DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 223316 - Última revisão: sexta-feira, 26 de Outubro de 2007 - Revisão: 12.1

Este artigo foi publicado anteriormente em PT223316

Nesta página

Sumário

O Microsoft Windows inclui a capacidade de encriptar dados directamente em volumes que utilizem o sistema de ficheiros NTFS impedindo, deste modo, que qualquer outro utilizador utilize os dados. Pode encriptar ficheiros e pastas se definir um atributo na caixa de diálogo Propriedades (Properties) do objecto.

Uma vez que o processo de encriptação/desencriptação é transparente para os utilizadores, certifique-se de que as organizações que pretendem utilizar a encriptação de ficheiros fornecem directrizes claras sobre a respectiva utilização.

Mais Informação

Segue-se uma lista de procedimentos padrão:
  • Informe os utilizadores sobre como devem exportar os respectivos certificados e chaves privadas para um suporte de dados amovível e guardar o suporte de dados amovível de forma segura, quando não estiver a ser utilizado. Para obter um nível elevado de segurança, a chave privada tem de ser removida do computador sempre que o computador não estiver a ser utilizado. Este procedimento protege contra atacantes que tentem aceder fisicamente ao computador e à chave privada. Sempre que necessitar de aceder aos ficheiros encriptados, poderá importar facilmente a chave privada a partir do suporte de dados amovível.
  • Encripte a pasta Os meus documentos (My Documents) de todos os utilizadores (Perfil_utilizador\Os meus documentos [My Documents]). Deste modo, garante que a pasta pessoal, onde é armazenada a maior parte dos documentos, é encriptada por predefinição.
  • Informe os utilizadores para nunca encriptarem ficheiros individuais, mas apenas pastas. Os programas utilizam os ficheiros de várias maneiras. A encriptação consistente de ficheiros ao nível da pasta garante que os ficheiros não serão inesperadamente desencriptados.
  • As chaves privadas associadas a certificados de recuperação são extremamente susceptíveis. Estas chaves devem ser geradas num computador fisicamente protegido, ou os respectivos certificados têm de ser exportados para um ficheiro .pfx, protegido com uma palavra-passe segura, e guardado numa disquete que por sua vez deverá ser guardada numa localização fisicamente segura.
  • Têm de ser atribuídos certificados de agentes de recuperação a contas especiais de agentes de recuperação que não sejam utilizadas para qualquer outro fim.
  • Não elimine certificados de recuperação nem chaves privadas quando os agentes de recuperação são alterados. (Os agentes são alterados periodicamente). Guarde tudo, até que sejam actualizados todos os ficheiros que foram encriptados com esses certificados.
  • Designe duas ou mais contas de agentes de recuperação por unidade organizacional (UO), dependendo do tamanho da UO. Designe dois ou mais computadores para recuperação, um para cada conta designada de agente de recuperação. Conceda permissões a administradores adequados para utilizarem as contas de agentes de recuperação. Deverá ter duas contas de agentes de recuperação para que exista redundância na recuperação de ficheiros. A existência de dois computadores que guardam estas chaves permite uma maior redundância para possibilitar a recuperação de dados perdidos.
  • Implemente um programa de arquivo de agentes de recuperação para garantir a recuperação de ficheiros encriptados com chaves de recuperação obsoletas. Os certificados de recuperação e chaves privadas têm de ser exportados e guardados de forma controlada e segura. Idealmente, como acontece com todos os dados seguros, os arquivos devem ser armazenados num cofre de acesso controlado e deve ter dois arquivos: um principal e uma cópia de segurança. O arquivo principal é guardado no local, enquanto que a cópia de segurança deverá estar localizada numa outra localização externa segura.
  • Evite utilizar ficheiros de spool de impressão na arquitectura do servidor de impressão ou garanta que os ficheiros de spool de impressão são gerados numa pasta encriptada.
  • O sistema de encriptação de ficheiros utiliza algumas capacidades adicionais da CPU sempre que um utilizador encripta ou desencripta um ficheiro. Planifique cuidadosamente a utilização do servidor. Tente equilibrar o volume de tarefas dos servidores quando existirem muitos clientes a utilizar o sistema de encriptação de ficheiros (EFS, Encrypting File System).

Como activar a partilha de ficheiros do sistema de encriptação de ficheiros

No Microsoft Windows XP, o EFS suporta a partilha de ficheiros encriptados entre vários utilizadores. Assim, pode conceder permissões a utilizadores individuais para acederem a um ficheiro encriptado. A capacidade de adicionar utilizadores adicionais é restrita aos ficheiros individuais. O Microsoft Windows 2000 ou o Windows XP não fornecem suporte para o acesso a pastas por múltiplos utilizadores. O EFS também não fornece suporte para a utilização de ficheiros encriptados por grupos.

