensagem informando que a exportação foi concluàda com êxito. Dê um clique no botão OK para fechar esta mensagem.

17. Você estarí de volta a guia Pessoal da janela Certificados e uma cópia do Certificado digital do usuírio logado, foi gravada no disquete. No evento de uma falha do disco ràgido, esta cópia pode ser utilizada para descriptografar os arquivos e pastas criptografados pelo usuírio.

18. Clique no botão Fechar para fechar a janela Certificados.

19. Você estarí de volta à janela Opções da Internet. Dê um clique no botão OK para fechí-la.

20. Você estarí de volta ao Internet Explorer. Feche-o.]

Com estes dois exemplos, você aprendeu a exportar o certificado do agente de recuperação e também o certificado de um usuírio. Estes certificados podem ser importados a partir do disquete, no evento de falha do respectivo certificado original. É sempre recomendado que você proteja os certificados com a definição de uma senha e mantenha o disquete em local seguro, pois caso contrírio qualquer usuírio que tiver acesso ao disquete poderí importar o certificado (conforme mostrarei logo a seguir) e utilizí-lo para ter acesso aos seus arquivos e pastas criptografados. Claro que o usuírio teria que saber a senha que você definiu ao exportar o certificado pessoal. Por isso a importância da definição de uma senha para exportação do certificado, pois esta senha serí solicitada quando da importação do certificado. O certificado somente serí importado com sucesso, se a senha correta for informada.

Na Figura 3 mostro os dois arquivos, com os certificados que foram exportados nos exemplos 1. e 2. Observe que o Windows 2000 Server usa àcones diferentes para o certificado do Agente de recuperação e para o certificado de usuírio.

Figura 3

Agora vou mostrar como importar um certificado a partir de um arquivo.

Exemplo 3: Para importar um certificado siga os passos indicados a seguir:

1. Abra a pasta onde estí o certificado. No nosso exemplo, use o Meu computador ou o Windows Explorer para acessar o disquete (A:\), onde estí o arquivo com o certificado a ser importado.

2. Clique com o botão direito do mouse no arquivo com o certificado a ser importado. Se você estiver importando o certificado do agente de recuperação, no menu que surge, dê um clique na opção Instalar Certificado. Se você estiver importando o certificado de um usuírio, no menu de opções que é exibido, dê um clique na opção Instalar PFX.

3. No nosso exemplo você irí importar o certificado de usuírio, exportado no Exemplo 2. Clique com o botão direito do mouse no arquivo correspondente ao certificado a ser importado (cert_user01.pfx) e no menu de opções que surge, dê um clique na opção Instalar PFX.

4. Serí aberto o Assistente para importação de certificados.

5. A primeira tela é apenas informativa. Dê um clique no botão Avançar, para seguir para a próxima etapa do assistente.

6. O campo Nome do arquivo jí vem preenchido com o caminho e o nome do arquivo no qual clicamos com o botão direito do mouse. Dê um clique no botão Avançar, para seguir para a próxima etapa do assistente.

7. Se houver uma senha definida para o certificado, surgirí uma tela solicitando que seja digitada a senha. Digite a senha e dê um clique no botão Avançar, para seguir para a próxima etapa do assistente.

8. Nesta etapa você deve indicar o local para onde serí importado o certificado. Aceita a opção sugerida pelo assistente, que por padrão é: Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado)

9. Dê um clique no botão Avançar, para ir para a próxima etapa do assistente.

10. Serí exibida a tela final do assistente, com um resumo das opções selecionadas. Se você quiser fazer alguma alteração, pode utilizar o botão Voltar. Dê um clique no botão Concluir, para fechar o Assistente para importação de certificados.

11. Surge uma mensagem informando que a importação foi concluàda com êxito. Dê um clique no botão OK para fechar esta mensagem.

Agora sim, você jí sabe exportar e importar certificados, para garantir o acesso aos dados criptografados. Agora é hora de começar a trabalhar com a criptografia no Windows 2000 Server.

Criptografando arquivos e pastas

É possàvel criptografar arquivos individualmente, porém é recomendado que você utilize a criptografia sempre em pastas. Ao criptografar uma pasta, todos os novos arquivos que forem criados dentro da pasta jí serão automaticamente criptografados. Com isso você garante que todo o conteúdo da pasta esteja protegido.

Ao criptografar uma pasta e o seu conteúdo, somente o usuírio que criptografou a pasta, terí acesso aos seus arquivos. Outros usuírios poderão entrar na pasta e até mesmo verão uma listagem dos arquivos, porém ao tentar abrir um arquivo, receberão a mensagem indicada na Figura 4.

Figura 4

Nota: Para impedir que outros usuírios possam entrar em uma pasta que você criptografou e visualizar a listagem de arquivos, configure as permissões NTFS de tal maneira que somente você possa listar os arquivos desta pasta.

Exemplo 3: Para criptografar uma pasta e todo o seu conteúdo, siga os passos indicados a seguir:

1. Faça o logon com a sua conta de usuírio. Somente o usuírio logado terí acesso aos arquivos da pasta que forem criptografados enquanto você estava logado com a sua conta de usuírio.

2. Usando o Meu computador ou o Windows Explorer, localize a pasta a ser criptografada.

3. Clique com o botão direito do mouse na pasta a ser criptografada e, no menu de opções que é exibido, dê um clique na opção Propriedades. Serí aberta a janela de propriedades da pasta, com a guia Geral selecionada.

4. Dê um clique no botão Avançados... Serí aberta a janela Atributos avançados.

5. Para criptografar a pasta marque a opção Criptografar o conteúdo para proteger os dados, conforme indicado no exemplo da Figura 5.

Figura 5

6. Dê um clique no botão OK. Você estarí de volta à janela de propriedades da pasta.

7. Dê um clique no botão OK. Surge uma janela perguntando se você deseja criptografar somente a pasta em questão ou todas as suas subpastas e arquivos. Aplicar as alterações a esta pasta, subpastas e arquivos e dê um clique no botão OK.

8. O Windows 2000 Server inicia o processo de criptografia da pasta e de todo o seu conteúdo. Dependendo da quantidade de arquivos e subpastas, o processo de criptografia pode demorar alguns minutos. Durante este processo é exibida uma janela com o progresso da criptografia.

Pronto. A pasta estí criptografada e somente o usuírio que a criptografou terí acesso a pasta.

Algumas observações:

# As pastas e os arquivos compactados não podem ser, ao mesmo tempo, criptografados. Se você criptografar uma pasta ou um arquivo compactado, essa pasta ou esse arquivo serí descompactado.


# Os arquivos marcados com o atributo Sistema não podem ser criptografados, bem como os arquivos que se encontram na estrutura de diretórios raiz dos volumes (C:\, D:\ e assim por diante).


# Ao criptografar um único arquivo, você poderí optar se deseja criptografar a pasta que contém o arquivo. Se você escolher essa opção, todos os arquivos e subpastas que forem adicionados posteriormente à pasta serão criptografados quando forem adicionados.


# Ao criptografar uma pasta, você poderí optar se deseja que todos os arquivos e subpastas dentro da pasta também sejam criptografados. Se você escolher essa opção, todos os arquivos e subpastas atualmente na pasta serão criptografados, bem como quaisquer arquivos e subpastas que forem adicionados à pasta mais tarde. Se você optar por criptografar somente a pasta, todos os arquivos e subpastas que se encontram atualmente na pasta não serão criptografados. No entanto, quaisquer arquivos e subpastas que forem adicionados à pasta mais tarde serão criptografados quando forem adicionados. É aconselhível que você sempre opte por criptografar todo o conteúdo da pasta, conforme descrito no passo 7 do Exemplo anterior. Com isso você não terí que manter um controle sobre quais pastas e/ou arquivos estão criptografados e quais não estão.

Para criptografar um único arquivo, o processo é semelhante a criptografar uma pasta, conforme descrito nos passos a seguir:

1. Utilizando o Windows Explorer ou o Meu computador, localize o arquivo a ser criptografado.

2. Clique com o botão direito do mouse no arquivo a ser criptografado. No menu de opções que surge, dê um clique na opção Propriedades. Serí aberta a janela de propriedades do arquivo, com a guia Geral selecionada por padrão.

3. Dê um clique no botão Avançados.... Serí exibida a janela Atributos avançados.

4. Marque a opção Criptografar o conteúdo para proteger os dados e dê um clique no botão OK.

5. Serí aberta a janela Aviso de criptografia, perguntando se você deseja criptografar o arquivo e a pasta pai (pasta onde estí o arquivo) ou somente o arquivo, conforme indicado na Figura 6.

Figura 6

Nota: Se você não quiser mais receber este aviso e fazer com que o Windows 2000 Server faça sempre a criptografia somente do arquivo, marque a opção Sempre criptografar somente o arquivo.

6. Na janela Aviso de criptografia selecione a opção desejada e dê um clique no botão OK.

7. Você estarí de volta à janela de propriedades do arquivo.

8. Dê um clique no botão OK. O Windows criptografa o arquivo e, dependendo das opções que você selecionou, também a pasta onde estí o arquivo.

Nota: Você também pode criptografar arquivos e pastas que estão em pastas compartilhadas, em outros computadores da rede. Basta mapear uma unidade para a pasta compartilhada, onde estão os arquivos e pastas a ser criptografados e utilizar os procedimentos descritos neste tópico, para criptografí-los.

Operações com arquivos criptografados.

Ao copiar ou mover arquivos criptografados, diferentes situações podem ocorrer dependendo de a pasta de destino ser ou não criptografada e de estar ou não em um volume formatado com NTFS. A seguir descrevo algumas situações envolvendo ações de copiar e mover com arquivos criptografados.

# Ao copiar um arquivo não criptografado, para uma pasta criptografada, a cópia do arquivo serí criptografada na pasta de destino. Por exemplo, você copia o arquivo não criptografado memo.doc, da pasta Meus documentos para a pasta Documentos pessoais, a qual estí criptografada. O arquivo memo.doc copiado para a pasta Documentos pessoais serí criptografado.


# Ao copiar um arquivo criptografado, para um volume NTFS em outro computador com o Windows 2000, Windows XP Professional ou Windows Server 2003, o arquivo manterí a criptografia. Se o computador de destino estiver rodando o Windows NT ou o volume for formatado com FAT, a cópia do arquivo não serí criptografada.


# Se você mover um arquivo criptografado para outra pasta, no mesmo volume, o arquivo mantém a criptografia. Se você mover um arquivo criptografado para outro volume, o Windows 2000 Server considerarí esta operação como sendo uma cópia, onde o arquivo é excluàdo na pasta de origem e copiado para a pasta de destino. Neste caso, o arquivo segue as regras explicadas no primeiro item.


Não esqueça: Se você tentar mover um arquivo criptografado por outro usuírio, para um volume formatado com FAT, na tentativa de obter uma cópia não criptografada do arquivo, você receberí uma mensagem de Acesso negado, pois para descriptografar o arquivo (o que é necessírio para movê-lo para um volume FAT), você teria que ter acesso ao Certificado digital do usuírio que criptografou o arquivo, conforme descrito anteriormente.

# Se você renomear um arquivo criptografado, o arquivo continuarí criptografado.


# Ao excluir um arquivo, a cópia do arquivo que fica na Lixeira, continuarí criptografada.


# Se você fizer uma cópia de segurança de arquivos criptografados para uma fita de Backup ou para um outro volume NTFS, a cópia de segurança permanecerí criptografada.


# Se você quiser utilizar arquivos criptografados em outro computador, terí que importar o seu Certificado digital no computador de destino, conforme descrito anteriormente.

Descriptografando arquivos e pastas.

Enquanto um determinado arquivo estiver criptografado, o uso deste arquivo não muda para o usuírio, ou seja, quando o usuírio abre um arquivo criptografado, o Windows 2000 Server utiliza as informações do Certificado digital do usuírio para descriptografar o arquivo e fornecer os dados para o usuírio. Este processo é completamente transparente para o usuírio, conforme jí descrito anteriormente.

O usuírio pode descriptografar um arquivo e/ou pasta a qualquer momento que desejar. O usuírio pode utilizar este mecanismo em diversas situações, como por exemplo, para fornecer acesso ao arquivo para outros usuírios. Para descriptografar um arquivo ou pasta é extremamente simples, basta seguir os seguintes passos:

1. Localize o arquivo ou pasta a ser descriptografado e dê um clique com o botão direito do mouse nele.

2. No menu de opções que surge dê um clique em Propriedades. Serí exibida a janela de propriedades do arquivo/pasta.

3. Na guia General, da janela de Propriedades, dê um clique no botão Avançados...

4. Na janela Atributos avançados, desmarque a opção Criptografar o conteúdo para proteger os dados.

5. Dê um clique no botão OK.

6. Você estarí de volta à janela Propriedades. Dê um clique no botão OK.

7. Se você estiver descriptografando uma pasta, surge a mensagem indicada perguntando se você deseja descriptografar apenas a pasta ou todo o seu conteúdo. Selecione a opção desejada e dê um clique no botão OK.

8. A pasta serí descriptografada e também o seu conteúdo, dependendo das opções selecionadas. Se você optar por descriptografar somente a pasta, novos arquivos criados na pasta não serão criptografados, porém os arquivos jí existentes, manterão a criptografia.

Alterando a diretiva de recuperação do Computador local

É possàvel alterar as configurações do Agente de recuperação do seu computador ou no caso de trabalhar em um domànio, do domànio como um todo. Você pode adicionar novas contas, além da conta padrão Administrador, pode inclusive excluir todos os usuírios da lista de Agentes de recuperação, o que implicarí na desabilitação do sistema de criptografia, conforme serí detalhado mais adiante.

Exemplo 4: Para alterar a diretiva de recuperação do domànio, faça o seguinte:

1. Faça o logon com uma conta com permissões de Administrador.

2. Abra o console Diretiva de segurança de domànio: Iniciar -> Programas -> Ferramentas Administrativas -> Diretiva de segurança de domànio.

3. Dê um clique no sinal de + ao lado da opção Configurações de segurança. Nas opções que são exibidas, dê um clique no sinal de + ao lado da opção Diretivas de chave pública.

4. Nas opções que são exibidas dê um clique na opção Agentes de recuperação de dados criptografados. No painel da direita serí exibido o Certificado do Agente de recuperação, que por padrão é a conta Administrador.

5. Clique com o botão direito do mouse na opção Agentes de recuperação de dados criptografados e siga uma dos seguintes caminhos:

5.1. Para designar um usuírio como agente de recuperação adicional através do Assistente para adicionar agente de recuperação, clique na opção Adicionar...) e siga os passos do assistente.

5.2. Para solicitar um novo certificado de recuperação de arquivo através do Assistente para solicitação de certificados, clique em Novo -> Agente de recuperação criptografado.... Serí aberto o Assistente para adicionar agente de recuperação. Siga os passos do assistente.

5.3. Para excluir essa diretiva de EFS e todos os agentes de recuperação, clique em Todas as Tarefas -> Excluir diretiva. Se você selecionar essa opção, os usuírios não poderão mais usar criptografia nos computadores do domànio. O Windows 2000 Server não permite que você faça a criptografia de arquivos se não houver um Agente de recuperação configurado. Para voltar a habilitar a criptografia de arquivos, você deve seguir os passos descritos neste exemplo e adicionar um Agente de recuperação.

6. Após ter configurado as opções desejadas, feche o MMC. Surge uma janela perguntando se você deseja salvar o console. Clique em Não.

Algumas observações importantes:

# Antes de qualquer alteração na diretiva de recuperação, você deve fazer um backup das chaves de recuperação em um disquete, conforme descrito nos exemplos anteriores. Este procedimento garante que os arquivos poderão ser descriptografados caso haja algum problema com as configurações do Agente de recuperação.


# É necessírio fazer logon como administrador ou com uma conta com permissões de administrador para executar estas ações.


# Se a sua conta for configurado como Agente de recuperação, você poderí descriptografar arquivos criptografados por outros usuírios, simplesmente acessando as propriedades do arquivo, clicando no botão Avançado...s e desmarcando a opção Criptografar o conteúdo para proteger os dados. Para realizar tal operação, o Certificado digital correspondente a conta do Agente de recuperação deve estar instalado no computador onde a operação serí realizada. Para maiores detalhes sobre a Importação e Exportação de certificados, consulte a parte inicial deste tópico.

Recomendações sobre a criptografia de pastas e arquivos

Neste item coloco algumas recomendações sobre a criptografia de pastas e arquivos. Estas recomendações são baseadas na documentação oficial da Microsoft:

# Para obter o míximo de segurança, criptografe as pastas antes de criar arquivos importantes nelas. Isso faz com que os arquivos criados sejam automaticamente criptografados e seus dados nunca sejam gravados em disco como texto sem formatação.


# Se você salvar a maior parte dos seus documentos na pasta Meus documentos, criptografe-a. Isso assegura que seus documentos pessoais sejam criptografados por padrão. No caso de perfis de usuírios móveis, deve-se fazer isso apenas se a pasta Meus documentos for redirecionada para um local de rede.


# Criptografe pastas em vez de arquivos individuais para que, caso um programa crie arquivos temporírios durante a edição, eles também sejam criptografados.


# O agente de recuperação designado deverí exportar o certificado de recuperação de dados e a chave particular para um disco, guardí-los em um local seguro e excluir do sistema a chave particular de recuperação de dados. Dessa forma, a única pessoa que poderí recuperar dados do sistema serí aquela que possui acesso fàsico à chave particular de recuperação de dados. Estes procedimentos foram descritos no inàcio deste tópico.


# Deve-se manter o menor número possàvel de agentes de recuperação designados. Desse modo, menos chaves ficarão expostas ao ataque criptogrífico e haverí mais garantias de que os dados criptografados não sejam descriptografados inadequadamente.


O comando cipher

O comando cipher é utilizado para exibir ou altera a criptografia de pastas e arquivos em volumes formatados com NTFS. Quando utilizado sem parâmetros, cipher exibe o estado de criptografia da pasta atual e de quaisquer arquivos que ela contenha.

Sintaxe para o comando cipher, conforme documentação oficial da Microsoft:

cipher [{/e|/d}] [/s:dir] [/a] [/i] [/f] [/que] [/h] [/k] [/u[/n]] [nome_de_caminho [...]] | [/r:nome_de_caminho_sem_extensão] | [/w:nome_de_caminho]

Na tabela 1, apresento a descrição dos parâmetros do comando cipher.

Tabela

Nota: O comando cipher não criptografa arquivos que estejam marcados como somente leitura.

Eis alguns exemplos do comando cipher:

1. Para usar o comando cipher para criptografar uma subpasta denominada Memorandos em uma pasta denominada Documentos, utilize o seguinte comando:

cipher /e Documentos\Memorandos

2. Para criptografar a pasta Documentos, e todas as sua subpastas, digite o seguinte comando:

cipher /e /socumentos

3. Para criptografar apenas o arquivo finanças.xls na subpasta Planilhas, da pasta Documentos, utilize o seguinte comando:

cipher /e /a Documentos\Planilhas\finanças.xls

4. Para criptografar todos os arquivos .xls da subpasta Planilhas, da pasta Documentos, digite o seguinte comando:

cipher /e /a Documentos\Planilhas\*.xls

5. Para determinar se a pasta Documentos estí criptografada, utilize o seguinte comando:

cipher Documentos

Para determinar os arquivos na pasta Documentos que estão criptografados, utilize o seguinte comando:

cipher Documentos\*

Conclusão

Neste tutorial você aprendeu sobre o recurso de criptografia de pastas e arquivos no Windows 2000 (Professional ou Server). Você aprendeu sobre o uso de certificados e a sua relação com o recurso de criptografia. Falei sobre o conceito de Agente de Recuperação e sobre como fazer um backup do certificado da conta configurada como agente de recuperação. Também mostrei como executar as operações príticas, relacionadas com criptografia, tais como criptografar e descriptografar arquivos e pastas.

Creditos: BAD and Killz0ne?

Flw.