EFS – Encrypting File System

12 03 2009

image

“A segurança é tão forte quanto o seu elo mais fraco”.

EFS (Encrypting File System) é uma tecnologia de criptografia de dados da Microsoft presente nos sistemas operativos Windows 2000 ou superior que permite assegurar a segurança de ficheiros e pastas do sistema contra acessos indevidos.

 

Através de algoritmos matemáticos, que são a base de qualquer tecnologia de criptografia, o EFS permite implementar um nível de segurança virtualmente inquebrável, sem recurso a software de outros fabricantes. O EFS está implementado de forma nativa no Sistema Operativo, não sendo portanto instalar nem activar nenhum componente.

 

Para a activação do EFS é necessário cumprir alguns requisitos base. O sistema de ficheiros tem de ser obrigatoriamente NTFS, e a edição do sistema operativo que estamos a utilizar tem que suportar o EFS. Normalmente as edições domesticas não têm essa funcionalidade, como o caso do XP Home. Apenas o XP Profissional, e o Vista Business ou Ultimate suportam esta funcionalidade, embora as restantes edições do Vista também o suportem, de forma menos directa.

Após activar o EFS numa pasta, automaticamente será criado um certificado digital, que por sua vez ficará associado ao utilizador do Windows que activou o EFS. Dando o exemplo , em XP Profissional, para activar o EFS numa pasta, basta aceder às propriedades da mesma, e no separador Geral clicar em Avançadas. Posteriormente, na janela Atributos avançados basta activar a última opção.

Untitled

Neste momento todos os ficheiros da respectiva pasta serão automaticamente encriptados e desencriptados de forma transparente para o utilizador. Caso a pasta que queiramos encriptar já contenha outras pastas  ou ficheiros, ser-nos-à perguntado se queremos apenas encriptar a pasta onde estamos a activar o EFS, ou as pastas, subpastas e ficheiros já existentes. O Windows Explorer  mostrará agora a cor verde todo o conteúdo da pasta. Este processo pode também ser aplicado individualmente a um ficheiro, acedendo às propriedades do mesmo.

Untitled2

Foi criado automaticamente um certificado EFS cuja função é permitir encriptar/desencriptar os nossos dados. Podemos verificar no snap-in de certificados. Iniciar > Executar > escrever “certmgr.msc”.

Untitled3

Na pasta Pessoal temos agora um novo certificado. Podemos verificar na coluna “Objectivos a que se destina” que a sua função é controlar o sistema de encriptação de ficheiros.

 

Processo de Exportação

Agora o passo mais importante de todo este processo, e sem o qual podemos ser vitimas do nosso próprio sistema de segurança: Criar uma cópia de segurança deste certificado e guarda-la em lugar restrito e seguro. Tudo passa a depender deste certificado, daí a sua importância, já que a falta dele leva à perda perda irreversível dos dados.

Untitled4

Clicando com o botão direito em cima do certificado, em “Todas as tarefas”, temos agora hipótese de o exportar. Não executar este procedimento nesta fase pode levar a que apenas se lembre de o fazer quando realmente precisar de o repor, daí o Windows Vista ter um alerta constante, para efectuar a cópia de segurança.

No assistente de exportação, fazer Seguinte.

cert1

Aqui, escolher exportar a chave privada.

cert2

Manter todas as opções apresentadas.

cert3

Aqui temos de definir uma palavra passe que nos vai ser pedida no caso de haver necessidade de fazer a importação deste certificado. Por exemplo, no caso de reinstalar o sistema operativo.

cert4

Agora é só definir o nome do ficheiro e a sua localização. Como é obvio só tem lógica guardar este certificado fora do computador, como num CD, DVD, ou numa pendrive, e por fim guardar o mesmo num local seguro. É boa prática manter mais do que uma cópia do mesmo em dois locais diferentes. Escusado será dizer que ter o certificado para reposição e não se lembrar da password deita todo o processo por “água abaixo”.

cert6

 

 

Processo de Importação

Será necessário efectuar a importação do certificado no caso de transportar dados encriptados para um outro computador onde o nosso certificado EFS não existe, no caso de reinstalar o sistema operativo, ou no caso de existir algum problema em que sejamos forçados  a tal.