Depois de um ficheiro ter sido encriptado, a partilha de ficheiros é activada através de um novo botão na interface de utilizador. Primeiro, um ficheiro tem de ser encriptado e guardado antes de serem adicionados utilizadores adicionais. Os utilizadores podem ser adicionados a partir de um computador local ou a partir do serviço de directório do Active Directory se o utilizador tiver um certificado válido para o EFS. A capacidade de adicionar utilizadores adicionais é restrita aos ficheiros individuais. Não é fornecido suporte para o acesso de múltiplos utilizadores a pastas encriptadas com o EFS. Só podem ser adicionados utilizadores individuais aos ficheiros. O EFS não fornece suporte para ficheiros encriptados utilizados por grupos.

Para obter informações sobre como activar a encriptação EFS de pastas e ficheiros, consulte a secção "Como encriptar e desencriptar utilizando o sistema de encriptação de ficheiros".

Como encriptar um ficheiro para múltiplos utilizadores

Nota: este procedimento aplica-se apenas ao Windows XP. Não é possível encriptar um ficheiro para múltiplos utilizadores no Windows 2000.

Para o fazer, siga estes passos:
  1. Inicie o Explorador do Windows da Microsoft e seleccione o ficheiro encriptado ao qual pretende adicionar utilizadores adicionais.
  2. Clique com o botão direito do rato no ficheiro encriptado e clique em Propriedades.
  3. Clique em Avançadas para aceder às definições do EFS.
  4. Clique em Detalhes para adicionar utilizadores adicionais.
  5. Clique em Adicionar. A caixa de diálogo Adicionar apresentará quaisquer certificados com capacidade para EFS no arquivo pessoal ou os de outros utilizadores que estejam nos arquivos de certificados "Outras pessoas" e "Pessoas fidedignas".

    Se não visualizar o utilizador que pretende adicionar, clique em Localizar utilizador para procurar no Active Directory. É apresentada a janela Seleccionar utilizador. Uma caixa de diálogo apresenta certificados de EFS válidos no Active Directory com base nos critérios de pesquisa. Se não for localizado um certificado válido para esse utilizador, receberá uma mensagem a informar que não existe um certificado adequado para o utilizador seleccionado. Neste caso, os utilizadores terão de enviar um cópia dos respectivos certificados para que os possa importar. Em seguida, pode adicioná-los ao ficheiro encriptado.
  6. Seleccione o certificado do utilizador que pretende adicionar e clique em OK. Será novamente apresentado o separador Detalhes e o separador apresentará os múltiplos utilizadores que terão acesso ao ficheiro encriptado e os certificados EFS dos utilizadores.
  7. Repita este processo até ter adicionado todos os utilizadores pretendidos. Clique em OK para registar a alteração e continuar.
Nota: qualquer utilizador que consiga desencriptar um ficheiro também pode remover outros utilizadores se o utilizador que efectuar a desencriptação também tiver permissões de escrita para o ficheiro.

Como encriptar e desencriptar utilizando o sistema de encriptação de ficheiros

Os passos que se seguem encriptam e desencriptam um ficheiro ou pasta utilizando o sistema de encriptação de ficheiros.

Nota: estas directrizes aplicam-se ao Windows 2000 e ao Windows XP.

Encriptar uma pasta

Embora seja possível encriptar ficheiros individualmente, recomendamos vivamente a designação de uma pasta específica para guardar dados encriptados.

Encriptar uma pasta e o respectivo conteúdo


Embora seja possível encriptar ficheiros individualmente, deve designar uma pasta específica para guardar os ficheiros encriptados e para encriptar essa pasta. Se o fizer, o atributo encriptado será atribuído automaticamente a todos os ficheiros criados ou movidos para esta pasta.

Para encriptar uma pasta e o respectivo conteúdo, siga estes passos:
  1. Clique com o botão direito do rato na pasta que pretende encriptar e clique em Propriedades (Properties).
  2. Na caixa de diálogo Propriedades (Properties), clique em Avançadas (Advanced).
  3. A caixa de diálogo Atributos avançados (Advanced Attributes) apresenta opções de atributos para compressão e encriptação. Esta caixa de diálogo também inclui atributos de arquivo e indexação.

    Nota: embora o sistema de ficheiros NTFS suporte a compressão e a encriptação, não suporta ambas ao mesmo tempo. Significa que só poderá seleccionar uma ou outra. Não é possível encriptar e comprimir um ficheiro ou uma pasta ao mesmo tempo.

    Para encriptar a pasta, clique para seleccionar a caixa de verificação Encriptar conteúdo para proteger dados (Encrypt contents to secure data) e clique em OK.
  4. Clique em OK para fechar a caixa de diálogo Atributos avançados (Advanced Attributes).
  5. Se a pasta que escolher para encriptar nos passos 1 a 3 já contiver ficheiros, será apresentada uma caixa de diálogo Confirmar alterações de atributo (Confirm Attribute Changes).

    Pode escolher encriptar apenas a pasta para que todos os ficheiros que, subsequentemente, sejam movidos ou criados nesta pasta sejam encriptados. Se também pretender encriptar todo o conteúdo desta pasta, clique em Aplicar alterações a esta pasta, subpastas e ficheiros (Apply changes to this folder, subfolders, and files) e clique em OK.

Desencriptar uma pasta

Para desencriptar uma pasta, utilize basicamente o mesmo processo, mas por ordem inversa:
  1. Clique com o botão direito do rato na pasta que pretende desencriptar e clique em Propriedades (Properties).
  2. Clique em Avançadas (Advanced).
  3. Clique para desmarcar a caixa de verificação Encriptar conteúdo para proteger dados (Encrypt contents to secure data) para desencriptar os dados.
  4. Clique em OK para fechar a caixa de diálogo Atributos avançados (Advanced Attributes).
  5. Clique em OK para fechar a caixa de diálogo Propriedades (Properties).
  6. Se a pasta contiver ficheiros, a caixa de diálogo Confirmar alterações de atributo (Confirm Attribute Changes) é apresentada. Pode optar por desencriptar apenas a pasta. No entanto, este procedimento não desencriptará quaisquer ficheiros actualmente existentes na pasta.

    Se pretender desencriptar todo o conteúdo desta pasta, clique em Aplicar alterações a esta pasta, subpastas e ficheiros (Apply changes to this folder, subfolders, and files) e clique em OK.

Informações adicionais

Como são encriptados os ficheiros

Os ficheiros são encriptados através de algoritmos que essencialmente reorganizam, misturam e codificam os dados. Um par de chaves é gerado aleatoriamente quando encripta o primeiro ficheiro. Este par de chaves é constituído por uma chave privada e uma chave pública. O par de chaves é utilizado para codificar e descodificar os ficheiros encriptados.

Se perder o par de chaves ou este for danificado, e não tiver designado um agente de recuperação, não há qualquer forma de recuperar os dados.

Porque é que deve criar cópias de segurança dos certificados

Uma vez que não há outra forma de recuperar dados encriptados com um certificado danificado ou em falta, é importante que crie cópias de segurança dos certificados e as guarde numa localização segura. Também pode especificar um agente de recuperação. Este agente pode restaurar os dados. O certificado do agente de recuperação tem uma finalidade diferente da do certificado do utilizador.

Como criar cópias de segurança do certificado

Para criar cópias de segurança de certificados, siga estes passos:
  1. Inicie o Microsoft Internet Explorer.
  2. No menu Ferramentas, clique em Opções da Internet.
  3. No separador Conteúdo, na secção Certificados, clique em Certificados.
  4. Clique no separador Pessoal.

    Nota: poderão existir vários certificados, caso tenha instalado certificados para outros fins.
  5. Seleccione um certificado de cada vez até que o campo Objectivos definidos do certificado apresente Sistema de ficheiros de encriptação. Este é o certificado que foi gerado quando encriptou a primeira pasta.
  6. Clique em Exportar para iniciar o Assistente para exportar certificados e clique em Seguinte.
  7. Clique em Sim, exportar a chave privada para exportar a chave privada e clique em Seguinte.
  8. Clique em Permitir protecção forte e clique em Seguinte.
  9. Escreva a palavra-passe. (Tem de ter uma palavra-passe para proteger a chave privada.)
  10. Especifique o caminho onde pretende guardar a chave. Pode guardá-la numa disquete, noutra localização no disco rígido ou num CD. Se ocorrer uma falha no disco rígido ou for reformatado, a chave e a cópia de segurança serão perdidas. (Se criar uma cópia de segurança da chave numa disquete ou CD, terá de guardar a disquete ou o CD numa localização segura.)
  11. Especifique o destino e clique em Seguinte.
Para obter informações adicionais sobre o sistema de encriptação de ficheiros (EFS, Encrypting File System), visite o seguinte Web site da Microsoft:
Encrypting File System in Windows 2000
http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx (http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx)

Encrypting File System in Windows XP and Microsoft Windows Server 2003
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx (http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx)

A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Palavras-chave: 
kbhowto kbinfo kbenv kbproductlink KB223316
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft