Recuperao e proteo de dados no Windows XP

Por David Cross Microsoft Corporation Publicado em: setembro de 2001 Resumo O Microsoft Windows XP oferece vrios aprimoramentos na rea de proteo de dados, especialmente no sistema de arquivos com criptografia (EFS). Este artigo fornece um passo a passo tcnico que ilustra como usar recursos importantes de recuperao e proteo de dados no Windows XP. Tambm esto includas as prticas recomendadas e as etapas necessrias para criar uma estratgia de recuperao e proteo eficiente. Agradecimentos Robert Gu, engenheiro de design de software da Microsoft Corporation Michael Kessler, editor tcnico da Microsoft Corporation Introduo O Microsoft Windows XP oferece avanos significativos na recuperao e na proteo de dados e na recuperao de chave particular. O Microsoft Windows 2000 apresentou a capacidade de recuperao de dados com a implementao do sistema de arquivos com criptografia (EFS) e essa capacidade foi aperfeioada no Windows XP. No Windows 2000 e no Windows XP, o EFS d suporte ao uso de agentes de recuperao de dados (DRA) para a descriptografia de arquivos que tenham sido criptografados por outros usurios. Este artigo destina-se a auxiliar arquitetos e administradores de sistemas a desenvolverem prticas recomendadas para criao de estratgias de recuperao e de proteo de dados usando o Windows XP. Alm de explicar essas estratgias no Windows XP, este artigo inclui vrios exemplos que ilustram passo a passo como configurar os recursos de recuperao e de proteo

de dados que voc deseja usar ao implantar uma soluo de recuperao e de proteo de dados no Windows XP. Observao O EFS s est disponvel no Windows XP Professional. No h suporte para esse recurso no Windows XP Home Edition. Aprimoramentos do EFS no Windows XP O aumento da funcionalidade do EFS aprimorou significativamente a capacidade do cliente Windows XP Professional, que agora fornece mais flexibilidade para usurios corporativos durante a implantao de solues de segurana baseadas em arquivos e pastas criptografados. Esses novos recursos incluem: Suporte total verificao de revogao de certificados usados pelo sistema Suporte cor alternativa (verde) em arquivos criptografados Suporte a pastas off-line criptografadas Suporte a vrios usurios em arquivos criptografados na interface do usurio (UI) do shell. Suporte ao provedor de servios de criptografia (CSP) aperfeioado pela Microsoft. Suporte adicional para algoritmos simtricos compatveis com FIPS 140-1 Nvel 1 (3DES [padro de criptografia de dados]) Criptografia ponto a ponto usando EFS por WebDAV Flexibilidade aprimorada da diretiva de recuperao Recursos de segurana adicionais para a proteo de dados EFS Observao Esses novos recursos do EFS s esto disponveis no cliente Windows XP Professional. Leia o artigo What's New in Security for Windows XP (site em ingls) para aprender mais sobre os aprimoramentos do EFS no Windows XP. Viso geral da recuperao de dados A recuperao de dados um processo pelo qual elementos de dados individuais, como arquivos ou pastas, so criptografados por mais de uma pessoa ou entidade depositria. Uma entidade depositria pode ser um administrador designado em uma

organizao para ter uma funo de recuperao de dados. Os dados podem ser recuperados por terceiros em forma de texto limpo. A recuperao de dados no implica necessariamente que tenha havido recuperao de chave particular. No entanto, a recuperao de chave pode ser um mtodo de obteno da recuperao de dados. possvel conseguir a recuperao de dados sem a recuperao de chave particular no sistema operacional Windows XP baseado em blocos de dados criptografados simetricamente. As extenses multipropsito do Internet Mail protegidas (S/MIME) e o EFS usam blocos de dados criptografados simetricamente, com a chave simtrica protegida por uma ou mais chaves pblicas de um par de chaves pblica/particular. Neste cenrio, a chave simtrica pode ser protegida (criptografada) com mais de um usurio e, assim, com mais de uma chave pblica. A recuperao de dados pode ocorrer atravs de um segundo usurio, que descriptografa os dados. No caso do EFS, os arquivos podem ser abertos e os dados recuperados atravs do uso de um agente de recuperao de dados (DRA), como mostrado na figura 1 a seguir.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 1 Recuperando dados No Windows 2000, um DRA obrigatrio e, por padro, o administrador de um domnio do Windows 2000. O Windows XP elimina essa limitao. A recuperao de dados gerenciada com mais eficincia atravs do Active Directory e de uma autoridade de certificao corporativa da Microsoft. Usando a diretiva de grupo, o Active Directory oferece um mecanismo para a configurao centralizada de um ou mais agentes de recuperao de dados. Esses DRAs podem recuperar arquivos de usurios, se a recuperao de dados for necessria. Recuperao de dados e EFS

Por meio da aplicao de um requisito de diretiva de recuperao, o EFS fornece recuperao de dados incorporada. O requisito que haja uma diretiva de recuperao antes que os usurios criptografem arquivos. A diretiva de recuperao um tipo de diretiva pblica que permite que uma ou mais contas de usurio sejam designadas como um DRA. Uma diretiva de recuperao padro estabelecida automaticamente quando o administrador efetua logon no sistema pela primeira vez, tornando esse administrador o agente de recuperao. A diretiva de recuperao padro configurada localmente para computadores autnomos. Para computadores que fazem parte de um domnio baseado no Active Directory, a diretiva de recuperao configurada no nvel do domnio, da unidade organizacional (OU) ou do computador individual e se aplica a todos os computadores com Windows 2000 e Windows XP dentro do escopo de influncia definido. Os certificados de recuperao so emitidos por uma autoridade de certificao (CA) e gerenciados por meio do snap-in Certificados do Microsoft Management Console (MMC). Em um ambiente de rede, o administrador do domnio controla o modo como o EFS implementado na diretiva de segurana de todos os usurios e computadores no escopo de influncia. Em uma instalao padro do Windows 2000 ou do Windows XP, quando o controlador de domnio primrio configurado, o administrador do domnio o agente de recuperao especificado para o domnio. A maneira como o administrador do domnio configura a diretiva de recuperao determina como o EFS implementado para usurios em suas mquinas locais. Para alterar a diretiva de recuperao do domnio, o administrador efetua logon no controlador de domnio primrio. Os administradores podem definir um destes trs tipos de diretivas: Diretiva de agente de recuperao. Quando um administrador adiciona um ou mais agentes de recuperao, uma diretiva de agente de recuperao est em vigor. Esse tipo de agente responsvel pela recuperao de dados criptografados dentro de seu escopo de administrao. Esse o tipo mais comum de diretiva de recuperao. Diretiva de recuperao vazia. Quando um administrador exclui todos os agentes e seus certificados pblicos, uma diretiva de recuperao vazia est em vigor. Uma diretiva de recuperao vazia significa que no h um agente de recuperao e, se o

sistema operacional cliente for o Windows 2000, o EFS tambm ser desativado. Somente o cliente Windows XP d suporte ao EFS com uma diretiva de DRA vazia. Diretiva de no-recuperao. Quando um administrador exclui as chaves particulares associadas a uma determinada diretiva de recuperao, uma diretiva de no-recuperao est em vigor. Como nenhuma chave particular est disponvel, no h como usar um agente de recuperao e a recuperao no possvel. Isso til para organizaes com um ambiente misto de clientes Windows 2000 e Windows XP em que nenhuma recuperao de dados desejada. Apesar do administrador do domnio ser o DRA padro no ambiente do Active Directory, essa capacidade pode ser delegada ou atribuda a um ou mais usurios. Isso ser discutido com mais detalhes posteriormente neste artigo. Recuperao de dados em mquinas autnomas O Windows XP no cria mais um DRA padro em mquinas recm-instaladas em um grupo de trabalho (autnomas). Isso impede com eficincia os ataques off-line anteriores contra a conta do administrador. Portanto, necessrio que um usurio crie e instale um DRA manualmente. Para isso, preciso usar o utilitrio cipher.exe. CIPHER /R:nome_do_arquivo /R Gera um arquivo PFX e um CER com um certificado de recuperao EFS auto-assinado neles. nome_do_arquivo Um nome de arquivo sem extenses. Esse comando gerar nome_do_arquivo.PFX (para recuperao de dados) e nome_do_arquivo.CER (para uso na diretiva). O certificado ser gerado na memria e excludo quando os arquivos forem gerados. Assim que as chaves forem geradas, o certificado dever ser importado para a diretiva local e a chave particular dever ser armazenada em um local seguro. Recuperao de dados com o EFS

Esta seo aborda e ilustra as etapas necessrias para a utilizao do compartilhamento de arquivos do EFS. Compartilhamento de arquivos do EFS No Windows 2000 ou no Windows XP, no h suporte para o uso de grupos em arquivos criptografados. Alm disso, eles tambm no do suporte para vrios usurios em pastas. No entanto, no Windows XP, o EFS d suporte para o compartilhamento de arquivos entre vrios usurios em um nico arquivo. O uso do compartilhamento de arquivos do EFS no Windows XP oferece outra oportunidade para a recuperao de dados ao incluir usurios adicionais em um arquivo criptografado. Apesar de no ser possvel garantir a utilizao de usurios adicionais atravs da diretiva e de outros meios, esse um mtodo til e fcil de permitir a recuperao de dados criptografados por vrios usurios, sem efetivamente usar grupos e sem compartilhar chaves particulares entre usurios. Assim que um arquivo for criptografado inicialmente, o compartilhamento de arquivos ser ativado atravs de um novo boto na interface do usurio. Antes de adicionar mais usurios, preciso que um arquivo seja criptografado e salvo. Aps a seleo das Propriedades Avanadas de um arquivo criptografado, um usurio poder ser adicionado por meio do boto Detalhes. Usurios individuais podem adicionar outros usurios (no grupos) a partir da mquina local ou do Active Directory, desde que tenham um certificado vlido para o EFS. Ativando o compartilhamento de arquivos do EFS H suporte ao compartilhamento de arquivos criptografados com o EFS desde o Windows 2000 atravs de interfaces de programao de aplicativos (API) Win32, mas o EFS s foi exposto interface de usurio do Windows Explorer aps o desenvolvimento do cliente Windows XP Professional. Para criptografar um arquivo para vrios usurios 1. Abra o Windows Explorer e selecione o arquivo a ser criptografado. 2. Clique com o boto direito do mouse e selecione Propriedades no menu de contexto.

3. Selecione o boto Avanado para ativar o EFS. 4. Para criptografar o arquivo, marque a caixa de seleo Criptografar o contedo para proteger os dados, como mostrado na figura 2 abaixo. Clique em OK.

Figura 2 Criptografando o contedo para proteger dados Observao No possvel compactar e criptografar um arquivo, pois esses atributos so mutuamente exclusivos. Se essa for a primeira vez que o arquivo ou a pasta criptografada, ser exibida uma caixa de dilogo perguntando se voc deseja criptografar somente o arquivo ou a pasta. 5. Selecione a opo apropriada e clique em OK. Isso far com que voc retorne caixa de dilogo original. Observao O arquivo s ser criptografado depois que voc clicar em OK. Alm disso, os usurios adicionais s podero ser includos depois que o arquivo for criptografado pelo primeiro usurio. 6. Clique em OK para criptografar o arquivo. 7. Abra as propriedades do arquivo novamente por meio do boto Propriedades avanadas e selecione o boto Detalhes para adicionar novos usurios. Assim que a caixa de dilogo Detalhes for aberta, a opo para adio de usurios ser exibida. Observao H informaes adicionais na caixa de dilogo Detalhes de Criptografia que podem ser teis para soluo de problemas. Para adicionar usurios 1. Clique no boto Adicionar, como mostrado na figura 3.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 3 Adicionando usurios Ser exibida uma nova caixa de dilogo com os usurios e certificados existentes que esto em cache no armazenamento de certificados "Outras pessoas" da mquina local. Isso tambm permitir que os novos usurios sejam adicionados a partir do Active Directory por meio do boto Localizar usurio. Observao Para que um usurio seja adicionado, necessrio que ele tenha um certificado EFS vlido no Active Directory. 2. Clique no boto Localizar usurio para localizar novos usurios, como mostrado na figura 4.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 4 Localizando novos usurios a partir do Active Directory A caixa de dilogo seletora de objetos padro ser exibida e uma pesquisa ser realizada. Uma caixa de dilogo exibir usurios que tenham certificados EFS vlidos no Active Directory, de acordo com seus critrios de pesquisa. Se no for encontrado um certificado vlido para o usurio indicado, ser exibida a caixa de dilogo mostrada da figura 5.

Figura 5 Resultados da pesquisa de localizao de usurios

Se houver certificados vlidos no atributo userCertificate do objeto de usurio no diretrio, eles sero exibidos na caixa de dilogo de seleo de certificado mostrada na figura 6.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 6 Lista de certificados de usurios Importante Agora, o Windows XP realiza a verificao de revogao em todos os certificados de outros usurios quando eles so adicionados a um arquivo criptografado. Por motivos de desempenho, no ser verificada a revogao dos usurios que tiverem uma chave particular. No entanto, os certificados que no contiverem uma extenso CDP (ponto de distribuio da lista de revogao de certificados), como os de CAs de terceiros, no sero validados em relao ao status de revogao. Se a verificao do status de revogao em um certificado falhar, sero exibidas as mensagens mostradas na figura 7 e o certificado no ser usado.

ou

Figura 7 Falha na verificao do status de revogao do certificado Se o status de revogao e a criao do encadeamento forem concludos com xito, o usurio ser adicionado caixa de dilogo e o arquivo ser atualizado, como mostrado na figura 8. 3. Clique em OK para registrar a alterao e continuar.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada.

Figura 8 Adicionando um novo usurio corretamente Observao Qualquer usurio que possa descriptografar um arquivo tambm poder remover outros usurios, desde que tambm tenha permisso de gravao. Observao O EFS tem um limite de 256K no cabealho do arquivo para os metadados do EFS. Isso limita o nmero de entradas individuais para compartilhamento de arquivos que podem ser adicionadas. Na mdia, possvel adicionar um mximo de 800 usurios individuais a um arquivo criptografado. Para exibir o certificado a fim de obter informaes Voc pode selecionar e exibir um certificado de usurio para obter informaes e tomar sua deciso administrativa. Para exibir um certificado, como mostrado na figura 6 acima, siga estas etapas: 1. Realce o certificado na caixa de dilogo e clique no boto Exibir certificado. 2. Aps concluir, clique em OK para fechar essa caixa de dilogo. Voc retornar caixa de dilogo anterior, onde poder escolher o usurio apropriado a ser adicionado ao arquivo criptografado. 3. Realce o certificado do usurio selecionado a ser usado e clique em OK. Copiando, movendo e salvando arquivos criptografados Devido natureza nica dos arquivos criptografados, poder haver diferentes resultados quando voc mover ou copiar esses arquivos para outros locais. Por exemplo, ao copiar um arquivo criptografado de uma mquina local para um servidor da rede, ocorrero resultados diferentes, de acordo com o sistema operacional usado no servidor. Em geral, a cpia de um arquivo herdar as propriedades EFS do destino, o que no acontecer com uma operao de movimentao. Ao copiar um arquivo criptografado: Se o servidor de destino estiver executando o Microsoft Windows NT Server 4.0, o arquivo ser descriptografado silenciosamente e copiado para o servidor. Se o servidor de destino estiver executando o Windows 2000 e a conta do computador do servidor for confivel para delegao no Active Directory, o

arquivo ser descriptografado silenciosamente e copiado para o servidor, onde ser recriptografado com um perfil e uma chave de criptografia locais. Se o servidor de destino estiver executando o Windows 2000 e a conta do computador servidor no for confivel para delegao no Active Directory, ou se o servidor estiver em um grupo de trabalho ou em um domnio do Windows NT 4.0, o arquivo no ser copiado e o usurio receber uma mensagem de erro de "acesso negado". A mensagem de erro de "acesso negado" retornada a aplicativos do arquivo NTFS para garantir a compatibilidade com aplicativos existentes. O uso de uma mensagem de erro alternativa ou mais detalhada poderia fazer com que vrios aplicativos falhassem ou se comportassem de maneira imprevisvel. O cliente Windows XP Professional contm alguns aperfeioamentos em relao cpia de arquivos criptografados. Agora, a interface do shell e a linha de comando do suporte a uma opo para permitir ou no a descriptografia de arquivos. Quando um arquivo criptografado for copiado para um local de destino que no permita criptografia remota, o usurio receber um prompt com uma caixa de dilogo e poder escolher se deseja ou no descriptografar o arquivo. As ferramentas de linha de comando XCOPY e COPY permitem o mesmo comportamento atravs de uma opo de parmetro especial para permitir a descriptografia na operao de cpia. C:\>copy /? (Copia um ou mais arquivos para outro local.) COPY [/D] [/V] [/N] [/Y | /-Y] [/Z] [/A | /B ] origem [/A | /B] [+ origem [/A | /B] [+ ...]] [destino [/A | /B]] origem (Especifica os arquivos a serem copiados.) /D (Permite que o arquivo de destino seja criado sem criptografia.) Observao Isso permitir que um arquivo seja criado em texto sem formatao no local de destino/servidor se o servidor de destino no der suporte criptografia remota.

C:\>xcopy /? (Copia arquivos e rvores de pastas.) XCOPY origem [destino] [/A | /M] [/D[:data]] [/P] [/S [/E]] [/V] [/W] [/C] [/I] [/Q] [/F] [/L] [/G] [/H] [/R] [/T] [/U] [/K] [/N] [/O] [/X] [/Y] [/-Y] [/Z] [/EXCLUDE:arquivo1[+arquivo2][+ arquivo3]...] origem (Especifica os arquivos a serem copiados.) destino (Especifica o local e/ou o nome dos novos arquivos.) /G (Permite a cpia de arquivos criptografados para um destino que no d suporte a criptografia.) Salvando arquivos com compartilhamento de arquivos do EFS Quando um arquivo for criptografado por vrios usurios, um aplicativo precisar chamar uma API especfica para garantir que os dados da criptografia (certificados) dos usurios adicionais no se percam quando o arquivo for aberto, modificado e salvo em seu formato de arquivo nativo. Os documentos nativos abertos com o Microsoft Office XP mantero o status de vrios usurios do EFS, enquanto outros aplicativos podero remover os usurios adicionais que foram includos no arquivo. Arquivos e pastas do sistema O sistema operacional tambm impede a criptografia de pastas, arquivos e locais do sistema no caminho %SYSTEMROOT%\... Quando um usurio tentar criptografar um arquivo de sistema ou copiar um arquivo criptografado para o caminho do sistema, receber uma mensagem de "acesso negado". Armazenando certificados em cache Depois que um certificado usa o EFS, ele armazenado em cache na mquina local. Isso elimina a necessidade de procurar usurios no Active Directory sempre que um novo usurio adicionado a um arquivo criptografado. Os certificados que fazem parte de uma cadeia de certificados e os certificados auto-assinados podem ser usados e armazenados em cache. Quando um certificado de usurio que faz parte de uma cadeia de certificados for adicionado a um arquivo criptografado, ele ser colocado em

cache no armazenamento de certificados "Outras pessoas" do usurio atual, como mostra a figura 9.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 9 Cache do certificado de usurio no armazenamento de certificados "Outras pessoas". Os certificados de outras pessoas que so auto-assinados, como os gerados automaticamente pelo EFS quando no h uma autoridade de certificao disponvel, so colocados em cache no armazenamento de certificados "Pessoas confiveis" do usurio atual, como mostra a figura 10.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 10 Cache do certificado de usurio no armazenamento de certificados "Pessoas confiveis". Quando um certificado adicionado ao armazenamento "Pessoas confiveis", o usurio avisado de que o certificado ser confiado explicitamente e solicitado a verificar a ao. Depois que o certificado for adicionado ao armazenamento "Pessoas confiveis", no ser realizada qualquer verificao de status do certificado, exceto a validao de hora. O cliente Microsoft Outlook 2002 tambm pode usar o armazenamento CryptoAPI de "Pessoas confiveis" para armazenar decises de confiana de certificados individuais. Observao Os usurios que tiverem uma chave particular na mquina local tambm sero adicionados ao armazenamento "Pessoas confiveis", alm de serem adicionados ao armazenamento "Outras pessoas". Isso aumenta o desempenho de criptografia local na mquina. Procedimentos de diretiva de recuperao do EFS

Alguns dos procedimentos mais comuns em relao ao EFS e recuperao de dados esto descritos nas sees seguintes. Revogando uma diretiva de recuperao existente possvel que uma organizao implemente uma diretiva de recuperao de dados inicialmente e, mais tarde, decida remov-la ou elimin-la. Quando uma diretiva de recuperao for removida de um domnio, nenhum arquivo novo poder ser criptografado depois que a diretiva de grupo das mquinas for atualizada. Os usurios ainda podero abrir arquivos criptografados existentes, mas no podero atualiz-los ou recriptograf-los. Os arquivos criptografados existentes s sero descriptografados quando forem acessados e atualizados por um usurio que tenha uma chave particular para isso. Determinando se o EFS est sendo usado em uma mquina Algumas organizaes podem achar til verificar se os usurios esto utilizando o EFS nas mquinas do domnio. Apesar de no haver como determinar se o EFS est sendo usado no momento, diversas chaves do Registro podem ser examinadas para que seja possvel determinar se o EFS tem sido utilizado pelo usurio da mquina. Se a mquina usar o Windows 2000, a seguinte chave do Registro poder ser examinada para se determinar se o hash de certificado existe: 1. HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys\CertificateHash Se a mquina usar o Windows XP, as seguintes chaves do Registro podero ser examinadas: 2. HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys\CertificateHash 3. HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys\Flag Alterando a diretiva de recuperao de um domnio 1. Abra o snap-in MMC Usurios e Computadores do Active Directory.

2. Clique no domnio cuja diretiva de recuperao voc deseja alterar e, em seguida, clique em Propriedades. 3. Clique com o boto direito do mouse na diretiva de recuperao a ser alterada e, em seguida, clique em Editar. 4. Na rvore do console, clique em Agentes de Recuperao de Dados Criptografados. Clique at o seguinte caminho: o o o o Configurao do computador Configuraes do Windows Diretivas de Chave Pblica Agentes de Recuperao de Dados Criptografados

5. Clique com o boto direito do mouse no painel de detalhes e, em seguida, clique na ao apropriada. Importante Antes de alterar a diretiva de recuperao, faa backup das chaves de recuperao em um disquete. Observao Voc precisa ter efetuado logon como administrador do domnio ou como um usurio com direitos de atualizao de diretivas de grupo no domnio ou na OU selecionada. Se o seu computador estiver conectado a uma rede, as configuraes de diretivas de rede tambm podero impedi-lo de concluir esse procedimento. Desativando o EFS Agora, voc poder desativar o EFS se estiver usando o Windows XP e desejar impedir que determinados grupos ou usurios de um domnio ou de uma OU especfica no Active Directory criptografem dados. Em um ambiente de domnio, o EFS pode ser desativado por meio da diretiva de grupo. Para definir a diretiva de grupo 1. Clique at o seguinte caminho: o o o o o Configurao do computador Configuraes do Windows Configuraes de segurana Diretivas de Chave Pblica Sistema de Arquivos com Criptografia

2. Selecione Propriedades 3. Desmarque a caixa de seleo para desativar o EFS, como mostrado na figura 11.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 11 Desativando o EFS por meio da diretiva de grupo A diretiva de grupo define uma chave do Registro que verificada pelo EFS durante as operaes do usurio. A chave : HKLM\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration No caso de mquinas locais que no so membros de um domnio, a diretiva local no est disponvel para a desativao do EFS. Entretanto, possvel definir outra chave do Registro para desativar o EFS. Se a chave for definida como um valor DWORD igual a 0x01, o EFS ser desativado. Chave do Registro: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration Executando a recuperao de dados A recuperao de dados executada da mesma maneira que a criptografia de dados. A nica diferena que a recuperao de dados implica que os arquivos sejam descriptografados por uma pessoa que no seja o usurio original. Como todos os arquivos tm pelo menos um usurio e um DRA que podem descriptografar um arquivo, no necessrio um processo especial para recuperar um arquivo que tenha sido criptografado por outro usurio. Para recuperar um arquivo de um usurio que saiu da organizao, perdeu as chaves particulares, corrompeu chaves particulares etc., o DRA s precisa selecionar os arquivos em questo e abri-los normalmente como o usurio original. Depois de

abertos, os arquivos estaro em formato limpo e podero ser salvos em formato nocriptografado. Observao O DRA precisa ter a chave particular do certificado de DRA para executar a recuperao localmente. Um DRA tambm pode remover a criptografia sem precisar abrir os arquivos primeiro. Para isso, ele seleciona os arquivos e as propriedades dos arquivos, escolhe o boto Avanado e desmarca a caixa de seleo Criptografar o contedo para proteger os dados. Depois que ele clicar em OK e fechar as propriedades do arquivo, o arquivo ser descriptografado (supondo-se que o usurio que efetuou logon o DRA e tem a chave particular de DRA carregada em seu perfil no momento). Esses mtodos esto disponveis no Windows 2000 e no Windows XP. Importando e exportando chaves de agente de recuperao de dados As etapas e ilustraes a seguir descrevem os processos de importao e exportao de chaves de DRA. Exportando chaves Siga estas etapas para exportar o certificado e a chave particular do DRA do domnio padro: 1. Efetue logon no domnio com a conta de administrador no primeiro controlador do domnio. 2. Selecione Executar no menu Iniciar. 3. Digite mmc.exe e pressione Enter. Um shell MMC vazio ser inicializado. 4. Selecione o menu Console e, em seguida, selecione Adicionar/Remover Snap-In. Ser exibida uma caixa de dilogo com uma lista de todos os snapins que foram adicionados a esse shell MMC. 5. Clique no boto Adicionar. Ser exibida uma lista de todos os snap-ins registrados na mquina atual. 6. Clique duas vezes no snap-in Certificados. Escolha Minha Conta de Usurio e clique no boto Concluir. 7. Clique no boto Fechar na caixa de dilogo Adicionar snap-in autnomo e, em seguida, clique em OK na caixa de dilogo Adicionar/Remover Snap-In.

Agora, o MMC contm o armazenamento de certificados pessoais do administrador. 8. Expanda o modo de exibio de rvore do armazenamento de certificados. Clique em Certificados, Usurio Atual, Pessoal e em Certificados, como mostra a figura 12. Quando voc clica na pasta Certificados da esquerda, o painel da direita exibe uma lista de certificados da conta de administrador. Por padro, provvel que dois certificados estejam no armazenamento.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 12 Trabalhando com o certificado de recuperao de arquivos 9. Clique com o boto direito do mouse no certificado destinado recuperao de arquivos. Esse certificado de DRA de domnio padro deve ter uma vida til de 99 anos. 10. Aps clicar no certificado de recuperao de arquivos, escolha Todas as Tarefas e, em seguida, escolha Exportar no menu de contexto. Um assistente o guiar pelo processo de exportao. Importante importante que voc escolha a chave correta durante o processo de exportao, pois, assim que a exportao for concluda, a chave particular e o certificado originais sero excludos da mquina. Se no for possvel restaurlos na mquina, a recuperao de arquivos no ser possvel com esse certificado de DRA. 11. Escolha Sim, exportar a chave particular, como mostra a figura 13, e clique em Avanar.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 13 Exportando a chave particular

Importante importante verificar se o boto de opo "Sim, exportar a chave particular" foi selecionado no assistente para garantir que a chave particular seja removida do sistema quando a exportao for concluda. Ao se exportar uma chave particular, o formato de arquivo *.PFX usado. Ele se baseia no padro PKCS nmero 12, que usado na especificao de um formato porttil de armazenamento ou de transporte das chaves, dos certificados, de segredos diversos e de outros itens de um usurio. Para obter informaes adicionais, consulte o padro PKCS nmero 12 listado na seo Links Relacionados deste artigo. Como prtica recomendada, a chave particular dever ser excluda do sistema quando uma exportao bem-sucedida for concluda. A proteo forte de chave particular tambm dever ser usada como um nvel extra de segurana da chave particular. Marque as caixas de seleo apropriadas, como mostra a figura 14, e clique em Avanar.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 14 Escolhendo um formato de arquivo O formato de arquivo *.PFX (PKCS nmero 12) permite o uso de uma senha para a proteo da chave particular armazenada nele. Escolha uma senha forte e clique em Avanar. A ltima etapa salvar o prprio arquivo *.PFX. O certificado e a chave particular podem ser exportados para qualquer dispositivo gravvel, inclusive uma unidade de rede ou um disquete. Aps digitar ou procurar um nome de arquivo e um caminho, clique em Avanar. Assim que o arquivo *.PFX e a chave particular tiverem sido exportados, o arquivo dever ser protegido em mdia estvel em um local seguro, de acordo com as diretrizes e as prticas recomendadas de segurana da organizao. Por exemplo, uma organizao pode manter o arquivo *.PFX em um ou mais CD-ROMs que sejam armazenados em um cofre que tenha controles de acesso fsico restritos. Se o arquivo

e a chave particular associada forem perdidos, ser impossvel descriptografar quaisquer arquivos existentes que tenham usado esse certificado de DRA especfico como agente de recuperao de dados. Importando chaves A importao de chaves uma etapa muito mais simples do que a exportao. Para importar uma chave armazenada como um arquivo formatado como PKCS nmero 12 (arquivo *.PFX), clique duas vezes no arquivo para inicializar o Assistente para importao de certificados. Caso contrrio, siga estas etapas: 1. Efetue logon na estao de trabalho com uma conta vlida. 2. Selecione Executar no menu Iniciar. 3. Digite mmc.exe e pressione Enter. Um shell MMC vazio ser inicializado. 4. Selecione o menu Console e, em seguida, selecione Adicionar/Remover Snap-In. Ser exibida uma caixa de dilogo com uma lista de todos os snapins que foram adicionados a esse shell MMC. 5. Clique no boto Adicionar. Ser exibida uma lista de todos os snap-ins registrados na mquina atual. 6. Clique duas vezes no snap-in Certificados. Escolha Minha Conta de Usurio e clique no boto Concluir. 7. Clique no boto Fechar na caixa de dilogo Adicionar Snap-in Autnomo e, em seguida, clique em OK na caixa de dilogo Adicionar/Remover Snap-In. Agora, o MMC contm o armazenamento de certificados pessoais do administrador. 8. Expanda o modo de exibio de rvore do armazenamento de certificados. Clique em Certificados, Usurio Atual, Pessoal e em Certificados. Clique com o boto direito do mouse na pasta e escolha Todas as Tarefas e, em seguida, Importar. O Assistente para importao de certificados ser inicializado. 9. Clique em Avanar. O assistente solicitar um arquivo e um caminho para o arquivo, como mostra a figura 15.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada.

Figura 15 Solicitando o arquivo e o caminho 10. Digite a senha do arquivo que est sendo importado, se for um arquivo PKCS nmero 12. Observao sempre uma prtica recomendada armazenar chaves particulares protegidas por uma senha forte. 11. Se desejar exportar a chave novamente mais tarde a partir da mquina atual, importante marcar a caixa de seleo Marcar esta chave como exportvel. Clique em Avanar. 12. O assistente poder solicitar que voc indique para qual armazenamento o certificado e a chave particular devem ser importados. Para garantir que a chave particular seja importada para o armazenamento pessoal, no use o boto de opo automtico. Escolha Colocar todos os certificados no armazenamento a seguir e clique em Avanar. 13. Realce o armazenamento Pessoal e clique em OK. 14. Clique em Avanar, como mostra a figura 16.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 16 Confirmando o local do armazenamento de certificados 15. Clique em Concluir para completar a importao. Importante Use sempre uma conta baseada no domnio no uma conta local da estao de trabalho em associao a um DRA. As contas locais da estao de trabalho podem ser suscetveis a ataques off-line fsicos. Ativando Criptografar/Descriptografar no menu do Windows Explorer Algumas organizaes podem achar mais fcil ativar o EFS colocando "Criptografar" e "Descriptografar" no menu de contexto do Microsoft Windows Explorer quando um arquivo clicado com o boto direito do mouse. Para ativar esse recurso no Windows 2000 ou no Windows XP, no seguinte caminho de seo do Registro, crie um valor DWORD:

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \Advanced Nome do DWORD: EncryptionContextMenu Valor: 1 Observao Esse valor do Registro precisa ser criado e no existe por padro. Prticas recomendadas para recuperao de dados Em geral, a prtica recomendada a ser seguida para organizaes com relao recuperao de dados implantar uma infra-estrutura de chave pblica (PKI) para emitir certificados para usurios e agentes de recuperao de dados que sejam emitidos por uma autoridade de certificao. A Autoridade de Certificao Corporativa da Microsoft permite que os usurios obtenham automaticamente os certificados para uso do EFS. Outras prticas recomendadas incluem: Usar um certificado gerado por uma autoridade de certificao para DRAs. Os certificados emitidos por CAs no so auto-assinados e podem ser gerenciados com mais facilidade em termos de revogao, renovao e expirao. Usar mais de um DRA por domnio e armazenar as chaves particulares reais para os DRAs em mdia (disquete, CD-ROM etc.) que possa ser protegida e recuperada somente quando as diretivas e as prticas de segurana apropriadas forem seguidas. Os DRAs podem ser definidos no site, no domnio ou na OU como qualquer outra diretiva de grupo e podem ser combinados como uma diretiva agregada baseada no Active Directory da organizao. Disponibilizar localmente os DRAs para recuperar dados dos usurios. Devido natureza dos perfis de usurios e do armazenamento de chaves particulares em perfis, talvez seja necessrio que um DRA efetue logon localmente na mquina de um usurio, importe as chaves particulares do DRA e recupere arquivos para um usurio. Esse mtodo o mais til para organizaes que tenham vrios DRAs distribudos pela empresa. Estao de trabalho de recuperao central

Outro mtodo de recuperao de dados usar uma estao de trabalho de recuperao de dados central na empresa. Para isso, use um utilitrio de backup, como o ntbackup.exe, para executar um backup bruto dos arquivos criptografados e restaurar esses arquivos em uma mquina de recuperao central. As chaves particulares do DRA podem ser armazenadas na mquina de recuperao ou importadas, se necessrio. Esse mtodo valioso para organizaes que mantenham um nico DRA central para recuperao. EFS e autoridades de certificao Atravs de uma CA corporativa do Windows XP, os usurios podem obter um certificado que pode ser empregado pelo EFS. Para isso, eles devem usar um destes trs mtodos: Uso do registro automtico de certificado de usurio Registro por demanda usando uma CA corporativa e modelos de certificados configurados adequadamente. Registro manual pelo usurio final

O uso de uma CA corporativa garantir que os usurios obtenham facilmente os certificados para uso do EFS. Isso tambm assegurar um custo bastante baixo para a implantao de certificados, se comparado a outras tecnologias e mtodos. Registro automtico O registro automtico o mtodo mais fcil e confivel de distribuio de certificados para usurios de intranets. Ele ocorre em segundo plano e assegura que os certificados estaro disponveis quando os usurios precisarem deles. Principais vantagens do registro automtico: O registro automtico tambm pode ser usado para combinar o registro de certificado com os mtodos de recuperao de dados e de chave. Um modelo de certificado verso 2 pode ser usado para registrar automaticamente um usurio em segundo plano e ao mesmo tempo arquivar a chave particular. O registro automtico tambm pode usar modelos de certificados que exijam que uma solicitao de certificado seja assinada por outro certificado. Ou seja,

uma organizao pode emitir manualmente (e de maneira segura) cartes inteligentes para cada pessoa e exigir que o certificado dos cartes seja usado para assinar uma solicitao de um certificado registrado automaticamente. Isso conhecido como "autoridade de auto-registro" e um mecanismo muito forte para emitir certificados de maneira segura por um processo automtico. Gerenciamento de certificados de armazenamento do usurio (limpeza). Renovao automtica de certificados (certificados revogados, certificados expirados etc.). Recuperao automtica de solicitaes de certificados pendentes.

Usando a configurao de domnio padro Por padro, o administrador de um domnio o DRA padro de um domnio do Windows 2000. Quando o administrador de um domnio efetua logon com essa conta pela primeira vez: um certificado auto-assinado gerado, a chave particular armazenada no perfil da mquina e a diretiva de grupo de domnio padro contm uma chave pblica desse certificado como o DRA padro do domnio. Chaves particulares de DRA expiradas ou perdidas Apesar da expirao de um certificado de DRA ser um evento mnimo, a perda ou o danificao das chaves particulares do DRA podem ser catastrficos para uma organizao. Um certificado de DRA (chave particular) ainda poder ser usado para descriptografar arquivos; no entanto, arquivos novos ou atualizados no podero usar o certificado expirado (chave pblica). Quando uma organizao perder as chaves particulares de um DRA ou o certificado de um DRA expirar, a prtica recomendada a ser seguida por uma organizao ser gerar um ou mais certificados de DRA novos e atualizar imediatamente as diretivas de grupo para que reflitam os novos DRAs. Quando os usurios criptografarem arquivos novos ou atualizarem arquivos criptografados, os arquivos sero atualizados automaticamente com as novas chaves pblicas de DRA. Talvez seja necessrio que uma organizao encoraje os usurios a atualizarem todos os arquivos existentes para que reflitam os novos DRAs.

No Windows XP, o utilitrio de linha de comando cipher.exe tem sido atualizado com um parmetro /U para atualizar a chave de criptografia de arquivos ou as chaves do agente de recuperao em todos os arquivos em unidades locais. Por exemplo: Cipher.exe /U C:\Temp\teste.txt: Criptografia atualizada. C:\Meus documentos\wordpad.doc: Criptografia atualizada. Observao Quando voc usa o certificado padro auto-assinado em um domnio sem uma autoridade de certificao, a vida til do certificado de 99 anos. Prticas recomendadas para proteo de dados Para organizaes preocupadas com a proteo de dados de usurios mveis em caso de roubo ou perda, estas prticas recomendadas devem ser seguidas: A proteo fsica da mquina primordial. Sempre use o computador mvel como parte de um domnio do Windows 2000. Armazene as chaves particulares de usurios separadamente do computador mvel e importe-as quando necessrio. Para pastas de armazenamento comuns, como "Meus documentos" e "pastas temporrias", criptografe a pasta para que todos os arquivos novos e temporrios sejam criptografados quando criados. Quando os dados forem extremamente confidenciais, sempre crie novos arquivos, ou copie arquivos de texto sem formatao existentes, em uma pasta criptografada. Isso assegurar que todos os arquivos nunca existam em forma de texto sem formatao na mquina e que os arquivos de dados temporrios no possam ser recuperados de sofisticados ataques de anlise de disco. A pastas criptografadas podem ser aplicadas em um domnio atravs de uma combinao de diretivas de grupo, scripts de logon e modelos de segurana que garante que pastas padro, como "Meus documentos", sero configuradas como pastas criptografadas. O sistema operacional Windows XP d suporte criptografia de dados em arquivos off-line. Pastas e arquivos off-line que so armazenados em cache

localmente devem ser criptografados quando forem usadas diretivas de cache no cliente. Use SYSKEY em modo 2 ou 3 no computador mvel para impedir que o sistema seja inicializado por usurios mal-intencionados. Observao O modo 1 de SYSKEY ativado por padro no Windows 2000 e no Windows XP. Para chamar SYSKEY, em um prompt de comando ou pela linha Executar no menu Iniciar, digite syskey.exe. (Consulte http://support.microsoft.com/support/kb/articles/q143/4/75.asp (site em ingls) para obter mais informaes sobre SYSKEY). Importante A criptografia da pasta ou do caminho TEMP do sistema pode ter conseqncias negativas no desempenho geral do sistema. A criptografia de todos os arquivos temporrios pode aumentar drasticamente a utilizao da CPU e deve ser analisada cuidadosamente antes de ser ativada. Excluindo dados de texto sem formatao Sempre que um novo arquivo de dado criado em uma unidade NTFS, o sistema de arquivos aloca dados para ele em blocos chamados clusters. Se o arquivo superar o tamanho dos clusters alocados para ele, o NTFS alocar clusters adicionais. Se, posteriormente, o arquivo for reduzido ou excludo, o NTFS desalocar os clusters desnecessrios do arquivo e, se for preciso, os marcar como disponveis para alocao para outro arquivo. Ao longo do tempo, arquivos desalocados so sobrescritos quando novos arquivos e dados so gravados no disco. importante que voc compreenda como o NTFS funciona caso deseje implementar uma estratgia de proteo de dados com o EFS. Informaes adicionais sobre o NTFS e sobre sua operao podem ser encontradas no Microsoft Developer Network (MSDN): http://msdn.microsoft.com/library/enus/fileio/fsys_538t.asp (site em ingls) Reduzindo o risco de descoberta de partes de texto sem formatao O EFS incorpora um esquema de recuperao de falhas no qual nenhum dado perdido caso haja um erro fatal, como uma falha do sistema, disco cheio ou falha de hardware. Isso conseguido atravs da criao de um backup de texto sem

formatao do arquivo original que est sendo criptografado ou descriptografado. Assim que a operao no original concluda, o backup excludo. A criao dessa cpia tem um efeito colateral: a verso em texto sem formatao do arquivo pode existir no disco at que esses blocos de disco sejam usados pelo NTFS para algum outro arquivo. Como parte do processo de criptografia de um arquivo preexistente, o EFS sempre cria uma cpia de backup do arquivo que est criptografando. A maneira recomendada de criptografar dados confidenciais com o EFS criar uma pasta, definir o atributo de criptografia nela e, ento, criar os arquivos dentro dela. Se isso for feito, os arquivos sero criptografados desde o incio. O EFS nunca criar um arquivo de backup contendo texto sem formatao; isso garante que nunca haja partes de texto sem formatao na unidade. Utilitrio de linha de comando cipher.exe O utilitrio de linha de comando cipher.exe pode ser usado para limpar clusters de arquivos desalocados do disco NTFS a fim de reduzir o risco de recuperao de partes de texto sem formatao deixadas pela converso de arquivos. C:\>cipher /? Exibe ou altera a criptografia de pastas [arquivos] em parties NTFS. CIPHER [/E | /D] [/S:pasta] [/A] [/I] [/F] [/Q] [/H] [caminho [...]] CIPHER /W:pasta /W Remove dados do espao em disco no usado disponvel em todo o volume. Se essa opo for escolhida, todas as outras sero ignoradas. A pasta especificada pode estar em qualquer parte de um volume local. Se for um ponto de montagem ou se apontar para uma pasta em outro volume, os dados desse volume sero removidos. Para executar o cipher.exe 1. Efetue logon como administrador da mquina local. 2. Feche todos os aplicativos.

3. Abra um prompt de comando selecionando Iniciar e, em seguida, Executar e inserindo CMD como comando. 4. Digite "Cipher /W:<'pasta'>" (sem as aspas), onde <'pasta'> qualquer pasta na unidade a ser limpa. Por exemplo, "Cipher /W:c:\teste" far com que o espao desalocado da unidade C: seja sobrescrito. 5. O cipher.exe comear a ser executado e exibir uma mensagem aps sua concluso. Importante A execuo do cipher.exe pode demorar bastante, especialmente em volumes grandes. Depois que ele iniciado, no possvel par-lo, portanto, a operao deve prosseguir at a concluso. A execuo do comando chdsk.exe no volume aps a concluso uma prtica recomendada. Alm disso, no recomendado que cipher.exe /W seja executado vrias vezes; a idia do processo uma limpeza nica do disco. Observao Unidades NTFS podem ser montadas como pastas. Por exemplo, uma unidade pode ser montada como C:\pasta1\Unidade_D. Esse uso permite que as unidades desse tipo sejam limpas. A nova ferramenta cipher est disponvel tambm para o Windows 2000. Voc pode fazer o download dessa ferramenta no site da Microsoft: http://www.microsoft.com/technet/security/tools/tools/cipher.asp (rea do site em ingls) Criptografando arquivos off-line O Windows 2000 apresentou a capacidade de armazenar em cache os arquivos off-line (tambm conhecido como cache no cliente). Essa tecnologia de gerenciamento do IntelliMirror permite que os usurios de rede acessem arquivos em compartilhamentos de rede, mesmo quando o computador cliente est desconectado da rede. Por exemplo, quando um usurio mvel visualiza o compartilhamento quando est desconectado, ele ainda pode procurar, ler e editar arquivos, pois esses arquivos foram armazenados em cache no computador cliente. Quando o usurio se conecta posteriormente ao servidor, o sistema concilia as alteraes com o servidor.

Agora, o Windows XP permite que arquivos e pastas off-line sejam criptografados com o sistema de arquivos com criptografia. Esse recurso til principalmente para profissionais que esto viajando e precisam trabalhar off-line periodicamente e manter a segurana dos dados. Um banco de dados comum na mquina local usado para armazenar todos os arquivos do usurio e limitar o acesso a eles atravs de listas de controle de acesso (ACLs) explcitas. O banco de dados exibe os arquivos para o usurio ocultando a estrutura e o formato de banco de dados. Ele aparece como uma pasta normal. Outros arquivos e pastas do usurio no so mostrados nem ficam disponveis para outros usurios. Quando os arquivos off-line so criptografados, todo o banco de dados criptografado por meio de um certificado de mquina do EFS. Os arquivos e as pastas individuais no podem ser selecionados para descriptografia. Assim, todo o banco de dados de arquivos off-line protegido por padro contra ataques que usem o EFS nativo quando esse recurso ativado. No entanto, uma limitao do banco de dados de arquivos off-line criptografados que os arquivos e as pastas no aparecero com uma cor alternativa para o usurio que estiver trabalhando off-line. Tambm possvel que o servidor remoto, quando estiver on-line, use a criptografia de arquivos e pastas seletivamente. Isso poder parecer uma inconsistncia para o usurio quando ele exibir arquivos criptografados on-line e off-line. Importante O CSC executado como um processo SYSTEM e, portanto, pode ser acessado por qualquer usurio ou processo que possa ser executado como SYSTEM ou que possa agir como um processo SYSTEM. Isso inclui administradores da mquina local. Assim, quando dados confidenciais forem armazenados em pastas off-line, o acesso administrativo dos usurios dever ser limitado e o SYSKEY sempre dever ser usado para impedir ataques off-line. Para criptografar arquivos off-line Os arquivos off-line criptografados so ativados pela definio das opes de pasta que podem ser encontradas no Windows Explorer. Para encontrar essas opes selecione Ferramentas e Opes de pasta no menu de comando. 1. Selecione a guia Arquivos off-line, como mostra a figura 17. Observao Essa opo s est disponvel no Windows XP Professional.

Figura 17 Selecionando a guia Arquivos off-line 2. Selecione Ativar arquivos off-line e Criptografar arquivos off-line para proteger dados. 3. Clique em OK. Os arquivos off-line sero criptografados com a chave particular e o certificado do usurio da mquina cliente quando forem armazenados em cache local. Importante Nunca criptografe arquivos que estejam armazenados em um perfil de usurio mvel, pois o sistema no poder abrir os arquivos no perfil quando este for carregado no logon. Usurios off-line permanentes De modo geral, os usurios off-line do EFS (aqueles que no esto conectados regularmente a um domnio ou a uma rede) tero poucos requisitos, ou nenhum, para operaes de EFS. No entanto, algumas organizaes podem optar por permitir que alguns usurios off-line mantenham uma cpia da chave particular e do certificado de um DRA em um disquete para emergncias quando estiverem viajando e off-line. Observe que, geralmente, essa prtica no recomendada e deve ser usada somente em circunstncias extremas. Quando empregada, o arquivo da chave particular (*.PFX) deve ser protegido com uma senha forte e o disquete deve ser mantido separado do computador porttil. EFS com pastas WebDAV O EFS com pastas WebDAV oferece maneiras simples e seguras para que indivduos e usurios corporativos compartilhem dados confidenciais em redes no-seguras. O EFS com WebDAV elimina a necessidade de aquisio de software especializado para compartilhar arquivos criptografados entre usurios, negcios ou organizaes de maneira segura. Os recursos de criptografia forte do EFS, combinados com a funcionalidade de compartilhamento de arquivos ativada no Windows XP, simplificam o processo de compartilhamento de dados confidenciais. Os arquivos podem ser armazenados em servidores de arquivos comuns ou em comunidades da Internet,

como a Microsoft Network ( http://www.msn.com.br ), para que seja obtido acesso fcil e para que seja mantida a segurana forte atravs do EFS. O EFS com pastas WebDAV tambm permite diversos cenrios de comrcio entre empresas e de colaborao para organizaes que procurem conseguir solues de segurana simples sem implantar uma infra-estrutura complexa ou tecnologias de produtos dispendiosos. Para obter mais informaes sobre o EFS com pastas WebDAV, consulte o tpico Arquivos criptografados em um servidor posteriormente neste arquivo. Limpando o arquivo de paginao ao desligar Certifique-se de que o arquivo de paginao est limpo antes de desligar. Isso garantir que fragmentos de dados da memria no sejam paginados para o disco em forma de texto limpo no momento do desligamento. Isso ativado atravs de uma diretiva de grupo local ou de domnio. Para limpar um arquivo de paginao ao desligar 1. Clique at o seguinte caminho: o o o o o Configurao do computador Configuraes do Windows Configuraes de segurana Diretivas locais Opes de segurana

2. Abra o objeto Desligamento: limpar arquivo de paginao de memria virtual. 3. Marque o boto de opo Ativado, como mostra a figura 18, e clique em OK. 4. Feche o snap-in do MMC Diretiva de grupo.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 18 Definindo desligamento: limpar arquivo de paginao de memria virtual

Usando o algoritmo de criptografia 3DES O sistema operacional Windows XP d suporte ao uso de um algoritmo simtrico mais forte do que o algoritmo DESX padro. Para usurios que exijam uma chave simtrica mais forte com um algoritmo compatvel com FIPS 140-1, o algoritmo 3DES deve ser ativado. Para ativar o algoritmo 3DES no Windows XP Para ativar o algoritmo 3DES no Windows XP, ative a diretiva do computador local ou a diretiva de grupo apropriada no site, no domnio ou na OU dos computadores de destino. 1. Clique at o seguinte caminho: o o o o o Configurao do computador Configuraes do Windows Configuraes de segurana Diretivas locais Opes de segurana

2. Abra o objeto Criptografia de sistema: use algoritmos compatveis com FIPS para criptografia, hash e assinatura. Importante A criptografia de sistema se aplica ao EFS e ao IPSEC. 3. Marque o boto de opo Ativado, como mostra a figura 19, e clique em OK. Depois que esse recurso for ativado, um cliente Windows XP poder abrir arquivos criptografados com os algoritmos DESX e 3DES. No entanto, todos os arquivos novos sero criptografados com o novo algoritmo 3DES.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 19 Definindo Criptografia de sistema: use algoritmos compatveis com FIPS para criptografia, hash e assinatura

Observao Se um usurio precisar acessar um arquivo criptografado a partir do Windows 2000 e do Windows XP, o algoritmo 3DES no dever ser ativado, pois o sistema operacional Windows 2000 no d suporte a esse algoritmo. Para conhecer outras prticas recomendadas do EFS, consulte o artigo da Microsoft Knowledge Base (em ingls): http://support.microsoft.com/support/kb/articles/Q223/3/16.ASP Mostrar arquivos criptografados em cores Agora, o cliente Windows XP permite que arquivos compactados ou criptografados sejam exibidos com cores alternativas no Windows Explorer. Esse recurso ativado pela definio das opes de pasta que podem ser encontradas no Windows Explorer. Para encontrar essas opes selecione Ferramentas e Opes de Pasta no menu de comando. Para mostrar arquivos criptografados em cores 1. Selecione a guia Exibir na caixa de dilogo Opes de Pasta 2. Marque a caixa Exibir arquivos NTFS criptografados ou compactados em cores, como mostra a figura 20. Quando essa opo for aplicada a uma pasta, todos os arquivos sero exibidos em verde no Windows Explorer. 3. Se desejar aplicar essa configurao a todas as pastas da mquina, selecione o boto de opo Aplicar a todas as pastas e escolha Sim ao ser solicitado. 4. Clique em OK para fechar a caixa de dilogo.

Figura 20 Selecionando opes para mostrar arquivos criptografados em cores Usando o EFS com mquinas autnomas ou domnios do NT 4.0 Apesar do EFS no ter os mesmos recursos ou vantagens quando usado em mquinas autnomas, seu uso em modo de grupo de trabalho ou como membros de domnios NT 4.0 um cenrio vlido.

Observao Somente estaes de trabalho Windows 2000 ou Windows XP podem usar o EFS, que tem sua capacidade vinculada mquina e no conta de usurio. Isso tambm significa que, em um ambiente misto NT 4.0/Windows 2000, um usurio mvel que tenha as chaves de EFS apropriadas nesse perfil no poder abrir nem ler arquivos criptografados em um Windows NT 4.0 Workstation. Gerenciando o EFS em um ambiente que no seja o Active Directory A maior questo relacionada ao EFS em um ambiente que no seja o Active Directory a da capacidade de gerenciamento. As consideraes incluem: A configurao padro permite que qualquer um efetue logon na estao de trabalho ou no servidor usando a conta de administrador local para descriptografar nessa mquina os arquivos criptografados de qualquer usurio. Isso torna as mquinas no modo de grupo de trabalho especialmente vulnerveis a ataques de editor de disco off-line. Se um usurio criptografar um arquivo e corromper ou excluir o armazenamento de certificados do usurio e do DRA local, ser impossvel recuperar ou descriptografar os arquivos. Se houver necessidade de recuperar os arquivos sem a permisso do usurio, como aps a resciso ou em resposta a um mandado judicial, os arquivos sero irrecuperveis se o usurio a) corromper o armazenamento de certificados e b) acidentalmente ou maliciosamente excluir o certificado de DRA. No existe um banco de dados de chaves central para recuperao.

Ao usar o EFS em um ambiente que no seja o Active Directory, siga algumas prticas recomendadas: A chave particular do DRA padro sempre deve ser removida de um sistema que esteja sendo executado em modo de grupo de trabalho e deve ser armazenada separada do sistema. As mquinas no modo de grupo de trabalho so especialmente vulnerveis a ataques de editor de disco off-line. Os usurios devem armazenar suas chaves particulares separadas do sistema e import-las e export-las sempre que necessrio para assegurar o nvel mais alto de segurana.

Use um modo SYSKEY com um disquete de inicializao ou uma senha mestra que precise ser inserida antes da inicializao do sistema. O disquete e/ou a senha mestra devem ser armazenados separados do sistema.

Instale mquinas usando sysprep e scripts personalizados para ativar um agente de recuperao central. Isso pode ser conseguido com uma chave do Registro a ser executada uma nica vez e que exclua o DRA local, inserindo um DRA centralizado para a organizao. A alterao precisa ser feita depois que a mini-instalao do sysprep gerar o DRA padro. Esse mtodo especialmente til para mquinas em domnios do NT 4.0. A prtica recomendada usar uma autoridade de certificao da Microsoft para emitir um certificado DRA para o agente de recuperao central.

Se uma mquina e/ou um usurio forem migrados para um ambiente do Active Directory do Windows 2000 ou do Windows XP mais tarde com uma autoridade de certificao corporativa, ser importante observar que os clientes continuaro a usar os certificados auto-assinados e no se registraro automaticamente para um novo certificado assim que forem associados a um domnio do Active Directory. No entanto, o agente de recuperao de dados padro entrar em vigor automaticamente para todos os novos arquivos e pastas criptografados quando forem modificados.

Para exibir o certificado DRA atual de uma mquina autnoma ou que esteja em um domnio do NT 4.0 1. Abra o snap-in MMC da diretiva de grupo do computador local. Clique at a diretiva do computador local para localizar os DRAs locais, como mostra a figura 21. o o o o o Configurao do computador Configuraes do Windows Configuraes de segurana Diretivas de chave pblica Agentes de recuperao de dados criptografados

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada.

Figura 21 Localizando os agentes de recuperao de dados locais Redefinindo senhas locais no Windows XP O Windows XP tem um novo comportamento em relao a senhas alteradas localmente e o EFS. No Windows 2000, quando a senha de um usurio local era redefinida por um administrador, o administrador ou outra pessoa poderia, teoricamente, usar a conta recm-criada para efetuar logon como o usurio e descriptografar os arquivos criptografados. No Windows XP, se a senha de usurio local for alterada por um administrador, ou por um mtodo que no envolva o usurio, todo o acesso a arquivos criptografados anteriormente pelo usurio ser bloqueado. Resumindo, o perfil e as chaves do usurio se perdero e no estaro disponveis para a conta com a senha redefinida. O Windows XP emite o seguinte aviso quando se tenta redefinir uma senha de conta de usurio: Aviso "A redefinio da senha pode causar perda irreversvel de informaes para a conta do usurio. Por razes de segurana, o Windows protege determinadas informaes impossibilitando o acesso se a senha do usurio for redefinida." Esse recurso ajuda a proteger contra ataques off-line e impede que administradores mal-intencionados obtenham acesso a arquivos criptografados de outros usurios. Usando o EFS com diferentes tamanhos de chave Por padro, todas as verses exportadas do Windows 2000 usam tamanhos de chave de 56 bits, a menos que o pacote de criptografia de 128 bits esteja aplicado. As estaes de trabalho em que o pacote de criptografia de 128 bits est instalado podem descriptografar arquivos com tamanho de chave igual a 56 bits e criptografar com chaves de 128 bits todos os novos arquivos. Entretanto, mquinas com capacidade apenas para 56 bits no podem abrir arquivos que tenham sido criptografados com chaves de 128 bits. Esse cenrio especialmente importante quando um usurio tem um perfil de usurio mvel e pode usar diferentes mquinas com diferentes recursos de criptografia. Arquivos criptografados em um servidor

O Windows XP d suporte a dois tipos de arquivos criptografados em servidores remotos: 1. Modo de servidor delegado 2. EFS sobre WebDAV Observao O sistema operacional Windows 2000 d suporte somente ao modo de servidor delegado. Modo de servidor delegado O Windows 2000 e o Windows XP permitem que um usurio criptografe remotamente os arquivos em um servidor, se o servidor tiver uma partio NTFS e for confivel para delegao no Active Directory. Tambm necessrio marcar uma conta de usurio como delegvel no Active Directory. A criptografia remota exige que o certificado e a chave particular de um usurio sejam carregados em um perfil local no servidor para operaes de criptografia e descriptografia. O servidor obtm acesso ao perfil atravs da delegao Kerberos. A criptografia remota dos arquivos ser feita com as chaves particulares armazenadas nesse perfil. Se houver um perfil mvel disponvel, ele ser copiado localmente. Observao As chaves particulares e o perfil de um usurio sero armazenados no servidor mesmo que o usurio nunca tenha efetuado logon interativamente no servidor. No momento, o sistema de arquivos com criptografia no d suporte a certificados e chaves baseados em cartes inteligentes. No modo de servidor delegado para criptografia remota, tambm no h suporte para criptografia de arquivos entre florestas em servidores remotos. Para criptografia de arquivos em servidores remotos entre limites de florestas, deve ser empregado o mtodo EFS sobre WebDAV. O perfil pode ser obtido de uma destas duas maneiras: 1. O usurio tem um perfil de usurio mvel (RUP), que pode ser descarregado quando o servidor se fizer passar pelo usurio. 2. O servidor gera um novo perfil local em nome do usurio e subseqentemente solicita ou gera um certificado de EFS auto-assinado.

Importante Se voc estiver usando o EFS em modo de servidor delegado com um servidor de cluster da Microsoft, ser importante que todos os usurios tenham perfis de usurios mveis. Devido natureza do material da chave de usurio existente no perfil do usurio, ser necessrio um perfil para que a mesma chave esteja disponvel em ambos os ns do cluster em caso de failover. Se no for usado um perfil de usurio mvel, os dados do usurio no podero ser descriptografados no segundo n quando ocorrer o failover. Compartilhamento de arquivos em servidores remotos O compartilhamento de arquivos em servidores remotos confiveis para delegao tem alguns desafios bastante especficos relacionados ao compartilhamento de certificados de outros usurios. Se os usurios no estiverem usando perfis de usurios mveis, o servidor usar certificados exclusivos dos usurios para os arquivos criptografados no servidor. Essa condio existe mesmo que o usurio j tenha se registrado para um certificado de EFS e publicado esse certificado no Active Directory Na verdade, o usurio no saber qual certificado escolher no Active Directory ao adicionar outros usurios a um arquivo criptografado. No h como determinar qual certificado o servidor usou para criptografia. Esse cenrio ampliado pelo fato dos usurios escolherem certificados nos armazenamentos de suas mquinas locais ou no Active Directory, no no armazenamento Outras pessoas ou Pessoas confiveis no servidor. No recomendvel compartilhar arquivos criptografados no servidor, a menos que uma destas solues alternativas seja empregada: Os usurios tm perfis de usurio mveis O compartilhamento de arquivos EFS sobre WebDAV usado Um mtodo alternativo para identificar o certificado correto fornecido (por exemplo: publicar no Active Directory somente certificados criados pelo servidor) Desempenho O Windows .NET Server est ajustado para otimizar o armazenamento em cache de chaves do usurio no servidor quando este est sendo usado para criptografia de servidor remota. Por padro, o servidor armazenar na memria cache at quinze

chaves de usurio para aumentar o desempenho da criptografia no servidor. No entanto, esse nmero pode ser alterado por um administrador atravs da edio do seguinte valor do Registro: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\UserCacheSize DWORD Os nmeros aceitveis para esse valor do Registro esto entre 5 e 30. Recuperao de desastres A criptografia remota de arquivos em um servidor apresenta novos desafios relacionados recuperao de desastres. Esses desafios exigem que os administradores sigam etapas para manter a capacidade que os usurios tm de descriptografar arquivos que tenham sido criptografados anteriormente. Em cenrios de recuperao de desastres, se tiver sido feito backup dos arquivos de dados, mas no dos perfis de usurio protegidos que contm as chaves particulares dos usurios (e os RUPs no forem usados), os usurios no podero descriptografar ou acessar os arquivos criptografados anteriormente. Se isso ocorrer, somente os agentes de recuperao de dados podero descriptografar tais arquivos. Esse processo pode ser enfadonho para algumas organizaes. Para evitar isso, h diversas opes: Faa backup de todo o sistema operacional e das sees de perfil, no apenas dos arquivos de dados. Use perfis de usurio mvel. No caso de uma pasta "Meus documentos" redirecionada para um servidor de arquivos atravs da diretiva de grupo, altere os objetos de diretiva de grupo (GPOs) para redirecionar "Meus documentos" para um servidor alternativo. (Por exemplo, se voc estiver criptografando arquivos em "Meus documentos" e essa pasta estiver redirecionada para um servidor por meio da diretiva de grupo, a alterao do caminho do servidor na diretiva de grupo atenuar a questo.) Para obter informaes adicionais sobre a diretiva de grupo, consulte o artigo sobre diretiva de grupo em http://www.microsoft.com/windows2000/techinfo/howitworks/management/gro uppolwp.asp (site em ingls)

Para obter mais informaes sobre este tpico, consulte este artigo da Microsoft Knowledge Base: Q283223 - Recovery of Encrypted Files on a Server (site em ingls). EFS com pastas WebDAV O cliente Windows XP d suporte a um novo mtodo para criptografia de arquivos em servidores remotos atravs de um protocolo chamado WebDAV. Quando o cliente Windows XP mapeia uma unidade para um ponto de acesso WebDAV em um servidor remoto, os arquivos podem ser criptografados localmente no cliente e, ento, transmitidos como um arquivo criptografado bruto para o servidor WebDAV por meio de um comando HTTP PUT. De maneira semelhante, os arquivos criptografados descarregados para um cliente Windows XP so transmitidos como arquivos criptografados brutos e descriptografados localmente no cliente por meio de um comando HTTP GET. O local de arquivos temporrios da Internet usado para transferncia imediata dos arquivos por meio de HTTP onde os verbos "proppatch" e "propfind" do WebDAV so usados para detectar e definir o atributo de arquivo criptografado para Windows XP. Assim, somente pares de chaves pblicas e particulares no cliente so usados na criptografia de arquivos. O redirecionador WebDAV um novo mini-redirecionador que d suporte ao protocolo WebDAV para compartilhamento remoto de documentos usando o protocolo de transferncia de hipertexto (HTTP). O redirecionador WebDAV d suporte ao uso de aplicativos existentes e permite o compartilhamento de arquivos pela Internet (por firewalls, roteadores etc.) para servidores HTTP. O Internet Information Server (IIS) 5.0 (Windows 2000) e IIS 6.0 (Windows XP) do suporte a pastas WebDAV conhecidas como pastas da Web. O redirecionador WebDAV tem algumas limitaes gerais para o arquivo que pode ser transmitido por meio do protocolo WebDAV. A limitao real pode variar de acordo com a quantidade de memria virtual disponvel, mas, em geral, o tamanho de arquivo mximo que pode ser usado no Windows XP com EFS sobre WebDAV de 400 megabytes. A pasta WebDAV pode ser criada em um servidor Windows 2000 ou Windows XP atravs da ativao do Compartilhamento da Web em uma pasta em um servidor. Para ativar o Compartilhamento da Web

1. Clique com o boto direito do mouse em uma pasta no servidor e selecione Propriedades. 2. Selecione a guia Compartilhamento da Web, como mostra a figura 22.

Figura 22 Propriedades - Compartilhamento da Web 3. Em seguida, clique no boto de opo Compartilhar esta pasta e em OK. Agora, o WebDAV est ativado no servidor atravs dessa pasta. Arquivos e pastas, quando criptografados por meio de um compartilhamento WebDAV, aparecero no-criptografados se um usurio ou administrador efetuar logon no servidor localmente. Assim que um arquivo for criptografado por meio de WebDAV, deve ser acessado e descriptografado somente com o WebDAV. Esse comportamento nico, no entanto, no afeta a capacidade de backup e restaurao do servidor por meio de NTBACKUP.exe ou do conjunto de APIs de backup do NT. Administradores e usurios devem estar atentos para no criptografarem arquivos localmente em um volume que hospede um compartilhamento WebDAV nem definirem o atributo de criptografia localmente. Toda a administrao deve ser feita somente atravs do compartilhamento WebDAV. Tambm importante observar que, se um usurio no tiver uma chave para descriptografar o arquivo em um compartilhamento WebDAV, o usurio no poder especificar os detalhes avanados do EFS do arquivo, como, por exemplo, quais usurios podem descriptografar o arquivo. Em vez disso, o usurio receber um erro de "acesso negado". Observao Um servidor WebDAV no pode ser usado como raiz do sistema de arquivos distribudos (DFS). Entretanto, uma pasta WebDAV (compartilhamento) pode ser usada como link de folha em um caminho DFS. Migrando para novos certificados Por diversas razes, um usurio pode desejar migrar para o uso de um novo certificado ou de uma nova chave aps algum tempo. Isso particularmente importante para usurios que estejam usando o EFS em um ambiente sem domnio ou

um ambiente sem uma autoridade de certificao da Microsoft. Em duas etapas, possvel substituir o certificado usado pelo EFS para criptografia local de arquivos: 1. Substitua o seguinte valor do Registro na mquina local do usurio atual pela impresso digital do novo certificado a ser usado: HKCU\Software\Microsoft\Windows NT\EFS\CurrentKeys\CertificateHash 2. Execute o utilitrio cipher.exe com a opo /K C:\>cipher /? Exibe ou altera a criptografia de pastas [arquivos] em parties NTFS. CIPHER [/E | /D] [/S:pasta] [/A] [/I] [/F] [/Q] [/H] [caminho [...]] CIPHER /K /K Cria nova chave de criptografia de arquivos para o usurio que est executando o cipher. Se essa opo for escolhida, todas as outras sero ignoradas. Autoridades de certificao de terceiros Uma autoridade de certificao de terceiros pode ser usada para emitir certificados para o EFS e para um agente de recuperao de dados. Para obter mais informaes, consulte o artigo da Knowledge Base Q273856: http://support.microsoft.com/support/kb/articles/q273/8/56.asp (site em ingls) EFS e Restaurao do sistema O Windows XP inclui um novo recurso chamado "Restaurao do sistema". Esse recurso permite que um usurio restaure o sistema operacional para um estado anterior conhecido por meio da monitorao e do arquivamento automticos de arquivos do sistema. Em geral, a Restaurao do sistema no afeta o EFS, pois os arquivos de usurio normais que seriam criptografados no so monitorados. Alm disso, como os arquivos do sistema no podem ser criptografados com o EFS, tambm no h impacto nessa rea. No entanto, como os binrios de aplicativos podem ser

criptografados, importante compreender como o uso da Restaurao do sistema pode afetar a segurana dos arquivos criptografados. Se voc descriptografar um arquivo monitorado que tenha sido criptografado anteriormente, depois restaurar at um ponto anterior descriptografia, a Restaurao do sistema no reverter o arquivo a seu estado criptografado; ele permanecer descriptografado aps a restaurao. Se voc desfizer a restaurao, o arquivo permanecer descriptografado. Se voc criptografar um arquivo monitorado, depois restaurar at um ponto anterior ao momento em que o arquivo foi criptografado, a Restaurao do sistema reverter o arquivo para um estado descriptografado. Se voc desfizer a restaurao, o arquivo permanecer descriptografado. Se voc modificar um arquivo monitorado que foi criptografado para vrios usurios, depois restaurar at um ponto anterior modificao, a Restaurao do sistema reverter a modificao, mas o arquivo s poder ser acessado pelo primeiro usurio que o modificou aps a criao do ponto de restaurao. Quando voc desfizer a restaurao, somente o usurio que executou a restaurao poder acessar o arquivo, pois o filtro far backup do arquivo durante a restaurao no contexto do usurio que est executando a operao de restaurao. Se voc criptografar uma pasta e a restaurar at um ponto anterior a sua criptografia, a pasta permanecer criptografada. Os arquivos monitorados criados nessa pasta, durante esse ponto de restaurao, herdaro o atributo de criptografia da pasta, mas sero excludos pela restaurao. Os arquivos monitorados e no monitorados movidos para essa pasta mantero o status de criptografia da pasta em que foram criados (se houver uma). Aps a restaurao, os arquivos monitorados sero movidos de volta para a pasta original e mantero o status de criptografia da pasta em que foram recriados. Se voc desfizer a restaurao, a pasta permanecer criptografada e os arquivos criados nessa pasta sero restaurados com todas as suas chaves de criptografia anteriores. Alm disso, quaisquer arquivos movidos para essa pasta sero restaurados com seus estados de criptografia corretos (o que pode significar que eles no sejam criptografados). Se voc excluir um arquivo criptografado monitorado e restaurar at um ponto anterior excluso, a Restaurao do sistema reverter a excluso e o arquivo

ser restaurado com seus atributos de criptografia intactos. Se voc desfizer essa restaurao, o arquivo ser excludo novamente. Se voc excluir uma pasta criptografada, depois restaurar at um ponto anterior excluso, a Restaurao do sistema restaurar a pasta com seus atributos de criptografia intactos. Se voc desfizer essa restaurao, a pasta ser excluda novamente. Se voc modificar uma pasta criptografada (alterar nomes), depois restaurar at um ponto anterior modificao, a Restaurao do sistema reverter as modificaes e deixar os atributos de criptografia intactos. Se voc desfizer a restaurao, desfar a substituio e a modificao e os atributos de criptografia permanecero intactos. Prticas recomendveis As prticas a seguir so recomendadas para manter a melhor cobertura de segurana ao se usar a criptografia em tipos de arquivos monitorados (por exemplo, .dll, .exe, .ini etc.) Desative a Restaurao do sistema (eliminando todos os pontos de restaurao anteriores). Conclua as configuraes de criptografia e reative a Restaurao do sistema para garantir que o sistema no possa ser revertido a um estado anterior criptografia. Se a criptografia for usada em tipos de arquivos monitorados pela Restaurao do sistema, recomendvel que a criptografia seja aplicada a esses arquivos em uma partio/unidade excluda da proteo da Restaurao do sistema. Isso reduzir o risco de restaurao a um estado anterior criptografia. Recuperao de dados versus recuperao de chaves Os sistemas operacionais Windows XP e Windows .NET Server oferecem suporte recuperao de chaves e recuperao de dados. Ambas as solues tm vantagens e desvantagens. No h resposta definitiva pergunta "Que opo de recuperao a melhor?". Ambas as solues tm vantagens e desvantagens tcnicas e a deciso de usar uma ou ambas subjetiva. As duas oferecem solues viveis quando usadas individualmente ou em conjunto. Esta seo pretende identificar algumas das

principais vantagens e desvantagens associadas a essas opes de recuperao para que uma organizao possa tomar uma deciso informada. A recuperao de dados deve ser usada quando uma organizao desejar a capacidade de recuperar dados, mas no o acesso a chaves particulares individuais de um usurio. Para desativar a capacidade de recuperao de dados em um ambiente de domnio (Active Directory), primeiro uma organizao deve ativar o agente de recuperao de dados no domnio e, em seguida, destruir as chaves particulares associadas ao DRA. Isso ativa o EFS, mas desativa a capacidade de recuperao de dados. A recuperao de dados e a recuperao de chaves no devem ser usadas quando uma organizao desejar proteger dados contra todos, exceto contra o usurio original. Se os dados no devem ser acessados ou recuperados por qualquer pessoa alm do autor/proprietrio, nenhum desses dois processos deve ser implementado. Vantagens da recuperao de dados No exige uma autoridade de certificao nem uma infra-estrutura PKI. As diretivas de recuperao de dados podem ser gerenciadas centralmente por meio do Active Directory. Os usurios no precisam gerenciar certificados nem chaves particulares. A descriptografia pode ser limitada somente ao usurio (exige a excluso das chaves de DRA, ao mesmo tempo em que se mantm a diretiva). Desvantagens da recuperao de dados Um processo administrativo precisa recuperar dados do usurio. Um usurio no pode recuperar seus prprios dados. A recuperao de dados ocorre arquivo por arquivo, como um processo manual. Os usurios precisam se registrar novamente para obter novos certificados. Isso ocorre porque somente os dados so recuperados, no as chaves de um usurio. Os administradores precisam revogar certificados antigos. Isso ocorre porque supe-se que, quando uma chave perdida, fica comprometida.

Estaes de trabalho autnomas, ou em ambientes que no sejam o Active Directory, no podem ser gerenciadas centralmente. A recuperao de dados especfica do aplicativo EFS.

Vantagens da recuperao de chaves Os usurios no precisam se registrar novamente para obter certificados, alterar configuraes de segurana etc. Os certificados existentes no precisam ser revogados. Os usurios no precisam recuperar dados ou emails devido perda de chaves particulares. Todos os dados criptografados por uma chave pblica em um certificado podem ser recuperados depois que uma chave particular recuperada. Desvantagens da recuperao de chaves A recuperao de chaves do usurio um processo manual que envolve administradores e usurios. A recuperao de chaves permite o acesso administrativo s chaves particulares dos usurios. A garantia de no-repdio pode no estar disponvel com o arquivamento e a recuperao de chaves. Soluo de problemas A questo mais comum no uso do EFS a associao entre o arquivo e o certificado usado para criptografar o arquivo. Se o usurio ou o DRA no tiver a chave particular associada ao certificado identificado nos detalhes avanados do arquivo, o usurio no poder abrir o arquivo. O erro mais comum recebido por um usurio ser "acesso negado". Para determinar facilmente quais certificados foram usados para criptografar o arquivo, selecione o boto de detalhes avanados das propriedades do arquivo. O usurio que pode descriptografar o arquivo e o DRA que pode recuper-lo so listados, juntamente com a impresso digital dos certificados usados para criptografar a chave da sesso do arquivo, como mostra a figura 23. A impresso digital do certificado o hash do

certificado realmente usado para criptografar a chave da sesso do usurio especificado.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 23 Ilustrando detalhes da criptografia O hash, ou a impresso digital, de um certificado pode ser exibido ao se abrir o certificado no snap-in do MMC Certificados do usurio, como mostra a figura 24.

Se o navegador no oferecer suporte a quadros in-line, clique aqui para exibir em uma pgina separada. Figura 24 Detalhes do certificado A segunda questo mais comum que um servidor no confivel para delegao ao tentar criptografar ou descriptografar um arquivo em um servidor remoto. Questes adicionais que possam resultar envolvem o uso de um provedor de servios de criptografia (CSP) inadequado ou extenses de certificado exigidas pelo EFS mas que esto invlidas. Para obter mais detalhes, consulte a Microsoft Knowledge Base em http://support.microsoft.com (site em ingls). Resumo O Windows XP oferece uma plataforma robusta e confivel para proteger dados dos usurios em uma empresa e em deslocamento. Alm de explicar essas estratgias no Windows XP, este artigo inclui vrios exemplos passo a passo que ilustram como configurar os recursos de recuperao e de proteo de dados que voc desejar usar ao implantar uma soluo de recuperao e de proteo de dados no Windows XP. Links relacionados

Consulte os seguintes recursos para obter mais informaes (sites em ingls): What's New in Security for Windows XP PKI Enhancements in Windows XP Professional and Windows .NET Server Windows XP and .NET: An Overview Microsoft Public Key Infrastructure Information Windows 2000 Certificate Services Encrypting File System for Windows 2000 Third-Party Certification Authority Support for Encrypting File System New Security Tool for Encrypting File System Windows Platform SDK Certificate Management Messages over CMS (CMC) PKCS #12 - Personal Information Exchange Syntax Standard

Para obter as ltimas informaes sobre o Windows XP Professional, visite o site do Windows XP em http://www.microsoft.com/brasil/windowsxp/pro/default.asp . Artigos da Knowledge Base sobre EFS Os seguintes artigos fazem parte da Knowledge Base de suporte de produtos da Microsoft (sites em ingls): Q243756 HOWTO: Use Encrypting File System (EFS) with IIS Q222022 Disabling EFS for All Computers in a Windows 2000-Based Domain Q223338 Using a Certificate Authority for the Encrypting File Service Q241201 How to Back Up Your Encrypting File System Private Key Q242296 How to Restore an EFS Private Key for Encrypted Data Recovery Q243026 Using Efsinfo.exe to Determine Information About Encrypted Files Q243035 How to Disable/Enable EFS on a Standalone Windows 2000 Computer Q255742 Methods for Recovering Encrypted Data Files Q259732 EFS Recovery Agent Cannot Export Private Keys Q264178 Description of the Windows 2000 Resource Kit Security Tools Q272412 Error Message "Access Denied" When Starting a Program Q273856 Third-Party Certificate Authority Support for EFS Q230520 How to Encrypt Data Using EFS in Windows 2000 Q222054 Encrypting Files in Windows 2000

Q221997 Cannot Gain Access to Previously Encrypted Files on Windows 2000 Q227825 Backup Tool Backs Up Files to Which You Do Not Have Read Access Q227369 Default Behavior for Group Policy Extensions with Slow Link Q230490 The Encrypted Data Recovery Policy for Encrypting File System Q243850 Cannot Gain Access to Microsoft Encrypted File Systems Q250581 Windows 2000 Keywords for Searching the Microsoft Knowledge Base Q256168 Cannot Open Encrypted Files with Multiple Windows Installations Q257705 How to Reinitialize the EDRP on a Workgroup Computer Q216899 Best Practice Methods for Windows 2000 Domain Controller Setup Q223093 Encrypted Files Cannot Be Compressed Q223178 Transferring Encrypted Files That Need to Be Recovered Q223316 Best Practices for Encrypting File System Q223448 Cannot Use Shared Encrypted Files in Windows 2000 Q245044 "Warning: The Restore Destination Device..." During Restore Q250494 "Access Is Denied" Error Message Appears w/ Correct Permissions Q254156 Encrypted Files Made Available Offline Not Encrypted on Client Q255554 Selecting Encrypted File Over Network Hangs Client Window Q264064 "Access is Denied" When Encrypting/Decrypting Files or Folders Q263419 Software Inventory on Encrypted Vol Degrades Performance Q269397 Logon Process Hangs After Encrypting Files on Windows 2000 Q272279 How to Troubleshoot FRS and DFS Q283223 Recovery of Encrypted Files on a Server Q248723 INFO: Understanding Encrypted Directories