O processo de importação consiste em executar o certificado, de modo a iniciar o assistente de importação:

cert20

Basta confirmar a localização do mesmo, e fazer seguinte.

cert21 

Aqui é pedida a password que foi definida na exportação. Neste passo podemos também marcar este certificado como exportável. Caso não o façamos deixamos de o poder exportar.

cert22

Aqui podemos definir em que pasta do arquivo de certificados ele será armazenado. Por defeito ele irá para a pasta “Pessoal”.

cert23

Concluir.

cert24

 

 

Neste momento apenas o utilizador proprietário da chave de encriptação terá acesso aos dados. Partilhar a pasta para outros utilizadores da rede, aceder ao Windows com outro utilizador, ligar o disco rígido num outro computador, ou formatar e reinstalar  o sistema operativo, numa tentativa de aceder aos dados, resultará numa mensagem de acesso negado por falta permissões.

cert50

Ainda que encriptados, os nomes das pastas e ficheiros ficaram visíveis a todos.

 

A única maneira que terá para aceder aos dados é mesmo fazer logon com o seu nome de utilizador e password. Aqui reside também outro ponto muito importante que é colocar uma password forte, de acesso ao Windows. Sem isso o EFS não pode impedir que alguém que tenha acesso ao computador possa abrir os ficheiros. O EFS não tem forma de saber quem está a aceder os dados.

 

etoken200_8826_8827Existem ainda outras formas de complementar o EFS como SmartCard’s ou Tokens que permitem uma autenticação forte, já que depende agora de dois factores. O que o utilizador sabe (a password) e o que ele tem (Token ou smartcard). Entre as várias funções que estes dispositivos podem ter, está o facto de poderem armazenar certificados digitais, como um certificado EFS, ou um certificado de acesso a um sistema de E-banking.

Desta forma o certificado deixaria de estar “fisicamente” instalado no Windows, para estar dentro do dispositivo. Para o EFS, por exemplo seria possível configurar o sistema de modo a que o Windows necessite que o utilizador introduza o smartcard/token  cada vez que tentamos abrir um ficheiro encriptado.

Este tipo de tecnologia é utilizada quase em exclusivo em grandes organizações , como bancos, seguradoras, governo, já que tem custos elevados e processos de implementação complexos.

Para efeitos de demonstração, os fabricantes, desta tecnologia, como a Aladdin, costumam disponibilizar unidades de demonstração, totalmente funcionais que permitem testar as potencialidades dos seus produtos.

 

 

Em forma de conclusão o EFS permite acrescentar alguma segurança aos nossos dados mais sensíveis.  O facto de ter uma password no Windows por si só não garante quase segurança nenhuma já que a mesma pode ser ultrapassada em pouco tempo, se for uma password simples como “123456”. Se a password for mais elaborada como “1Q2W3E##@@!!” poderá levar mais tempo, mas também pode ser descoberta ou alterada, daí que será muito mais fácil instalar fisicamente o disco rígido em outro computador e aceder a todos os dados. É precisamente aqui que entra o EFS, já que embora se possa ver os nomes dos ficheiros, não será possível abrir os mesmos sem o certificado instalado. Sem o EFS activo, o acesso seria directo. Outra situação em que pode ser útil é no caso de ter uma pasta partilhada, mas não pretender que um ficheiro ou uma pasta possam ser abertos por outros utilizadores da rede. No transporte de dados em pendrives, desde que formatadas em NTFS, pode também ser útil activar numa determinada pasta, o EFS.

Como alternativa, existe outras aplicações mais versáteis, como o TrueCrypt que permite um sem número de outras funcionalidades. Com o TrueCrypt é possível por exemplo, encriptar todo o disco, incluindo unidades de sistema. Mais informação aqui.

 

Perguntas e Respostas:

Se a minha unidade não estiver formatada em NTFS posso activar o EFS?

  • Terá de converter a unidade para NTFS para poder utilizar o EFS.

 

Que pastas devem ser encriptadas?

  • Ainda que o processo de encriptação seja simples de activar, não devem ser encriptadas todas as pastas do disco. Apenas as pastas que contem dados críticos e importantes devem ser encriptadas. Ficheiros de sistema também não podem ser encriptados.

 

Ao copiar os ficheiros para outro local eles mantém-se encriptados?

  • Se copiar os ficheiros para um computador ou volume em que o sistema de ficheiros não seja NTFS, os ficheiros serão automaticamente desencriptados.

 

 

Pontos fortes:

  • A encriptação é feita com certificados.
  • O Vista avisa-nos para fazer backup dos certificados.
  • A utilização de SmartCard torna a protecção 100% segura.

 

Pontos fracos:

  • Sem utilização de SmartCard o sistema pode ser comprometido. Existe software que tenta efectuar a desencriptação.
  • É sempre possível ver o conteúdo das pastas, os nomes dos ficheiros ficam visíveis e podem dar informação sobre o conteúdo destes.
  • É um sistema popular, logo mais facilmente levanta suspeitas alguma coisa estar a ser escondida.
  • Se o EFS for activado, mas o utilizador não tiver password de acesso ao Windows, o atacante com acesso físico ao computador tem acesso a toda a informação.

 

Sites de Interesse:

Microsoft: http://www.microsoft.com/brasil/security/guidance/smb/protect_data_EFS.mspx

http://windowshelp.microsoft.com/Windows/pt-PT/Help/e895bd18-36e5-4229-8424-dff307b155c22070.mspx

 

Wikipédia:

http://en.wikipedia.org/wiki/Encrypting_File_System

 

 

Gostou deste artigo? Deixe um comentário…


Ações

Information

12 responses

18 03 2009
Su

E não dás aulas de informática? Está cada vez melhor este teu blog e muito útil para os leigos… Continua o bom trabalho. Beijoca

18 03 2009
XpecialGUEST

Se pagares bem…posso dar! Aliás, vender ;) É bom saber que alguem que não gosta de informática, gosta do meu blog. Beijo

10 04 2009
Pazuzo

Encriptei sem querer documentos situados num disco externo a partir do meu portátil. Posteriormente tive que formatar o portátil devido a um virús pouco simpático.. e agora, não consigo aceder aos meus ficheiros encriptados..

Existe alguma forma de aceder a esses ficheiros?

Um abraço

10 04 2009
XpecialGUEST

Penso que será muito difícil senão impossível recuperar esses dados.

Ainda assim, pesquisando em fóruns verifico que existe uma ferramenta chamada Advanced EFS Data Recovery da ElcomSoft, cujo objectivo é esse mesmo.

Verifica os seguintes links:

http://www.elcomsoft.com/aefsdr.html

http://www.google.pt/cse?cx=partner-pub-0360503520988802%3A81xligi7m8g&ie=ISO-8859-1&q=efs&sa=Pesquisar

Abraço.

19 05 2009
Silva

como autorizar a encriptação de pastas uma vez que me dá uma mensagem a dizer que a encriptação não está autorizada neste computador?

19 05 2009
XpecialGUEST

Uma das possibilidades é que exista alguma politica de segurança activada que esteja a impedir que sejam encriptadas pastas, ou para um determinado utilizador ou num determinado computador.

Caso o computador esteja em Domínio terá de contactar o administrador do mesmo.

16 12 2009
Como Partilhar Ficheiros Encriptados com EFS com Outros Utilizadores « ..::invisible flame light::..

[…] Windows desde a versão 2000 que  permite aumentar a segurança dos dados encriptando-os. Leia aqui o post onde fiz uma primeira abordagem ao […]

30 01 2010
Carlos

Olá, esta explicação sobre o EFS está muito boa, pelo menos para mim. A encriptação e o acesso restrito a determinados documentos, é uma matéria que tenho necessidade de aprofundar.
Sem entrar em grandes detalhes gostaria de obter uma resposta para a seguinte questão:
Situação – Tendo uma pasta partilhada, e pretendendo que um ficheiro ou uma pasta possam ser abertos apenas por determinados utilizadores da rede. Preciso de saber se o “Cartão de cidadão” sendo um SmartCard pode ser usado como dispositivo de autenticação através certificado digital EFS que ele tem atribuído. Se isto for possível agradeço uma explicação como isto se faz.

30 01 2010
Carlos

Boa tarde.

Pois, de facto eu não faço a menor ideia se é possível implementar uma situação desse género. O cartão de cidadão embora tenha muitas funcionalidades não sei até que ponto permite guardar certificados para fazer autenticação.

Se alguém souber que se pronuncie…

Carlos

19 02 2010
Ophcrack – Descobrir Passwords de Utilizadores do Windows « ..::invisible flame light::..

[…] por exemplo o ERD Commander, é que se o utilizador tiver ficheiros ou pastas encriptados com o EFS, automaticamente perderá acesso aos […]

4 03 2011
Windows-Compressão de dados « ..::invisible flame light::..

[…] compactação não é compatível com o sistema de encriptação de ficheiros do Windows. (veja este […]

30 04 2011
Windows-Compressão de dados « Rodrigo Silva e problemas…

[…] A compactação não é compatível com o sistema de encriptação de ficheiros do Windows. (veja este artigo) […]

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s




%d bloggers like this: